Syfte
Den här guiden är avsedd att ge administratörer och IT-team den information de behöver beakta innan de konfigurerar SSO i sina ChatGPT- eller Platform-konton. SSO är tillgängligt för Business-, Enterprise- och Edu-kunder.
Bakgrundsarkitektur och terminologi
SSO stöds för närvarande via SAML-autentisering för både ChatGPT och API Platform.
Arbetsyta avser en instans av ChatGPT
Organisation avser en API Platform-instans
Identitetsleverantör (IdP) avser den tjänst du använder för att hantera digital identitet. Vi stöder anslutningar via alla IdP:er som stöder SAML. Några av de vanligaste IdP:erna vi har anslutit till är:
Okta
Azure Active Directory/Entra ID
Google Workspace
Duo
En fullständig lista över IdP:er som stöds finns på WorkOS integrationssida. Vi stöder alla tredjepartsintegrationer på den här sidan som kan anslutas via antingen SAML eller OIDC.
För närvarande har varje ChatGPT-arbetsyta en motsvarande Platform-organisation kopplad till sig. Det innebär att det organisations-ID (org-id) du hittar på Enterprise Platform-sidan ”Allmänt” är samma organisations-ID (org-id) som är kopplat till din Enterprise ChatGPT-arbetsyta. Därför delar din arbetsyta och organisation samma autentiseringslager:

Det finns några viktiga saker att notera som följd av den här arkitekturen:
Ett enskilt organisations-ID (org-id) kan endast stödja en enda IdP-konfiguration.
Domänverifieringar och SAML SSO-inställningar delas mellan ChatGPT och API Platform.
SSO måste aktiveras separat i ChatGPT respektive API Platform. När du väl har konfigurerat det i den ena består ”konfigurationen” för den andra dock i stort sett bara av att slå på reglaget och lägga till en bokmärkesapp i din IdP om du vill.
Kom igång med SSO
Innan du konfigurerar SSO i ditt konto är det viktigt att först förstå några nyckelbegrepp om OpenAI:s SSO-funktionalitet.
Allmän identitetsterminologi
Provisionering När OpenAI hänvisar till provisionering i användarsammanhang menar vi specifikt provisionering av inbjudningar. Vi har inte direkt stöd för provisionering av skapande av användarkonton. Inbjudningar kan provisioneras via:
SCIM (stöds i både ChatGPT SCIM-integrationen och API Platform SCIM-integrationen)
Sidan ”Medlemmar” i ChatGPT eller API Platform
Automatiskt kontoskapande
Invites API
Att provisionera inbjudningar är ett separat steg från den autentisering som utförs av SSO.
Autentisering – ”Är du den du utger dig för att vara?”
Exempel: en IdP autentiserar en användare till vår tjänst så att vi vet att personen är den den utger sig för att vara vid inloggning.
Auktorisering – ”Vad får du göra eller se?”
Exempel: När din IdP har autentiserat dig avgör vi vilka ChatGPT-arbetsytor du är medlem i.
Lär känna OpenAI:s SSO-inställningar
Domänverifiering Detta är ett krav för att aktivera SSO och automatiskt kontoskapande. I princip: ”Äger du den här domänen?”
Vid inloggning via chatgpt.com eller platform.openai.com avgör en verifierad domän om en användare ska skickas vidare till vår lösenordssida eller till sin IdP när SSO också har konfigurerats
När en domän har verifierats i din arbetsyta uppmanas alla användare som bjuds in till arbetsytan med en e-postadress från den domänen att slå ihop sitt personliga konto nästa gång de loggar in.
ChatGPT-autentisering baseras på både domän OCH arbetsyta – när en domän är verifierad och SSO är aktiverat för arbetsytan dirigeras endast användare i den arbetsytan som delar domänen till SSO. Användare som delar domänen men INTE ingår i arbetsytan (dvs. användare med Free-, Plus-, Pro- eller Team-konton från din domän) fortsätter att logga in med e-post/lösenord eller social inloggning.
Platform-autentisering är domänbaserad – när en domän är verifierad och SSO är aktiverat förlorar alla Platform-användare under den domänen möjligheten att logga in med lösenord. Se ”Domänverifiering i ChatGPT jämfört med API Platform” nedan för mer information.
Underdomäner måste verifieras separat från toppdomäner
För att vi ska kunna behandla din domänverifiering måste din TXT-post vara läsbar via en DNS-sökning.
(Endast ChatGPT) Automatiskt kontoskapande (AAC) När detta är aktiverat för en ChatGPT-arbetsyta får en ny användare vars e-postadress matchar de verifierade domänerna automatiskt en inbjudan till Enterprise-arbetsytan när användaren registrerar sig. Vi rekommenderar inte att du aktiverar AAC om du använder SCIM.
(Endast ChatGPT) Tillåt inbjudningar från externa domäner Den här inställningen styr om användare med icke-verifierade domäner kan bjudas in till arbetsytan. Användare från externa domäner behöver inte logga in via SSO, eftersom SSO-inställningar endast gäller användare som tillhör den verifierade domänen.
Aktivera SSO Den här inställningen avgör om dina konfigurerade SSO-inställningar gäller för arbetsytan och/eller organisationen.
Kräv SSO
När den här inställningen är inaktiverad kan användare med en verifierad domän välja mellan att logga in via SSO eller via social inloggning.
Globala administratörer kan ställa in Kräv SSO på Obligatoriskt för både ChatGPT och API Platform direkt från sidan Hantera SSO i administratörskonsolen. När den här inställningen är aktiverad kan användare med en verifierad domän endast logga in på den SSO-aktiverade arbetsytan eller organisationen via SSO. Lösenordsautentisering och social autentisering är inte längre giltiga för arbetsytan/organisationen, men kan fortfarande användas i andra arbetsytor/organisationer där deras domän inte är verifierad.
Domänverifiering i ChatGPT jämfört med API Platform
Som tidigare nämnts tillämpas domänverifiering i de delade ChatGPT- och Platform-instanserna. Det finns dock en viktig skillnad i hur domänverifiering påverkar inloggningar till ChatGPT jämfört med Platform om SSO är aktiverat:
SSO på API Platform är helt domänbaserat. Det innebär att när en domän har verifierats i valfri organisation och SSO har aktiverats, förlorar ALLA användare med den domänen möjligheten att logga in med lösenord. Om de inte har möjlighet till social autentisering blir de utelåsta från sina respektive organisationer om de inte tillhör IdP-åtkomstgruppen.
På ChatGPT-sidan påverkas däremot bara användare som tillhör den arbetsyta där domänen har verifierats. Användare som inte ingår i IdP:ns åtkomstgrupp kan fortfarande logga in på arbetsytor med de metoder som beskrivs i nästa avsnitt.
Inloggningsupplevelse för dina användare
OpenAI stöder tre olika autentiseringsmetoder:
Användarnamn + lösenord
Social autentisering via Microsoft/Google/Apple
SSO
Tänk på att beteendet varierar beroende på om användaren loggar in på ChatGPT eller API Platform, om användarens domän är verifierad och om användarens respektive arbetsytor/organisationer har krävt SSO.
SP-initierad inloggning
Alla användare kan gå direkt till antingen chatgpt.com eller platform.openai.com för att logga in. När det här alternativet används kan de olika autentiseringsmetoderna utlösas enligt nedan:

Om användaren tillhör flera arbetsytor, inklusive en där SSO har aktiverats för användarens domän, blir användaren ombedd att välja vilken arbetsyta hen vill logga in på.
ChatGPT SP-initierad inloggning
Om vi ser att den angivna e-postadressen tillhör en arbetsyta där dess domän är verifierad skickar vi användaren till användarens IdP för autentisering. Annars skickas användaren till inloggning genom att ange sitt lösenord.
Om användaren tillhör flera arbetsytor, inklusive minst en där SSO har aktiverats för användarens domän, blir användaren ombedd att välja vilken metod som ska användas för att logga in:

Obs! Om ”Kräv SSO” har aktiverats för en viss arbetsyta kan användare med de verifierade domänerna endast logga in via SSO. Social autentisering och lösenordsautentisering är inte tillgängliga.
Platform SP-initierad inloggning
Som tidigare nämnts kommer en användare med en verifierad domän alltid att skickas till sin IdP för autentisering när hen anger sin e-postadress på Platforms inloggningssida.
Därför är det viktigt att du är säker på att du förstår detta innan du aktiverar SSO för Platform. Annars är det mycket lätt att av misstag låsa ute Platform-användare med personliga konton.
IdP-initierad inloggning
När du konfigurerar SSO från respektive identitetssida hittar du en unik Tile-URL för både ChatGPT och API Platform:
ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_012abcdef
Platform: https://platform.openai.com/enterprise/conn_012abc/login
Dessa Tile-URL:er kan konfigureras i din IdP så att användarna kan logga in/autentisera sig automatiskt med ett enda klick.
Nästa steg
Nu när du har en god grundförståelse för vår arkitektur kan du gå vidare till sidan ”Förstå din idealiska konfiguration för användarhantering” för att avgöra den bästa implementeringen för ditt användningsfall. Därefter går vi igenom hur du konfigurerar SSO och SCIM i ditt konto.
