OpenAI
Den här sidan har maskinöversatts. Visa den ursprungliga engelska artikeln.

SSO-översikt

Översikt över SSO och hur det fungerar i ChatGPT jämfört med Platform

Uppdaterades: 14 days ago

Syfte

Den här guiden är avsedd att ge administratörer och IT-team den information de behöver beakta innan de konfigurerar SSO i sina ChatGPT- eller Platform-konton. SSO är tillgängligt för Business-, Enterprise- och Edu-kunder.

Bakgrundsarkitektur och terminologi

SSO stöds för närvarande via SAML-autentisering för både ChatGPT och API Platform.

  • Arbetsyta avser en instans av ChatGPT

  • Organisation avser en API Platform-instans

  • Identitetsleverantör (IdP) avser den tjänst du använder för att hantera digital identitet. Vi stöder anslutningar via alla IdP:er som stöder SAML. Några av de vanligaste IdP:erna vi har anslutit till är:

  • Okta

  • Azure Active Directory/Entra ID

  • Google Workspace

  • Duo

En fullständig lista över IdP:er som stöds finns på WorkOS integrationssida. Vi stöder alla tredjepartsintegrationer på den här sidan som kan anslutas via antingen SAML eller OIDC.

För närvarande har varje ChatGPT-arbetsyta en motsvarande Platform-organisation kopplad till sig. Det innebär att det organisations-ID (org-id) du hittar på Enterprise Platform-sidan ”Allmänt” är samma organisations-ID (org-id) som är kopplat till din Enterprise ChatGPT-arbetsyta. Därför delar din arbetsyta och organisation samma autentiseringslager:

Diagram of an SSO identity platform connecting through OpenAI's authentication layer to ChatGPT Enterprise and OpenAI API

Det finns några viktiga saker att notera som följd av den här arkitekturen:

  1. Ett enskilt organisations-ID (org-id) kan endast stödja en enda IdP-konfiguration.

  2. Domänverifieringar och SAML SSO-inställningar delas mellan ChatGPT och API Platform.

  3. SSO måste aktiveras separat i ChatGPT respektive API Platform. När du väl har konfigurerat det i den ena består ”konfigurationen” för den andra dock i stort sett bara av att slå på reglaget och lägga till en bokmärkesapp i din IdP om du vill.

Kom igång med SSO

Innan du konfigurerar SSO i ditt konto är det viktigt att först förstå några nyckelbegrepp om OpenAI:s SSO-funktionalitet.

Allmän identitetsterminologi

Provisionering När OpenAI hänvisar till provisionering i användarsammanhang menar vi specifikt provisionering av inbjudningar. Vi har inte direkt stöd för provisionering av skapande av användarkonton. Inbjudningar kan provisioneras via:

  1. SCIM (stöds i både ChatGPT SCIM-integrationen och API Platform SCIM-integrationen)

  2. Sidan ”Medlemmar” i ChatGPT eller API Platform

  3. Automatiskt kontoskapande

  4. Invites API

Att provisionera inbjudningar är ett separat steg från den autentisering som utförs av SSO.


Autentisering – ”Är du den du utger dig för att vara?”

Exempel: en IdP autentiserar en användare till vår tjänst så att vi vet att personen är den den utger sig för att vara vid inloggning.


Auktorisering – ”Vad får du göra eller se?”

Exempel: När din IdP har autentiserat dig avgör vi vilka ChatGPT-arbetsytor du är medlem i.

Lär känna OpenAI:s SSO-inställningar

Domänverifiering Detta är ett krav för att aktivera SSO och automatiskt kontoskapande. I princip: ”Äger du den här domänen?”

  1. Vid inloggning via chatgpt.com eller platform.openai.com avgör en verifierad domän om en användare ska skickas vidare till vår lösenordssida eller till sin IdP när SSO också har konfigurerats

  2. När en domän har verifierats i din arbetsyta uppmanas alla användare som bjuds in till arbetsytan med en e-postadress från den domänen att slå ihop sitt personliga konto nästa gång de loggar in.

  3. ChatGPT-autentisering baseras på både domän OCH arbetsyta – när en domän är verifierad och SSO är aktiverat för arbetsytan dirigeras endast användare i den arbetsytan som delar domänen till SSO. Användare som delar domänen men INTE ingår i arbetsytan (dvs. användare med Free-, Plus-, Pro- eller Team-konton från din domän) fortsätter att logga in med e-post/lösenord eller social inloggning.

  4. Platform-autentisering är domänbaserad – när en domän är verifierad och SSO är aktiverat förlorar alla Platform-användare under den domänen möjligheten att logga in med lösenord. Se ”Domänverifiering i ChatGPT jämfört med API Platform” nedan för mer information.

  5. Underdomäner måste verifieras separat från toppdomäner

För att vi ska kunna behandla din domänverifiering måste din TXT-post vara läsbar via en DNS-sökning.


(Endast ChatGPT) Automatiskt kontoskapande (AAC) När detta är aktiverat för en ChatGPT-arbetsyta får en ny användare vars e-postadress matchar de verifierade domänerna automatiskt en inbjudan till Enterprise-arbetsytan när användaren registrerar sig. Vi rekommenderar inte att du aktiverar AAC om du använder SCIM.


(Endast ChatGPT) Tillåt inbjudningar från externa domäner Den här inställningen styr om användare med icke-verifierade domäner kan bjudas in till arbetsytan. Användare från externa domäner behöver inte logga in via SSO, eftersom SSO-inställningar endast gäller användare som tillhör den verifierade domänen.


Aktivera SSO Den här inställningen avgör om dina konfigurerade SSO-inställningar gäller för arbetsytan och/eller organisationen.


Kräv SSO

När den här inställningen är inaktiverad kan användare med en verifierad domän välja mellan att logga in via SSO eller via social inloggning.

Globala administratörer kan ställa in Kräv SSO på Obligatoriskt för både ChatGPT och API Platform direkt från sidan Hantera SSO i administratörskonsolen. När den här inställningen är aktiverad kan användare med en verifierad domän endast logga in på den SSO-aktiverade arbetsytan eller organisationen via SSO. Lösenordsautentisering och social autentisering är inte längre giltiga för arbetsytan/organisationen, men kan fortfarande användas i andra arbetsytor/organisationer där deras domän inte är verifierad.

Domänverifiering i ChatGPT jämfört med API Platform

Som tidigare nämnts tillämpas domänverifiering i de delade ChatGPT- och Platform-instanserna. Det finns dock en viktig skillnad i hur domänverifiering påverkar inloggningar till ChatGPT jämfört med Platform om SSO är aktiverat:

SSO på API Platform är helt domänbaserat. Det innebär att när en domän har verifierats i valfri organisation och SSO har aktiverats, förlorar ALLA användare med den domänen möjligheten att logga in med lösenord. Om de inte har möjlighet till social autentisering blir de utelåsta från sina respektive organisationer om de inte tillhör IdP-åtkomstgruppen.

På ChatGPT-sidan påverkas däremot bara användare som tillhör den arbetsyta där domänen har verifierats. Användare som inte ingår i IdP:ns åtkomstgrupp kan fortfarande logga in på arbetsytor med de metoder som beskrivs i nästa avsnitt.

Inloggningsupplevelse för dina användare

OpenAI stöder tre olika autentiseringsmetoder:

  1. Användarnamn + lösenord

  2. Social autentisering via Microsoft/Google/Apple

  3. SSO

Tänk på att beteendet varierar beroende på om användaren loggar in på ChatGPT eller API Platform, om användarens domän är verifierad och om användarens respektive arbetsytor/organisationer har krävt SSO.

SP-initierad inloggning

Alla användare kan gå direkt till antingen chatgpt.com eller platform.openai.com för att logga in. När det här alternativet används kan de olika autentiseringsmetoderna utlösas enligt nedan:

Diagram of login methods grouped into Password, SSO with SAML, and Social providers like Google, Microsoft, and Apple

Om användaren tillhör flera arbetsytor, inklusive en där SSO har aktiverats för användarens domän, blir användaren ombedd att välja vilken arbetsyta hen vill logga in på.

ChatGPT SP-initierad inloggning

Om vi ser att den angivna e-postadressen tillhör en arbetsyta där dess domän är verifierad skickar vi användaren till användarens IdP för autentisering. Annars skickas användaren till inloggning genom att ange sitt lösenord.

Om användaren tillhör flera arbetsytor, inklusive minst en där SSO har aktiverats för användarens domän, blir användaren ombedd att välja vilken metod som ska användas för att logga in:

ChatGPT sign-in screen with two SSO workspace options plus Google, Microsoft, Apple, and password login

Obs! Om ”Kräv SSO” har aktiverats för en viss arbetsyta kan användare med de verifierade domänerna endast logga in via SSO. Social autentisering och lösenordsautentisering är inte tillgängliga.

Platform SP-initierad inloggning

Som tidigare nämnts kommer en användare med en verifierad domän alltid att skickas till sin IdP för autentisering när hen anger sin e-postadress på Platforms inloggningssida.

Därför är det viktigt att du är säker på att du förstår detta innan du aktiverar SSO för Platform. Annars är det mycket lätt att av misstag låsa ute Platform-användare med personliga konton.

IdP-initierad inloggning

När du konfigurerar SSO från respektive identitetssida hittar du en unik Tile-URL för både ChatGPT och API Platform:

Dessa Tile-URL:er kan konfigureras i din IdP så att användarna kan logga in/autentisera sig automatiskt med ett enda klick.

Nästa steg

Nu när du har en god grundförståelse för vår arkitektur kan du gå vidare till sidan ”Förstå din idealiska konfiguration för användarhantering” för att avgöra den bästa implementeringen för ditt användningsfall. Därefter går vi igenom hur du konfigurerar SSO och SCIM i ditt konto.

Var den här artikeln till hjälp?