OpenAI
หน้านี้แปลด้วยระบบอัตโนมัติ ดูต้นฉบับภาษาอังกฤษ.

ภาพรวม SSO

ภาพรวมระดับสูงของ SSO และวิธีการทำงานร่วมกันระหว่าง ChatGPT กับ Platform

อัปเดตล่าสุด: 8 hours ago

วัตถุประสงค์

คู่มือนี้จัดทำขึ้นเพื่อให้ผู้ดูแลระบบและทีมไอทีมีข้อมูลที่จำเป็นสำหรับพิจารณาก่อนตั้งค่า SSO ในบัญชี ChatGPT หรือ Platform ของคุณ SSO พร้อมให้ใช้งานสำหรับลูกค้า Business, Enterprise และ Edu

สถาปัตยกรรมเบื้องหลังและคำศัพท์

ขณะนี้รองรับ SSO ผ่านการยืนยันตัวตนแบบ SAML ทั้งสำหรับ ChatGPT และ API Platform

  • เวิร์กสเปซ หมายถึงอินสแตนซ์ของ ChatGPT

  • องค์กร หมายถึงอินสแตนซ์ของ API Platform

  • Identity Provider (IdP) หมายถึงบริการที่คุณใช้จัดการตัวตนดิจิทัล เรารองรับการเชื่อมต่อผ่าน IdP ทั้งหมดที่รองรับ SAML IdP ที่พบบ่อยซึ่งเราเชื่อมต่อด้วย ได้แก่:

    • Okta

    • Azure Active Directory/Entra ID

    • Google Workspace

    • Duo

สำหรับรายการ IdP ที่รองรับทั้งหมด โปรดดู หน้าการผสานรวม ของ WorkOS เรารองรับการผสานรวมของบุคคลที่สามทั้งหมดในหน้านี้ที่เชื่อมต่อได้ผ่าน SAML หรือ OIDC

ปัจจุบันทุก ChatGPT เวิร์กสเปซจะมี Platform organization ที่สอดคล้องกันผูกอยู่ ซึ่งหมายความว่า Organization ID (org-id) ที่คุณพบในหน้า “General” ของ Platform สำหรับ Enterprise จะเป็น Organization ID (org-id) เดียวกับที่ผูกกับ ChatGPT เวิร์กสเปซ Enterprise ของคุณ ดังนั้น เวิร์กสเปซและองค์กรของคุณจึงใช้ชั้นการยืนยันตัวตนเดียวกัน:

Diagram of an SSO identity platform connecting through OpenAI's authentication layer to ChatGPT Enterprise and OpenAI API

ด้วยสถาปัตยกรรมนี้ มีข้อสำคัญบางประการที่ควรทราบ:

  1. Organization ID (org-id) หนึ่งรายการรองรับการตั้งค่า IdP ได้เพียงหนึ่งแบบเท่านั้น

  2. การยืนยันโดเมนและการตั้งค่า SAML SSO ใช้ร่วมกันระหว่าง ChatGPT และ API Platform

  3. ต้องเปิดใช้ SSO แยกกันสำหรับ ChatGPT และ API Platform อย่างไรก็ตาม เมื่อคุณตั้งค่าในที่ใดที่หนึ่งแล้ว “การตั้งค่า” ของอีกฝั่งโดยมากก็แค่เปิดสวิตช์ และเพิ่ม bookmark app ใน IdP ของคุณหากต้องการ

เริ่มต้นใช้งาน SSO

ก่อนตั้งค่า SSO ในบัญชีของคุณ สิ่งสำคัญคือต้องเข้าใจแนวคิดหลักบางประการเกี่ยวกับความสามารถ SSO ของ OpenAI ก่อน

คำศัพท์ทั่วไปด้านตัวตน

Provisioning
เมื่อ OpenAI กล่าวถึง provisioning ในบริบทของผู้ใช้ เราหมายถึงการ provision คำเชิญ โดยเฉพาะ เราไม่รองรับการ provision การสร้างบัญชีผู้ใช้โดยตรง สามารถ provision คำเชิญได้ผ่าน:

  1. SCIM (รองรับทั้งใน การผสานรวม SCIM ของ ChatGPT และ การผสานรวม SCIM ของ API Platform)

  2. หน้า “Members” ของ ChatGPT หรือ API Platform

  3. การสร้างบัญชีอัตโนมัติ

  4. Invites API

การ provision คำเชิญเป็นขั้นตอนที่แยกจากการยืนยันตัวตนที่ดำเนินการโดย SSO

Authentication – “คุณเป็นคนที่คุณอ้างว่าเป็นใช่ไหม?””

ตัวอย่าง: IdP ยืนยันตัวตนผู้ใช้กับบริการของเรา เพื่อให้เราทราบว่าเขาเป็นบุคคลตามที่อ้างเมื่อเข้าสู่ระบบ

Authorization – “คุณได้รับอนุญาตให้ทำหรือดูอะไรได้บ้าง?””

ตัวอย่าง: หลังจาก IdP ของคุณยืนยันตัวตนแล้ว เราจะกำหนดว่าคุณเป็นสมาชิกของ ChatGPT เวิร์กสเปซใดบ้าง

ทำความรู้จักการตั้งค่า SSO ของ OpenAI

การยืนยันโดเมน
นี่เป็นข้อกำหนดเบื้องต้นสำหรับการเปิดใช้ SSO และการสร้างบัญชีอัตโนมัติ โดยพื้นฐานคือ “คุณเป็นเจ้าของโดเมนนี้ใช่ไหม?””

  1. เมื่อเข้าสู่ระบบผ่าน chatgpt.com หรือ platform.openai.com โดเมนที่ยืนยันแล้วจะกำหนดว่าจะส่งผู้ใช้ไปยังหน้ารหัสผ่านของเราหรือไปยัง IdP ของผู้ใช้เมื่อมีการตั้งค่า SSO ด้วย

  2. เมื่อยืนยันโดเมนในเวิร์กสเปซของคุณแล้ว ผู้ใช้ใดก็ตามที่ได้รับเชิญเข้าเวิร์กสเปซด้วยอีเมลจากโดเมนนั้น จะได้รับแจ้งให้รวมบัญชีส่วนตัวของตนในครั้งถัดไปที่เข้าสู่ระบบ

  3. การยืนยันตัวตนของ ChatGPT อิงตามทั้งโดเมนและเวิร์กสเปซ — เมื่อยืนยันโดเมนและเปิดใช้ SSO บนเวิร์กสเปซแล้ว จะมีเพียงผู้ใช้ในเวิร์กสเปซนั้นที่ใช้โดเมนเดียวกันเท่านั้นที่จะถูกส่งไปยัง SSO ผู้ใช้ที่ใช้โดเมนเดียวกันแต่ไม่ได้อยู่ในเวิร์กสเปซ (เช่น ผู้ใช้บัญชี Free, Plus, Pro หรือ Team จากโดเมนของคุณ) จะยังคงเข้าสู่ระบบผ่านอีเมล/รหัสผ่านหรือโซเชียลต่อไป

  4. การยืนยันตัวตนของ Platform อิงตามโดเมน — เมื่อยืนยันโดเมนและเปิดใช้ SSO แล้ว ผู้ใช้ Platform ทั้งหมดภายใต้โดเมนนั้นจะไม่สามารถเข้าสู่ระบบด้วยรหัสผ่านได้อีก ดู “การยืนยันโดเมนบน ChatGPT เทียบกับ API Platform” ด้านล่างเพื่อดูรายละเอียดเพิ่มเติม

  5. ซับโดเมนต้องยืนยันแยกจากโดเมนระดับบนสุด

เพื่อให้เราดำเนินการยืนยันโดเมนของคุณได้สำเร็จ ต้องสามารถอ่าน TXT record ของคุณได้ผ่านการค้นหา DNS

(ChatGPT เท่านั้น) การสร้างบัญชีอัตโนมัติ (AAC)
เมื่อเปิดใช้บน ChatGPT เวิร์กสเปซ ผู้ใช้ใหม่ที่มีอีเมลตรงกับโดเมนที่ยืนยันแล้วจะได้รับคำเชิญเข้าร่วมเวิร์กสเปซ Enterprise โดยอัตโนมัติเมื่อสมัครใช้งาน เราไม่แนะนำให้เปิดใช้ AAC หากคุณกำลังใช้ SCIM

(ChatGPT เท่านั้น) อนุญาตคำเชิญจากโดเมนภายนอก
การตั้งค่านี้ควบคุมว่าจะสามารถเชิญผู้ใช้ที่มีโดเมนซึ่งยังไม่ได้ยืนยันเข้าสู่เวิร์กสเปซได้หรือไม่ ผู้ใช้จากโดเมนภายนอกจะไม่ต้องเข้าสู่ระบบผ่าน SSO เนื่องจากการตั้งค่า SSO ใช้กับผู้ใช้ที่อยู่ในโดเมนที่ยืนยันแล้วเท่านั้น

เปิดใช้ SSO
การตั้งค่านี้กำหนดว่าการตั้งค่า SSO ที่คุณกำหนดไว้จะมีผลกับเวิร์กสเปซและ/หรือองค์กรหรือไม่

บังคับใช้ SSO

เมื่อปิดใช้งาน การตั้งค่านี้จะอนุญาตให้ผู้ใช้ที่มีโดเมนที่ยืนยันแล้วเลือกเข้าสู่ระบบผ่าน SSO หรือผ่านการเข้าสู่ระบบด้วยโซเชียลได้

Global Admin สามารถตั้งค่า Enforce SSO เป็น Required สำหรับทั้ง ChatGPT และ API Platform ได้โดยตรงจากหน้าจัดการ SSO ใน Admin Console เมื่อเปิดใช้งาน การตั้งค่านี้จะทำให้ผู้ใช้ที่มีโดเมนที่ยืนยันแล้วสามารถลงชื่อเข้าใช้เวิร์กสเปซหรือองค์กรที่เปิดใช้ SSO ได้ผ่าน SSO เท่านั้น การยืนยันตัวตนด้วยรหัสผ่านและโซเชียลจะใช้ไม่ได้อีกสำหรับเวิร์กสเปซ/องค์กรนั้น แต่ยังใช้ได้ในเวิร์กสเปซ/องค์กรอื่นที่โดเมนของผู้ใช้ยังไม่ได้รับการยืนยัน

การยืนยันโดเมนบน ChatGPT เทียบกับ API Platform

ดังที่กล่าวไว้ก่อนหน้านี้ การยืนยันโดเมนมีผลครอบคลุมทั้งอินสแตนซ์ ChatGPT และ Platform ที่ใช้ร่วมกัน อย่างไรก็ตาม มีความแตกต่างสำคัญในวิธีที่การยืนยันโดเมนส่งผลต่อการเข้าสู่ระบบของ ChatGPT เทียบกับ Platform หากเปิดใช้ SSO:

SSO บน API Platform เป็นแบบอิงโดเมนทั้งหมด ซึ่งหมายความว่าเมื่อมีการยืนยันโดเมนในองค์กรใดก็ได้ และเปิดใช้ SSO แล้ว ผู้ใช้ทุกคนที่ใช้โดเมนนั้นจะไม่สามารถเข้าสู่ระบบด้วยรหัสผ่านได้อีกต่อไป หากพวกเขาไม่มีวิธีการยืนยันตัวตนแบบ Social ก็จะไม่สามารถเข้าถึงองค์กรของตนได้ เว้นแต่จะอยู่ในกลุ่มการเข้าถึงของ IdP

ในทางกลับกัน ฝั่ง ChatGPT จะได้รับผลกระทบเฉพาะผู้ใช้ที่อยู่ในเวิร์กสเปซที่มีการยืนยันโดเมนเท่านั้น ผู้ใช้ที่ไม่ได้อยู่ในกลุ่มการเข้าถึงของ IdP จะยังคงเข้าสู่ระบบเวิร์กสเปซได้ด้วยวิธีที่อธิบายไว้ในส่วนถัดไป

ประสบการณ์การเข้าสู่ระบบของผู้ใช้ของคุณ

OpenAI รองรับวิธีการยืนยันตัวตนที่แตกต่างกันสามแบบ:

  1. ชื่อผู้ใช้ + รหัสผ่าน

  2. การยืนยันตัวตนผ่านโซเชียลด้วย Microsoft/Google/Apple

  3. SSO

โปรดทราบว่าพฤติกรรมจะแตกต่างกันไปตามว่าผู้ใช้กำลังเข้าสู่ ChatGPT หรือ API Platform โดเมนของผู้ใช้ได้รับการยืนยันหรือไม่ และเวิร์กสเปซ/องค์กรที่เกี่ยวข้องได้บังคับใช้ SSO หรือไม่

การเข้าสู่ระบบแบบ SP-Initiated

ผู้ใช้ทุกคนสามารถไปที่ chatgpt.com หรือ platform.openai.com โดยตรงเพื่อเข้าสู่ระบบได้ เมื่อใช้ตัวเลือกนี้ วิธีการยืนยันตัวตนต่างๆ สามารถถูกเรียกใช้ได้ดังที่แสดงด้านล่าง:

Diagram of login methods grouped into Password, SSO with SAML, and Social providers like Google, Microsoft, and Apple

หากผู้ใช้เป็นสมาชิกหลายเวิร์กสเปซ รวมถึงเวิร์กสเปซหนึ่งที่เปิดใช้ SSO สำหรับโดเมนของผู้ใช้ ระบบจะขอให้เลือกว่าจะเข้าสู่ระบบเวิร์กสเปซใด

การเข้าสู่ระบบแบบ SP-Initiated ของ ChatGPT

หากเราพบว่าอีเมลที่ป้อนเป็นของเวิร์กสเปซที่มีการยืนยันโดเมน เราจะส่งผู้ใช้ไปยัง IdP ของผู้ใช้เพื่อยืนยันตัวตน มิฉะนั้น ผู้ใช้จะถูกนำไปยังการเข้าสู่ระบบด้วยการป้อนรหัสผ่าน

หากผู้ใช้เป็นสมาชิกหลายเวิร์กสเปซ รวมถึงอย่างน้อยหนึ่งแห่งที่เปิดใช้ SSO สำหรับโดเมนของผู้ใช้ ระบบจะขอให้เลือกวิธีที่ใช้เข้าสู่ระบบ:

ChatGPT sign-in screen with two SSO workspace options plus Google, Microsoft, Apple, and password login

หมายเหตุ: หากเปิดใช้ "Enforce SSO" สำหรับเวิร์กสเปซใดเวิร์กสเปซหนึ่งแล้ว ผู้ใช้ที่มีโดเมนที่ยืนยันแล้วจะเข้าสู่ระบบได้ผ่าน SSO เท่านั้น โดยจะไม่สามารถใช้การยืนยันตัวตนแบบ Social และรหัสผ่านได้

การเข้าสู่ระบบแบบ SP-Initiated ของ Platform

ดังที่กล่าวไว้ก่อนหน้านี้ เมื่อผู้ใช้ที่มีโดเมนที่ยืนยันแล้วป้อนอีเมลในหน้าลงชื่อเข้าใช้ Platform ผู้ใช้จะถูกส่งไปยัง IdP เพื่อยืนยันตัวตนเสมอ

นี่จึงเป็นเหตุผลที่สำคัญมากที่คุณต้องทำความเข้าใจก่อนเปิดใช้ SSO สำหรับ Platform ไม่เช่นนั้น ก็อาจเผลอล็อกผู้ใช้ Platform ที่ใช้บัญชีส่วนตัวออกจากระบบได้ง่ายมาก

การเข้าสู่ระบบแบบ IdP-Initiated

เมื่อกำหนดค่า SSO จากหน้าตัวตนที่เกี่ยวข้อง คุณจะพบ Tile URL เฉพาะที่ให้มาสำหรับทั้ง ChatGPT และ API Platform:

Tile URL เหล่านี้สามารถกำหนดค่าใน IdP ของคุณเพื่อให้ผู้ใช้ลงชื่อเข้าใช้/ยืนยันตัวตนโดยอัตโนมัติได้ด้วยการคลิกเพียงครั้งเดียว

ขั้นตอนถัดไป

เมื่อคุณมีพื้นฐานความเข้าใจเกี่ยวกับสถาปัตยกรรมของเราแล้ว โปรดไปที่หน้า “Understanding Your Ideal User Management Setup” เพื่อกำหนดแนวทางใช้งานที่เหมาะสมที่สุดสำหรับกรณีใช้งานของคุณ หลังจากนั้น เราจะแนะนำคุณเกี่ยวกับวิธีกำหนดค่า SSO และ SCIM ภายในบัญชีของคุณ

บทความนี้มีประโยชน์หรือไม่