OpenAI
หน้านี้แปลด้วยระบบอัตโนมัติ ดูต้นฉบับภาษาอังกฤษ.

ภาพรวม SSO

ภาพรวมระดับสูงของ SSO และการทำงานร่วมกันระหว่าง ChatGPT กับ Platform

อัปเดตล่าสุด: 2 days ago

วัตถุประสงค์

คู่มือนี้มีวัตถุประสงค์เพื่อให้ข้อมูลที่จำเป็นแก่ผู้ดูแลระบบและทีม IT สำหรับพิจารณาก่อนกำหนดค่า SSO ในบัญชี ChatGPT หรือ Platform ของคุณ SSO พร้อมใช้งานสำหรับลูกค้า Business, Enterprise และ Edu

สถาปัตยกรรมเบื้องหลังและคำศัพท์

ปัจจุบัน SSO รองรับผ่านการยืนยันตัวตนแบบ SAML สำหรับทั้ง ChatGPT และ API Platform

  • เวิร์กสเปซ หมายถึงอินสแตนซ์ของ ChatGPT

  • องค์กร หมายถึงอินสแตนซ์ของ API Platform

  • ผู้ให้บริการตัวตน (IdP) หมายถึงบริการที่คุณใช้จัดการตัวตนดิจิทัล เรารองรับการเชื่อมต่อผ่าน IdP ทั้งหมดที่รองรับ SAML IdP ที่พบบ่อยที่สุดบางส่วนที่เราเคยเชื่อมต่อด้วย ได้แก่:

  • Okta

  • Azure Active Directory/Entra ID

  • Google Workspace

  • Duo

สำหรับรายการ IdP ที่รองรับทั้งหมด โปรดดูหน้าการผสานการทำงานของ WorkOS เรารองรับการผสานการทำงานของบุคคลที่สามทั้งหมดในหน้านี้ ซึ่งสามารถเชื่อมต่อได้ผ่าน SAML หรือ OIDC

ปัจจุบัน เวิร์กสเปซ ChatGPT ทุกเวิร์กสเปซมีองค์กร Platform ที่สอดคล้องกันเชื่อมโยงอยู่ ซึ่งหมายความว่า Organization ID (org-id) ที่คุณพบในหน้า “ทั่วไป” ของ Platform สำหรับ Enterprise เป็น Organization ID (org-id) เดียวกับที่เชื่อมโยงกับเวิร์กสเปซ Enterprise ChatGPT ของคุณ ดังนั้น เวิร์กสเปซและองค์กรของคุณจึงใช้เลเยอร์การยืนยันตัวตนเดียวกัน:

Diagram of an SSO identity platform connecting through OpenAI's authentication layer to ChatGPT Enterprise and OpenAI API

มีประเด็นสำคัญบางข้อที่ควรทราบจากสถาปัตยกรรมนี้:

  1. Organization ID (org-id) หนึ่งรายการรองรับการกำหนดค่า IdP ได้เพียงรายการเดียวเท่านั้น

  2. การยืนยันโดเมนและการตั้งค่า SAML SSO จะใช้ร่วมกันระหว่าง ChatGPT และ API Platform

  3. ต้องเปิดใช้งาน SSO แยกกันระหว่าง ChatGPT กับ API Platform อย่างไรก็ตาม เมื่อคุณกำหนดค่าในที่หนึ่งแล้ว การ “ตั้งค่า” อีกที่หนึ่งโดยมากก็เป็นเพียงการเปิดสวิตช์ และเพิ่มแอปบุ๊กมาร์กใน IdP ของคุณหากต้องการ

เริ่มต้นใช้งาน SSO

ก่อนกำหนดค่า SSO ในบัญชีของคุณ สิ่งสำคัญคือต้องทำความเข้าใจแนวคิดหลักบางประการเกี่ยวกับฟังก์ชัน SSO ของ OpenAI ก่อน

คำศัพท์ทั่วไปเกี่ยวกับตัวตน

การจัดเตรียม เมื่อ OpenAI กล่าวถึงการจัดเตรียมในบริบทของผู้ใช้ เราหมายถึงการจัดเตรียมคำเชิญโดยเฉพาะ เราไม่รองรับการจัดเตรียมเพื่อสร้างบัญชีผู้ใช้โดยตรง สามารถจัดเตรียมคำเชิญได้ผ่าน:

  1. SCIM (รองรับทั้งใน การผสานการทำงาน ChatGPT SCIM และ การผสานการทำงาน SCIM ของ API Platform)

  2. หน้า “สมาชิก” ของ ChatGPT หรือ API Platform

  3. การสร้างบัญชีอัตโนมัติ

  4. API สำหรับคำเชิญ

การจัดเตรียมคำเชิญเป็นขั้นตอนที่แยกจากการยืนยันตัวตนที่ดำเนินการโดย SSO


การยืนยันตัวตน – “คุณเป็นบุคคลที่คุณอ้างว่าเป็นจริงหรือไม่?”

ตัวอย่าง: IdP ยืนยันตัวตนผู้ใช้กับบริการของเรา เพื่อให้เราทราบว่าผู้ใช้เป็นบุคคลที่ตนอ้างว่าเป็นจริงเมื่อเข้าสู่ระบบ


การอนุญาต – “คุณได้รับอนุญาตให้ทำหรือดูอะไรได้บ้าง?”

ตัวอย่าง: หลังจาก IdP ยืนยันตัวตนของคุณแล้ว เราจะกำหนดว่าคุณเป็นสมาชิกของเวิร์กสเปซ ChatGPT ใดบ้าง

ทำความรู้จักกับการตั้งค่า SSO ของ OpenAI

การยืนยันโดเมน เป็นข้อกำหนดเบื้องต้นสำหรับการเปิดใช้งาน SSO และการสร้างบัญชีอัตโนมัติ กล่าวง่ายๆ คือ “คุณเป็นเจ้าของโดเมนนี้หรือไม่?”

  1. เมื่อเข้าสู่ระบบผ่าน chatgpt.com หรือ platform.openai.com โดเมนที่ยืนยันแล้วจะกำหนดว่าจะส่งผู้ใช้ไปยังหน้ารหัสผ่านของเรา หรือไปยัง IdP ของผู้ใช้เมื่อมีการตั้งค่า SSO ไว้ด้วย

  2. เมื่อโดเมนได้รับการยืนยันในเวิร์กสเปซของคุณแล้ว ผู้ใช้ที่ได้รับเชิญเข้าเวิร์กสเปซด้วยอีเมลจากโดเมนนั้น จะได้รับแจ้งให้รวมบัญชีส่วนบุคคลของตนในการเข้าสู่ระบบครั้งถัดไป

  3. การยืนยันตัวตนของ ChatGPT อิงทั้งโดเมนและเวิร์กสเปซ เมื่อโดเมนได้รับการยืนยันและเปิดใช้งาน SSO ในเวิร์กสเปซแล้ว เฉพาะผู้ใช้ในเวิร์กสเปซนั้นที่ใช้โดเมนเดียวกันเท่านั้นที่จะถูกนำไปยัง SSO ผู้ใช้ที่ใช้โดเมนเดียวกันแต่ไม่ได้เป็นส่วนหนึ่งของเวิร์กสเปซ (เช่น ผู้ใช้บัญชี Free, Plus, Pro หรือ Team จากโดเมนของคุณ) จะยังคงเข้าสู่ระบบผ่านอีเมล/รหัสผ่าน หรือบัญชีโซเชียลได้

  4. การยืนยันตัวตนของ Platform อิงตามโดเมน เมื่อโดเมนได้รับการยืนยันและเปิดใช้งาน SSO แล้ว ผู้ใช้ Platform ทุกคนภายใต้โดเมนนั้นจะไม่สามารถเข้าสู่ระบบด้วยรหัสผ่านได้อีก ดูรายละเอียดเพิ่มเติมในหัวข้อ “การยืนยันโดเมนบน ChatGPT เทียบกับ API Platform” ด้านล่าง

  5. ต้องยืนยันซับโดเมนแยกต่างหากจากโดเมนระดับบนสุด

เพื่อให้เราประมวลผลการยืนยันโดเมนของคุณได้สำเร็จ ระเบียน TXT ของคุณต้องสามารถอ่านได้ผ่านการค้นหา DNS


(เฉพาะ ChatGPT) การสร้างบัญชีอัตโนมัติ (AAC) เมื่อเปิดใช้งานในเวิร์กสเปซ ChatGPT ผู้ใช้ใหม่ที่มีอีเมลตรงกับโดเมนที่ยืนยันแล้วจะได้รับคำเชิญไปยังเวิร์กสเปซ Enterprise โดยอัตโนมัติเมื่อลงทะเบียน เราไม่แนะนำให้เปิดใช้งาน AAC หากคุณใช้ SCIM


(เฉพาะ ChatGPT) อนุญาตคำเชิญจากโดเมนภายนอก การตั้งค่านี้ควบคุมว่าจะสามารถเชิญผู้ใช้ที่มีโดเมนที่ยังไม่ได้ยืนยันเข้าเวิร์กสเปซได้หรือไม่ ผู้ใช้จากโดเมนภายนอกไม่จำเป็นต้องเข้าสู่ระบบผ่าน SSO เนื่องจากการตั้งค่า SSO มีผลเฉพาะกับผู้ใช้ที่อยู่ในโดเมนที่ยืนยันแล้วเท่านั้น


เปิดใช้งาน SSO การตั้งค่านี้กำหนดว่าการตั้งค่า SSO ที่คุณกำหนดไว้จะมีผลกับเวิร์กสเปซและ/หรือองค์กรหรือไม่


บังคับใช้ SSO

เมื่อปิดใช้งาน การตั้งค่านี้จะอนุญาตให้ผู้ใช้ที่มีโดเมนที่ยืนยันแล้วเลือกเข้าสู่ระบบผ่าน SSO หรือผ่านการเข้าสู่ระบบด้วยบัญชีโซเชียล

ผู้ดูแลระบบส่วนกลางสามารถตั้งค่า “บังคับใช้ SSO” เป็น “จำเป็น” สำหรับทั้ง ChatGPT และ API Platform ได้โดยตรงจากหน้าจัดการ SSO ในคอนโซลผู้ดูแลระบบ เมื่อเปิดใช้งาน การตั้งค่านี้จะทำให้ผู้ใช้ที่มีโดเมนที่ยืนยันแล้วสามารถลงชื่อเข้าใช้เวิร์กสเปซหรือองค์กรที่เปิดใช้งาน SSO ได้ผ่าน SSO เท่านั้น การยืนยันตัวตนด้วยรหัสผ่านและบัญชีโซเชียลจะไม่สามารถใช้กับเวิร์กสเปซ/องค์กรนั้นได้อีก แต่ยังสามารถใช้ในเวิร์กสเปซ/องค์กรอื่นที่โดเมนของผู้ใช้ยังไม่ได้รับการยืนยัน

การยืนยันโดเมนบน ChatGPT เทียบกับ API Platform

ตามที่กล่าวไปก่อนหน้านี้ การยืนยันโดเมนจะใช้ร่วมกันในอินสแตนซ์ของ ChatGPT และ Platform อย่างไรก็ตาม หากเปิดใช้งาน SSO จะมีความแตกต่างสำคัญในวิธีที่การยืนยันโดเมนส่งผลต่อการเข้าสู่ระบบ ChatGPT เทียบกับ Platform:

SSO บน API Platform อิงตามโดเมนทั้งหมด ซึ่งหมายความว่าเมื่อมีการยืนยันโดเมนในองค์กรใดก็ตาม และเปิดใช้งาน SSO แล้ว ผู้ใช้ทุกคนที่ใช้โดเมนนั้นจะไม่สามารถเข้าสู่ระบบด้วยรหัสผ่านได้อีก หากผู้ใช้ไม่มีวิธีการยืนยันตัวตนด้วยบัญชีโซเชียล ผู้ใช้จะไม่สามารถเข้าถึงองค์กรของตนได้ เว้นแต่จะอยู่ในกลุ่มการเข้าถึงของ IdP

ในทางกลับกัน ฝั่ง ChatGPT จะมีผลกระทบเฉพาะผู้ใช้ที่อยู่ในเวิร์กสเปซซึ่งมีการยืนยันโดเมนแล้วเท่านั้น ผู้ใช้ที่ไม่ได้อยู่ในกลุ่มการเข้าถึงของ IdP จะยังคงเข้าสู่ระบบเวิร์กสเปซได้ด้วยวิธีที่กล่าวถึงในส่วนถัดไป

ประสบการณ์การเข้าสู่ระบบของผู้ใช้ของคุณ

OpenAI รองรับวิธีการยืนยันตัวตน 3 วิธี:

  1. ชื่อผู้ใช้ + รหัสผ่าน

  2. การยืนยันตัวตนด้วยบัญชีโซเชียลผ่าน Microsoft/Google/Apple

  3. SSO

โปรดทราบว่าลักษณะการทำงานจะแตกต่างกันไป ขึ้นอยู่กับว่าผู้ใช้กำลังเข้าสู่ระบบ ChatGPT หรือ API Platform, โดเมนของผู้ใช้ได้รับการยืนยันแล้วหรือไม่ และเวิร์กสเปซ/องค์กรที่เกี่ยวข้องบังคับใช้ SSO หรือไม่

การเข้าสู่ระบบที่เริ่มจาก SP

ผู้ใช้ทุกคนสามารถไปที่ chatgpt.com หรือ platform.openai.com ได้โดยตรงเพื่อเข้าสู่ระบบ เมื่อใช้ตัวเลือกนี้ วิธีการยืนยันตัวตนต่างๆ จะถูกเรียกใช้งานได้ตามที่แสดงด้านล่าง:

Diagram of login methods grouped into Password, SSO with SAML, and Social providers like Google, Microsoft, and Apple

หากผู้ใช้เป็นสมาชิกของหลายเวิร์กสเปซ รวมถึงเวิร์กสเปซที่เปิดใช้งาน SSO สำหรับโดเมนของตน ผู้ใช้จะได้รับแจ้งให้เลือกว่าจะเข้าสู่ระบบเวิร์กสเปซใด

การเข้าสู่ระบบ ChatGPT ที่เริ่มจาก SP

หากเราพบว่าอีเมลที่กรอกเป็นของเวิร์กสเปซที่โดเมนได้รับการยืนยันแล้ว เราจะส่งผู้ใช้ไปยัง IdP ของตนเพื่อยืนยันตัวตน มิฉะนั้น ผู้ใช้จะถูกนำไปเข้าสู่ระบบโดยกรอกรหัสผ่าน

หากผู้ใช้เป็นสมาชิกของหลายเวิร์กสเปซ รวมถึงอย่างน้อยหนึ่งเวิร์กสเปซที่เปิดใช้งาน SSO สำหรับโดเมนของตน ผู้ใช้จะได้รับแจ้งให้เลือกวิธีที่จะใช้เข้าสู่ระบบ:

ChatGPT sign-in screen with two SSO workspace options plus Google, Microsoft, Apple, and password login

หมายเหตุ: หากเปิดใช้งาน “บังคับใช้ SSO” สำหรับเวิร์กสเปซใดเวิร์กสเปซหนึ่ง ผู้ใช้ที่มีโดเมนที่ยืนยันแล้วจะเข้าสู่ระบบได้ผ่าน SSO เท่านั้น การยืนยันตัวตนด้วยบัญชีโซเชียลและรหัสผ่านจะไม่พร้อมใช้งาน

การเข้าสู่ระบบ Platform ที่เริ่มจาก SP

ดังที่กล่าวไปก่อนหน้านี้ เมื่อผู้ใช้ที่มีโดเมนที่ยืนยันแล้วกรอกอีเมลของตนในหน้าเข้าสู่ระบบ Platform ผู้ใช้จะถูกนำไปยัง IdP ของตนเพื่อยืนยันตัวตนเสมอ

นี่คือเหตุผลที่คุณต้องมั่นใจว่าเข้าใจเรื่องนี้อย่างถ่องแท้ก่อนเปิดใช้งาน SSO สำหรับ Platform ไม่เช่นนั้น ผู้ใช้ Platform ในบัญชีส่วนบุคคลอาจถูกล็อกไม่ให้เข้าถึงโดยไม่ได้ตั้งใจได้ง่ายมาก

การเข้าสู่ระบบที่เริ่มจาก IdP

เมื่อกำหนดค่า SSO จากหน้าตัวตนที่เกี่ยวข้อง คุณจะพบ Tile URL เฉพาะที่มีให้ทั้งสำหรับ ChatGPT และ API Platform:

สามารถกำหนดค่า Tile URL เหล่านี้ใน IdP ของคุณ เพื่อให้ผู้ใช้เข้าสู่ระบบ/ยืนยันตัวตนได้โดยอัตโนมัติด้วยการคลิกเพียงครั้งเดียว

ขั้นตอนถัดไป

เมื่อคุณมีพื้นฐานที่ดีเกี่ยวกับสถาปัตยกรรมของเราแล้ว โปรดไปที่หน้า “ทำความเข้าใจการตั้งค่าการจัดการผู้ใช้ที่เหมาะสมที่สุดของคุณ” เพื่อกำหนดการใช้งานที่เหมาะที่สุดสำหรับกรณีการใช้งานของคุณ หลังจากนั้น เราจะแนะนำวิธีกำหนดค่า SSO และ SCIM ภายในบัญชีของคุณ

บทความนี้มีประโยชน์หรือไม่