Мета
Цей посібник призначений для адміністраторів та ІТ-команд і містить необхідну інформацію, яку слід врахувати перед налаштуванням єдиного входу в облікових записах ChatGPT або Platform. Єдиний вхід доступний клієнтам Business, Enterprise та Edu.
Базова архітектура й термінологія
Єдиний вхід наразі підтримується через автентифікацію SAML як для ChatGPT, так і для API Platform.
Робочий простір означає екземпляр ChatGPT
Організація означає екземпляр API Platform
Постачальник ідентичності (IdP) означає сервіс, який ви використовуєте для керування цифровою ідентичністю. Ми підтримуємо підключення через усі IdP, які підтримують SAML. Серед найпоширеніших IdP, з якими ми вже підключалися:
Okta
Azure Active Directory/Entra ID
Google Workspace
Duo
Повний список підтримуваних IdP наведено на сторінці інтеграцій WorkOS. Ми підтримуємо всі сторонні інтеграції на цій сторінці, які можна підключити через SAML або OIDC.
Наразі кожен робочий простір ChatGPT має пов’язану з ним організацію Platform. Це означає, що ідентифікатор організації (org-id), який ви бачите на сторінці «Загальні» в Platform для Enterprise, збігається з ідентифікатором організації (org-id), пов’язаним із вашим робочим простором ChatGPT Enterprise. Унаслідок цього ваш робочий простір і організація використовують спільний рівень автентифікації:
З огляду на цю архітектуру варто звернути увагу на кілька ключових моментів:
Один ідентифікатор організації (org-id) може підтримувати лише одну конфігурацію IdP.
Підтвердження доменів і налаштування єдиного входу SAML спільні для ChatGPT і API Platform.
Єдиний вхід потрібно вмикати окремо для ChatGPT і для API Platform. Однак після налаштування в одному з них «налаштування» іншого здебільшого зводиться до вмикання перемикача та, за потреби, додавання застосунку-закладки у вашому IdP.
Початок роботи з єдиним входом
Перед налаштуванням єдиного входу у вашому обліковому записі важливо спочатку зрозуміти кілька ключових понять, пов’язаних із функціональністю єдиного входу OpenAI.
Загальна термінологія ідентичності
Провізіонування Коли OpenAI говорить про провізіонування в контексті користувачів, ідеться саме про провізіонування запрошень. Ми не підтримуємо безпосереднє провізіонування створення облікових записів користувачів. Запрошення можна провізіонувати через:
SCIM (підтримується як в інтеграції ChatGPT SCIM, так і в інтеграції API Platform SCIM)
Сторінка «Учасники» в ChatGPT або API Platform
Автоматичне створення облікових записів
API запрошень
Провізіонування запрошень — це окремий етап від автентифікації, яка виконується через єдиний вхід.
Автентифікація — «Чи ви справді той, за кого себе видаєте?»
Приклад: IdP автентифікує користувача в нашому сервісі, щоб під час входу ми знали, що він справді той, за кого себе видає.
Авторизація — «Що вам дозволено робити або бачити?»
Приклад: після того як ваш IdP автентифікує вас, ми визначаємо, учасником яких робочих просторів ChatGPT ви є.
Знайомство з налаштуваннями єдиного входу OpenAI
Підтвердження домену Це попередня умова для ввімкнення єдиного входу та автоматичного створення облікових записів. По суті: «Чи належить вам цей домен?»
Під час входу через chatgpt.com або platform.openai.com підтверджений домен визначає, чи слід спрямувати користувача на нашу сторінку введення пароля, чи до його IdP, якщо також налаштовано єдиний вхід.
Після підтвердження домену у вашому робочому просторі будь-якому користувачу, запрошеному до робочого простору з адресою електронної пошти цього домену, під час наступного входу буде запропоновано об’єднати свій особистий обліковий запис.
Автентифікація ChatGPT ґрунтується і на домені, і на робочому просторі: коли домен підтверджено, а для робочого простору ввімкнено єдиний вхід, до єдиного входу спрямовуватимуться лише користувачі цього робочого простору, які мають цей домен. Користувачі, які мають цей домен, але НЕ є частиною робочого простору (тобто користувачі облікових записів Free, Plus, Pro або Team з вашого домену), і надалі входитимуть за допомогою електронної пошти й пароля або через соціальний обліковий запис.
Автентифікація Platform ґрунтується на домені: коли домен підтверджено й увімкнено єдиний вхід, усі користувачі Platform із цим доменом утратять можливість входити за допомогою пароля. Докладнішу інформацію див. нижче в розділі «Підтвердження домену в ChatGPT порівняно з API Platform».
Піддомени потрібно підтверджувати окремо від доменів верхнього рівня
Щоб ми могли успішно обробити підтвердження вашого домену, ваш TXT-запис має бути доступний для читання через DNS-запит.
(лише ChatGPT) Автоматичне створення облікових записів (AAC) Якщо це ввімкнено в робочому просторі ChatGPT, новий користувач, чия адреса електронної пошти відповідає підтвердженим доменам, автоматично отримає запрошення до робочого простору Enterprise під час реєстрації. Ми не рекомендуємо вмикати AAC, якщо ви використовуєте SCIM.
(лише ChatGPT) Дозволити запрошення для зовнішніх доменів Це налаштування визначає, чи можна запрошувати до робочого простору користувачів із непідтвердженими доменами. Користувачам із зовнішніх доменів не потрібно буде входити через єдиний вхід, оскільки налаштування єдиного входу застосовуються лише до користувачів із підтвердженого домену.
Увімкнути єдиний вхід Це налаштування визначає, чи застосовуються налаштовані параметри єдиного входу до робочого простору та/або організації.
Примусово використовувати єдиний вхід
Коли це налаштування вимкнено, користувачі з підтвердженим доменом можуть вибирати між входом через єдиний вхід або через соціальний обліковий запис.
Глобальні адміністратори можуть установити для «Примусово використовувати єдиний вхід» значення «Обов’язково» як для ChatGPT, так і для API Platform безпосередньо зі сторінки керування єдиним входом у консолі адміністратора. Коли це налаштування ввімкнено, користувачі з підтвердженим доменом можуть входити до робочого простору або організації, де ввімкнено єдиний вхід, лише через єдиний вхід. Автентифікація за паролем і через соціальний обліковий запис більше не діє для цього робочого простору або організації, але її все ще можна використовувати в інших робочих просторах чи організаціях, де їхній домен не підтверджено.
Підтвердження домену в ChatGPT порівняно з API Platform
Як зазначалося раніше, підтвердження домену застосовується в спільних екземплярах ChatGPT і Platform. Однак є важлива відмінність у тому, як підтвердження домену впливає на входи в ChatGPT і Platform, якщо ввімкнено єдиний вхід:
Єдиний вхід на API Platform повністю ґрунтується на домені. Це означає, що після підтвердження домену в будь-якій організації та ввімкнення єдиного входу ВСІ користувачі з цим доменом утратять можливість входити за допомогою паролів. Якщо вони не мають способу автентифікації через соціальний обліковий запис, їх буде заблоковано в їхніх відповідних організаціях, якщо вони не належать до групи доступу IdP.
Натомість у ChatGPT це вплине лише на користувачів, які належать до робочого простору, де підтверджено домен. Користувачі, які не входять до групи доступу IdP, усе одно зможуть входити до робочих просторів способами, описаними в наступному розділі.
Досвід входу для ваших користувачів
OpenAI підтримує три різні способи автентифікації:
Ім’я користувача + пароль
Автентифікація через Microsoft/Google/Apple
Єдиний вхід
Майте на увазі, що поведінка відрізнятиметься залежно від того, чи користувач входить у ChatGPT або API Platform, чи підтверджено його домен і чи примусово застосовується єдиний вхід у відповідних робочих просторах або організаціях.
Вхід, ініційований постачальником послуг
Усі користувачі можуть перейти безпосередньо на chatgpt.com або platform.openai.com, щоб увійти. Під час використання цього варіанта різні способи автентифікації можуть запускатися, як показано нижче:
Якщо користувач належить до кількох робочих просторів, зокрема до такого, де для його домену ввімкнено єдиний вхід, йому буде запропоновано вибрати, до якого робочого простору увійти.
Вхід у ChatGPT, ініційований постачальником послуг
Якщо ми визначимо, що введена адреса електронної пошти належить до робочого простору, де підтверджено відповідний домен, ми перенаправимо користувача до його IdP для автентифікації. В іншому разі користувача буде спрямовано на вхід із введенням пароля.
Якщо користувач належить до кількох робочих просторів, зокрема принаймні до одного, де для його домену ввімкнено єдиний вхід, йому буде запропоновано вибрати спосіб входу:
Примітка: якщо для певного робочого простору ввімкнено «Примусово використовувати єдиний вхід», користувачі з підтвердженими доменами можуть входити лише через єдиний вхід. Автентифікація через соціальні облікові записи та пароль буде недоступна.
Вхід на Platform, ініційований постачальником послуг
Як зазначалося раніше, коли користувач із підтвердженим доменом вводить свою адресу електронної пошти на сторінці входу в Platform, його завжди буде перенаправлено до IdP для автентифікації.
Саме тому критично важливо переконатися, що ви все розумієте, перш ніж вмикати єдиний вхід для Platform. Інакше дуже легко помилково заблокувати користувачів Platform в особистих облікових записах.
Вхід, ініційований IdP
Під час налаштування єдиного входу на відповідних сторінках ідентичності ви знайдете унікальну URL-адресу плитки, надану як для ChatGPT, так і для API Platform:
ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_012abcdef
Platform: https://platform.openai.com/enterprise/conn_012abc/login
Ці URL-адреси плиток можна налаштувати у вашому IdP, щоб користувачі могли автоматично входити й автентифікуватися одним натисканням.
Наступні кроки
Тепер, коли ви маєте добре уявлення про нашу архітектуру, перейдіть на сторінку «Як зрозуміти ідеальне налаштування керування користувачами», щоб визначити найкращу реалізацію для вашого сценарію використання. Після цього ми покроково покажемо, як налаштувати єдиний вхід і SCIM у вашому обліковому записі.