Mục đích

Hướng dẫn này nhằm cung cấp cho Quản trị viên và Đội ngũ CNTT thông tin cần thiết để cân nhắc trước khi cấu hình SSO trong tài khoản ChatGPT hoặc Platform của bạn. SSO khả dụng cho khách hàng Business, Enterprise và Edu.

Kiến trúc nền tảng và thuật ngữ

SSO hiện được hỗ trợ thông qua xác thực SAML cho cả ChatGPT và API Platform.

• Không gian làm việc là một phiên bản của ChatGPT

• Tổ chức là một phiên bản API Platform

• Nhà cung cấp danh tính (IdP) là dịch vụ bạn dùng để quản lý danh tính số. Chúng tôi hỗ trợ kết nối qua tất cả IdP có hỗ trợ SAML. Một số IdP phổ biến nhất mà chúng tôi đã kết nối gồm:

  • Okta

  • Azure Active Directory/Entra ID

  • Google Workspace

  • Duo

Để xem danh sách đầy đủ các IdP được hỗ trợ, vui lòng tham khảo trang Tích hợp của WorkOS. Chúng tôi hỗ trợ tất cả các tích hợp bên thứ ba trên trang này có thể kết nối qua SAML hoặc OIDC.

Hiện tại, mỗi không gian làm việc ChatGPT đều có một tổ chức Platform tương ứng gắn với nó. Điều này có nghĩa là ID tổ chức (org-id) bạn thấy trên trang "Chung" của Platform Enterprise cũng là ID tổ chức (org-id) gắn với không gian làm việc ChatGPT Enterprise của bạn. Do đó, không gian làm việc và tổ chức của bạn dùng chung một lớp xác thực:

Vì kiến trúc này, có một vài điểm quan trọng cần lưu ý:

1. Một ID tổ chức (org-id) chỉ có thể hỗ trợ một cấu hình IdP duy nhất.

2. Xác minh miền và cài đặt SAML SSO được dùng chung giữa ChatGPT và API Platform.

3. SSO phải được bật riêng trên ChatGPT và API Platform. Tuy nhiên, sau khi bạn cấu hình trên một bên, việc "thiết lập" bên còn lại chủ yếu chỉ là bật công tắc và thêm một ứng dụng đánh dấu trong IdP nếu muốn.

Bắt đầu với SSO

Trước khi cấu hình SSO trong tài khoản của bạn, điều quan trọng là trước tiên phải hiểu một số khái niệm chính về chức năng SSO của OpenAI.

Thuật ngữ chung về danh tính

Cấp phát
Khi OpenAI nói đến cấp phát trong ngữ cảnh người dùng, chúng tôi cụ thể đang nói đến việc cấp phát lời mời. Chúng tôi không trực tiếp hỗ trợ cấp phát việc tạo tài khoản người dùng. Lời mời có thể được cấp phát qua:

1. SCIM (được hỗ trợ trong cả Tích hợp SCIM ChatGPT và Tích hợp SCIM API Platform)

2. Trang "Thành viên" của ChatGPT hoặc API Platform

3. Tạo tài khoản tự động

4. API Lời mời

Việc cấp phát lời mời là một bước độc lập với việc xác thực do SSO thực hiện.

Xác thực – “Bạn có đúng là người bạn tự nhận không?”

Ví dụ: một IdP xác thực người dùng với dịch vụ của chúng tôi để chúng tôi biết họ đúng là người họ tự nhận khi đăng nhập.

Ủy quyền – “Bạn được phép làm gì hoặc xem gì?”

Ví dụ: Sau khi IdP xác thực bạn, chúng tôi xác định bạn là thành viên của (các) không gian làm việc ChatGPT nào.

Tìm hiểu cài đặt SSO của OpenAI

Xác minh miền
Đây là điều kiện tiên quyết để bật SSO và Tạo tài khoản tự động. Về cơ bản, “Bạn có sở hữu miền này không?”

1. Khi đăng nhập qua chatgpt.com hoặc platform.openai.com, một miền đã được xác minh sẽ quyết định có chuyển người dùng đến trang mật khẩu của chúng tôi hay đến IdP của họ khi SSO cũng đã được thiết lập hay không

2. Khi một miền được xác minh trong không gian làm việc của bạn, bất kỳ người dùng nào được mời vào không gian làm việc bằng email từ miền đó sẽ được nhắc hợp nhất tài khoản cá nhân của họ vào lần đăng nhập tiếp theo.

3. Xác thực ChatGPT dựa trên cả miền VÀ không gian làm việc - khi một miền được xác minh và SSO được bật trên không gian làm việc, chỉ những người dùng trong không gian làm việc đó có cùng miền mới được chuyển tới SSO. Người dùng có cùng miền nhưng KHÔNG thuộc Không gian làm việc (ví dụ: người dùng tài khoản Free, Plus, Pro hoặc Team từ miền của bạn) sẽ tiếp tục đăng nhập bằng email/mật khẩu hoặc Social.

4. Xác thực Platform dựa trên miền -- khi một miền được xác minh và SSO được bật, tất cả người dùng Platform thuộc miền đó sẽ mất khả năng đăng nhập bằng mật khẩu. Xem phần "Xác minh miền trên ChatGPT so với API Platform" bên dưới để biết thêm chi tiết.

5. Tên miền phụ phải được xác minh riêng với tên miền cấp cao nhất

Để chúng tôi có thể xử lý xác minh miền của bạn thành công, bản ghi TXT của bạn phải đọc được qua tra cứu DNS.

(Chỉ ChatGPT) Tạo tài khoản tự động (AAC)
Khi được bật trên một không gian làm việc ChatGPT, người dùng mới có email khớp với (các) miền đã xác minh sẽ tự động nhận được lời mời vào không gian làm việc Enterprise khi họ đăng ký. Chúng tôi không khuyến nghị bật AAC nếu bạn đang dùng SCIM.

(Chỉ ChatGPT) Cho phép lời mời từ miền bên ngoài
Cài đặt này kiểm soát việc người dùng có miền chưa được xác minh có thể được mời vào không gian làm việc hay không. Người dùng từ miền bên ngoài sẽ không bị yêu cầu đăng nhập qua SSO vì cài đặt SSO chỉ áp dụng cho người dùng thuộc miền đã xác minh.

Bật SSO
Cài đặt này xác định liệu cài đặt SSO bạn đã cấu hình có áp dụng cho không gian làm việc và/hoặc tổ chức hay không.

Áp dụng bắt buộc SSO

Khi tắt, cài đặt này cho phép người dùng có miền đã xác minh chọn đăng nhập qua SSO hoặc qua đăng nhập mạng xã hội.

Quản trị viên toàn cục có thể đặt Áp dụng bắt buộc SSO thành Bắt buộc cho cả ChatGPT và API Platform trực tiếp từ trang Quản lý SSO trong Admin Console. Khi bật, cài đặt này khiến người dùng có miền đã xác minh chỉ có thể đăng nhập vào không gian làm việc hoặc tổ chức đã bật SSO thông qua SSO. Xác thực bằng mật khẩu và mạng xã hội აღარ hợp lệ cho không gian làm việc/tổ chức, nhưng vẫn có thể dùng trong các không gian làm việc/tổ chức khác nơi miền của họ chưa được xác minh.

Xác minh miền trên ChatGPT so với API Platform

Như đã thảo luận trước đó, xác minh miền được áp dụng trên các phiên bản ChatGPT và Platform dùng chung. Tuy nhiên, có một khác biệt quan trọng về cách xác minh miền ảnh hưởng đến việc đăng nhập vào ChatGPT so với Platform nếu SSO được bật:

Trải nghiệm đăng nhập cho người dùng của bạn

OpenAI hỗ trợ ba phương thức xác thực khác nhau:

1. Tên người dùng + Mật khẩu

2. Xác thực mạng xã hội qua Microsoft/Google/Apple

3. SSO

Hãy nhớ rằng hành vi sẽ khác nhau tùy vào việc người dùng đang đăng nhập vào ChatGPT hay API Platform, miền của họ có được xác minh hay không và không gian làm việc/tổ chức tương ứng của họ có áp dụng bắt buộc SSO hay không.

Đăng nhập do SP khởi tạo

Tất cả người dùng đều có thể truy cập trực tiếp vào chatgpt.com hoặc platform.openai.com để đăng nhập. Khi dùng tùy chọn này, các phương thức xác thực khác nhau có thể được kích hoạt như minh họa bên dưới:

Nếu người dùng thuộc nhiều không gian làm việc, bao gồm một nơi SSO đã được bật cho miền của họ, họ sẽ được nhắc chọn không gian làm việc để đăng nhập.

Đăng nhập ChatGPT do SP khởi tạo

Nếu chúng tôi thấy email đã nhập thuộc về một không gian làm việc nơi miền của email đó đã được xác minh, chúng tôi sẽ chuyển người dùng đến IdP của họ để xác thực. Nếu không, người dùng sẽ được chuyển đến đăng nhập bằng cách nhập mật khẩu của họ.

Nếu người dùng thuộc nhiều không gian làm việc, trong đó có ít nhất một nơi SSO đã được bật cho miền của họ, họ sẽ được nhắc chọn phương thức để đăng nhập:

Đăng nhập Platform do SP khởi tạo

Như đã đề cập trước đó, khi người dùng có miền đã xác minh nhập email của họ trên trang đăng nhập Platform, họ luôn sẽ được chuyển đến IdP của họ để xác thực.

Đây là lý do việc đảm bảo bạn hiểu rõ trước khi bật SSO cho Platform là rất quan trọng. Nếu không, rất dễ vô tình khóa quyền truy cập của người dùng Platform trên các tài khoản cá nhân.

Đăng nhập do IdP khởi tạo

Khi cấu hình SSO từ các trang danh tính tương ứng, bạn sẽ thấy một Tile URL riêng được cung cấp cho cả ChatGPT và API Platform:

• ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_012abcdef

• Platform: https://platform.openai.com/enterprise/conn_012abc/login

Các Tile URL này có thể được cấu hình trong IdP của bạn để cho phép người dùng tự động đăng nhập/xác thực chỉ với một lần nhấp.

Các bước tiếp theo

Giờ đây khi đã nắm được nền tảng kiến trúc của chúng tôi, vui lòng tiếp tục đến trang "Tìm hiểu thiết lập quản lý người dùng lý tưởng của bạn" để xác định cách triển khai phù hợp nhất cho trường hợp sử dụng của bạn. Sau đó, chúng tôi sẽ hướng dẫn bạn cách cấu hình SSO và SCIM trong tài khoản của mình.