通用

Enterprise/Edu 套餐中的 SSO 与 Business 套餐中的 SSO 在功能上有何差异？

除了 Business SSO 是自助服务模式外，其他功能差异如下：

• Business 套餐不支持 SCIM / AD 群组同步，因此所有用户预配和取消预配操作都需要手动完成。

• 范围：Business SSO 仅适用于 ChatGPT；且不会沿用到 platform.openai.com。这不同于 Enterprise/Edu 套餐中的 SSO；在该场景下，SSO 可以选择同时覆盖 ChatGPT 和平台。

• 帐户迁移：Enterprise/Edu 套餐强制要求已验证域中的用户迁移或删除匹配的个人帐户；ChatGPT Business 套餐用户则可在单个用户级别进行帐户迁移，但 Business 套餐工作空间管理员无法强制执行此操作。

ChatGPT Business 支持哪些 SSO 协议？

SAML 和 OIDC。

IdP / SSO / SP 意味着什么？

• 身份提供商 (IdP)：用于管理数字身份的服务。

• 单点登录 (SSO)：集中托管的 IdP 登录操作允许用户访问所有已关联的应用，而无需重新输入凭据。

• 服务提供商 (SP) – ChatGPT：应用（即ChatGPT） 信任 IdP Token，并授予用户访问权限。

我应如何为 Business 工作空间设置 SSO？

在 https://chatgpt.com/admin/identity 中 ChatGPT Business 工作空间设置的“身份与预配”选项卡下，为工作空间设置以下内容：

1. 已验证的域名

2. 身份管理

如何为我的 Business 套餐工作空间设置用于 SCIM 配置/取消配置的目录同步功能？

如果你需要目录同步 (SCIM)，请升级到 ChatGPT Enterprise。

在启用 SSO 之前，是否需要验证域名？

是。域名验证可证明你拥有计划与身份提供商 (IdP) 绑定的电子邮件命名空间。在至少验证一个域名之前，SSO 设置处于禁用状态。

验证域名是否需要额外付费？

否，无需额外收费。每个 ChatGPT Business 订阅套餐均包含域名验证功能。

尝试启用 SSO 时，为什么会出现“域名已由其他工作空间验证”的提示？

当域名由 Enterprise（或者其他 Business 或 API 平台 SSO 实例）工作空间所有时，Business 向导会报错。

贵公司的 IT 团队可以通过我们的“联系销售团队”表单联系 OpenAI 销售团队，探讨工作空间整合事宜。请参阅“如何联系 OpenAI 销售团队”。

我能否邀请不在 IdP 中的承包商或外部协作者？

能，你可以启用外部域名邀请，以邀请这些用户和外部协作者加入你的 ChatGPT Business 工作空间。

如果我稍后将此 Business 工作空间升级到 ChatGPT Enterprise，SSO 设置会发生什么变化？

如需升级到 Enterprise，请通过我们的“联系销售团队”表单联系 OpenAI 销售团队。请参阅“如何联系 OpenAI 销售团队”。

如果所有人均已通过 SSO 完成身份验证，但连接失败，我们应如何恢复访问权限？

在这种情况下，有两种方案供你选择：

1. Business 工作空间管理员向我们的支持团队寻求帮助，以禁用 SSO。管理员应使用密码/社交媒体帐户登录。

2. 如果允许外部域名，你可以使用外部域名设置一个后门管理员帐户，以免该帐户受到 SSO 设置的约束。如果系统阻止你登录，请使用该用户信息（应通过密码/社交媒体帐户进行身份验证）登录。

我是否可以同时使用 SSO 和密码登录？

是的。如果你的 Business 工作空间仅对 ChatGPT 使用 SSO，仍需访问平台或 Intercom 的用户可点击“忘记密码”设置常规密码，然后继续使用电子邮件/密码登录。

支持哪些身份提供商 (IdP)？

ADP OpenID Connect、Auth0 SAML、CAS SAML、ClassLink SAML、Cloudflare SAML、CyberArk SAML、Duo SAML、Entra ID (Azure AD)、Google SAML、JumpCloud SAML、Keycloak SAML、LastPass SAML、Login.gov OpenID Connect、Microsoft AD FS、miniOrange SAML、NetIQ SAML、Okta、OneLogin、Oracle、PingFederate、PingOne、Rippling、Salesforce、Shibboleth Generic SAML、Shibboleth、SimpleSAMLphp SAML、VMware Workspace One。

你还可以在向导中选择 "自定义 SAML "或 "自定义 OIDC"。

ChatGPT Business 套餐是否允许每个工作空间使用多个已验证的电子邮件域名？

是。

仍处于免费试用期的 ChatGPT Business 套餐工作空间能否启用 SSO，还是必须等到成功扣款后才能启用？

目前，ChatGPT Business 套餐并未设置免费试用流程。新的工作空间必须完成 1 美元的首发推广消费且成功扣款，才能启用 SSO。

SSO 是否已完全包含在 30 美元/用户/月的 ChatGPT Business 套餐价格中，还是存在任何我们需要披露的隐藏费用（例如按连接收费）？

是，Business-SSO 不会在 Business 套餐本身的基础席位价格之外另行收费。SSO 无需额外付费即可启用。

即将过期的证书是如何处理的？

目前，续订证书的责任由 Business 工作空间管理员及其相应的 IT 团队承担。如需采取任何行动，OpenAI 支持团队可提供协助，但证书的续订/轮换应由客户的 IdP 执行。

如果唯一已配置 SSO 的工作空间所有者在移交访问权限之前离职，建议的流程是什么？

当前流程会阻止其退出：唯一的工作空间所有者必须先将所有权转让给另一名成员，然后才能退出。

如果用户先使用密码登录，然后又通过 SSO（相同的电子邮件地址）登录，其对话记录会自动合并，还是创建重复帐户？

如果 SSO 断言返回相同的电子邮件地址，ChatGPT 会将此次登录关联到现有个人资料，并完整保存对话历史记录，且不会创建重复帐户。只有在 SSO 响应提供不同的电子邮件地址时，才会创建新的（空）帐户；一旦更正映射，用户的原始帐户（包含所有历史记录）仍可保留。

SSO 场景和预期行为

组织在同一已验证域名下同时拥有 Enterprise 和 Business 工作空间

当 Business 套餐设置向导检查该域名时，它只会提示该域名“已验证”。它不会透露该域名归属于哪个工作空间（Enterprise 或其他工作空间），只会显示其他用户已完成验证。

两个独立的 Business 工作空间共用同一个域名

只有一个 Business 工作空间可以设置域名验证功能。

贵公司的 IT 团队可以通过我们的“联系销售团队”表单联系 OpenAI 销售团队，探讨工作空间整合事宜。请参阅“如何联系 OpenAI 销售团队”。

ChatGPT SSO 已启用，而平台 SSO 仍处于关闭状态

ChatGPT 中的 SSO 和 API 平台中的 SSO 需要分别在各自的管理员门户（ChatGPT 和 API）中配置。

启用 SSO 时，用户选择降级或取消订阅 Business 工作空间

针对这一情况，具体的解决方案如下：每个用户都需要通过“忘记密码”流程重新登录，因为这是唯一的选择。

在 Enterprise 中由 SCIM 管理的用户可加入 Business 工作空间

此场景既有可能出现，也在支持范围内。SCIM 会将原始邀请预配到已配置的组织/工作空间。一旦用户进入 OpenAI 系统，该系统就不会阻止此用户受邀加入其他 Business/Enterprise 工作空间。该预期行为不会在 Team 套餐启用自助式 SSO 后改变。

多域名企业（例如 acme.com 和 acme-intl.com）

企业工作空间可以验证多个电子邮件域名。在同一门户中添加每个域名，并为计划用于 SSO 的每个域名完成验证。

域名已在 API 平台验证，但尚未在 ChatGPT 中验证

贵公司的 IT 团队可以通过我们的“联系销售团队”表单联系 OpenAI 销售团队，探讨工作空间整合事宜。请参阅“如何联系 OpenAI 销售团队”。

管理员在完成域名验证之前退出

确保工作空间中还有另一位可完成域名验证的管理员/所有者。