OpenAI
此頁面由機器翻譯。查看原文英文文章

SSO 概覽

SSO 的高層次概覽,以及它在 ChatGPT 與平台之間如何互動

更新日期:8 days ago

目的

本指南旨在為管理員和 IT 團隊提供必要資訊,供你在 ChatGPT 或平台帳戶中設定 SSO 前參考。SSO 適用於 Business、Enterprise 和 Edu 客戶。

背景架構與術語

目前,ChatGPT 和 API 平台均透過 SAML 驗證支援 SSO。

  • 工作區是指 ChatGPT 的一個實例

  • 組織是指 API 平台的一個實例

  • 身份提供者(IdP)是指你用於管理數碼身份的服務。我們支援透過所有支援 SAML 的 IdP 連線。我們已連接的一些最常見 IdP 包括:

  • Okta

  • Azure Active Directory/Entra ID

  • Google Workspace

  • Duo

如需支援 IdP 的完整清單,請參閱 WorkOS 的整合頁面。此頁面上可透過 SAML 或 OIDC 連接的所有第三方整合,我們均支援。

目前,每個 ChatGPT 工作區都有一個對應的平台組織與之關聯。這表示你在 Enterprise 平台「一般」頁面找到的組織 ID(org-id),與關聯至你的 Enterprise ChatGPT 工作區的組織 ID(org-id)相同。因此,你的工作區和組織共用同一個驗證層:

Diagram of an SSO identity platform connecting through OpenAI's authentication layer to ChatGPT Enterprise and OpenAI API

基於此架構,有幾點關鍵事項需要注意:

  1. 單一組織 ID(org-id)只能支援單一 IdP 設定。

  2. 網域驗證和 SAML SSO 設定由 ChatGPT 與 API 平台共用。

  3. SSO 必須分別在 ChatGPT 和 API 平台上啟用。不過,一旦你已在其中一方完成設定,另一方的「設定」大致上只需開啟開關,並按需要在你的 IdP 中新增書籤應用程式。

開始使用 SSO

在帳戶中設定 SSO 前,務必先了解 OpenAI SSO 功能的一些關鍵概念。

一般身份術語

佈建 當 OpenAI 在使用者情境中提及佈建時,我們特別是指佈建邀請。我們不直接支援佈建使用者帳戶的建立。邀請可透過以下方式佈建:

  1. SCIM(ChatGPT SCIM 整合API 平台 SCIM 整合均支援)

  2. ChatGPTAPI 平台的「成員」頁面

  3. 自動建立帳戶

  4. 邀請 API

佈建邀請是獨立於 SSO 所執行驗證的步驟。


驗證 — 「你是否真的是你聲稱的身份?」

例子:IdP 會為使用者向我們的服務進行驗證,讓我們在他們登入時知道他們確實是其聲稱的身份。


授權 — 「你獲准執行或查看甚麼?」

例子:你的 IdP 驗證你的身份後,我們會判斷你屬於哪些 ChatGPT 工作區。

了解 OpenAI SSO 設定

網域驗證 這是啟用 SSO 和自動建立帳戶的先決條件。基本上,就是「你是否擁有此網域?」

  1. 透過 chatgpt.com 或 platform.openai.com 登入時,若同時已設定 SSO,已驗證網域會決定是將使用者轉到我們的密碼頁面,還是轉到其 IdP。

  2. 網域在你的工作區完成驗證後,任何以該網域電郵獲邀加入工作區的使用者,在下次登入時都會被提示合併其個人帳戶。

  3. ChatGPT 驗證同時以網域和工作區為基礎:當某網域已驗證且工作區已啟用 SSO 時,只有該工作區內使用同一網域的使用者會被導向 SSO。使用同一網域但不屬於該工作區的使用者(即來自你網域的 Free、Plus、Pro 或 Team 帳戶使用者),將繼續透過電郵/密碼或社交方式登入。

  4. 平台驗證以網域為基礎——當某網域已驗證並啟用 SSO 時,該網域下的所有平台使用者都將無法再以密碼登入。詳情請參閱下方「ChatGPT 與 API 平台的網域驗證比較」。

  5. 子網域必須與頂級網域分開驗證

為了讓我們成功處理你的網域驗證,你的 TXT 記錄必須可透過 DNS 查詢讀取。


(僅限 ChatGPT)自動建立帳戶(AAC) 在 ChatGPT 工作區啟用後,電郵符合已驗證網域的新使用者註冊時,將會自動收到加入 Enterprise 工作區的邀請。如果你正在使用 SCIM,我們不建議啟用 AAC。


(僅限 ChatGPT)允許外部網域邀請 此設定控制是否可邀請使用未驗證網域的使用者加入工作區。來自外部網域的使用者無需透過 SSO 登入,因為 SSO 設定只適用於屬於已驗證網域的使用者。


啟用 SSO 此設定決定你已設定的 SSO 設定是否套用於工作區及/或組織。


強制 SSO

停用時,此設定允許擁有已驗證網域的使用者選擇透過 SSO 或社交登入。

全域管理員可在管理主控台的「管理 SSO」頁面,直接將 ChatGPT 和 API 平台的「強制 SSO」設定為「必須」。啟用後,此設定會使擁有已驗證網域的使用者只能透過 SSO 登入已啟用 SSO 的工作區或組織。密碼和社交驗證將不再適用於該工作區/組織,但在其網域未被驗證的其他工作區/組織中仍可使用。

ChatGPT 與 API 平台的網域驗證比較

如前所述,網域驗證會套用於共用的 ChatGPT 和平台實例。不過,如果已啟用 SSO,網域驗證對登入 ChatGPT 與登入平台的影響有一個重要分別:

API 平台上的 SSO 完全以網域為基礎。這表示只要某個網域已在任何組織完成驗證並啟用 SSO,使用該網域的所有使用者都將無法再以密碼登入。如果他們沒有社交驗證方式,除非他們屬於 IdP 存取群組,否則將無法存取各自的組織。

相反,在 ChatGPT 方面,只有屬於已驗證該網域之工作區的使用者會受影響。不在 IdP 存取群組中的使用者,仍可使用下一節所述的方法登入工作區。

使用者的登入體驗

OpenAI 支援三種不同的驗證方式:

  1. 使用者名稱 + 密碼

  2. 透過 Microsoft/Google/Apple 進行社交驗證

  3. SSO

請注意,行為會因使用者登入的是 ChatGPT 還是 API 平台、其網域是否已驗證,以及其所屬工作區/組織是否強制使用 SSO 而有所不同。

由 SP 發起的登入

所有使用者都可直接前往 chatgpt.com 或 platform.openai.com 登入。使用此選項時,可如下觸發不同的驗證方式:

Diagram of login methods grouped into Password, SSO with SAML, and Social providers like Google, Microsoft, and Apple

如果使用者屬於多個工作區,而其中一個工作區已為其網域啟用 SSO,系統會提示他們選擇要登入哪個工作區。

ChatGPT 由 SP 發起的登入

如果我們發現輸入的電郵屬於其網域已驗證的工作區,便會將使用者轉到其 IdP 進行驗證。否則,使用者會被引導以輸入密碼的方式登入。

如果使用者屬於多個工作區,而其中至少一個工作區已為其網域啟用 SSO,系統會提示他們選擇使用哪種方式登入:

ChatGPT sign-in screen with two SSO workspace options plus Google, Microsoft, Apple, and password login

注意:如果特定工作區已啟用「強制 SSO」,擁有已驗證網域的使用者只能透過 SSO 登入。社交和密碼驗證將不可使用。

平台由 SP 發起的登入

如前所述,擁有已驗證網域的使用者在平台登入頁面輸入電郵時,一律會被導向其 IdP 進行驗證。

因此,在為平台啟用 SSO 前,必須確保你已充分理解其影響。否則,很容易意外令使用個人帳戶的平台使用者被鎖定而無法登入。

由 IdP 發起的登入

從各自的身份頁面設定 SSO 時,你會找到分別為 ChatGPT 和 API 平台提供的唯一磚塊 URL:

你可在 IdP 中設定這些磚塊 URL,讓使用者只需按一下即可自動登入/驗證。

後續步驟

既然你已對我們的架構有良好基礎,請前往我們的「了解你的理想使用者管理設定」頁面,判斷最適合你使用案例的實作方式。接下來,我們會引導你在帳戶中設定 SSO 和 SCIM。

這篇文章對你有幫助嗎?