目的
本指南旨在為管理員和 IT 團隊提供必要資訊,供你在 ChatGPT 或平台帳戶中設定 SSO 前參考。SSO 適用於 Business、Enterprise 和 Edu 客戶。
背景架構與術語
目前,ChatGPT 和 API 平台均透過 SAML 驗證支援 SSO。
工作區是指 ChatGPT 的一個實例
組織是指 API 平台的一個實例
身份提供者(IdP)是指你用於管理數碼身份的服務。我們支援透過所有支援 SAML 的 IdP 連線。我們已連接的一些最常見 IdP 包括:
Okta
Azure Active Directory/Entra ID
Google Workspace
Duo
如需支援 IdP 的完整清單,請參閱 WorkOS 的整合頁面。此頁面上可透過 SAML 或 OIDC 連接的所有第三方整合,我們均支援。
目前,每個 ChatGPT 工作區都有一個對應的平台組織與之關聯。這表示你在 Enterprise 平台「一般」頁面找到的組織 ID(org-id),與關聯至你的 Enterprise ChatGPT 工作區的組織 ID(org-id)相同。因此,你的工作區和組織共用同一個驗證層:

基於此架構,有幾點關鍵事項需要注意:
單一組織 ID(org-id)只能支援單一 IdP 設定。
網域驗證和 SAML SSO 設定由 ChatGPT 與 API 平台共用。
SSO 必須分別在 ChatGPT 和 API 平台上啟用。不過,一旦你已在其中一方完成設定,另一方的「設定」大致上只需開啟開關,並按需要在你的 IdP 中新增書籤應用程式。
開始使用 SSO
在帳戶中設定 SSO 前,務必先了解 OpenAI SSO 功能的一些關鍵概念。
一般身份術語
佈建 當 OpenAI 在使用者情境中提及佈建時,我們特別是指佈建邀請。我們不直接支援佈建使用者帳戶的建立。邀請可透過以下方式佈建:
SCIM(ChatGPT SCIM 整合及 API 平台 SCIM 整合均支援)
自動建立帳戶
邀請 API
佈建邀請是獨立於 SSO 所執行驗證的步驟。
驗證 — 「你是否真的是你聲稱的身份?」
例子:IdP 會為使用者向我們的服務進行驗證,讓我們在他們登入時知道他們確實是其聲稱的身份。
授權 — 「你獲准執行或查看甚麼?」
例子:你的 IdP 驗證你的身份後,我們會判斷你屬於哪些 ChatGPT 工作區。
了解 OpenAI SSO 設定
網域驗證 這是啟用 SSO 和自動建立帳戶的先決條件。基本上,就是「你是否擁有此網域?」
透過 chatgpt.com 或 platform.openai.com 登入時,若同時已設定 SSO,已驗證網域會決定是將使用者轉到我們的密碼頁面,還是轉到其 IdP。
網域在你的工作區完成驗證後,任何以該網域電郵獲邀加入工作區的使用者,在下次登入時都會被提示合併其個人帳戶。
ChatGPT 驗證同時以網域和工作區為基礎:當某網域已驗證且工作區已啟用 SSO 時,只有該工作區內使用同一網域的使用者會被導向 SSO。使用同一網域但不屬於該工作區的使用者(即來自你網域的 Free、Plus、Pro 或 Team 帳戶使用者),將繼續透過電郵/密碼或社交方式登入。
平台驗證以網域為基礎——當某網域已驗證並啟用 SSO 時,該網域下的所有平台使用者都將無法再以密碼登入。詳情請參閱下方「ChatGPT 與 API 平台的網域驗證比較」。
子網域必須與頂級網域分開驗證
為了讓我們成功處理你的網域驗證,你的 TXT 記錄必須可透過 DNS 查詢讀取。
(僅限 ChatGPT)自動建立帳戶(AAC) 在 ChatGPT 工作區啟用後,電郵符合已驗證網域的新使用者註冊時,將會自動收到加入 Enterprise 工作區的邀請。如果你正在使用 SCIM,我們不建議啟用 AAC。
(僅限 ChatGPT)允許外部網域邀請 此設定控制是否可邀請使用未驗證網域的使用者加入工作區。來自外部網域的使用者無需透過 SSO 登入,因為 SSO 設定只適用於屬於已驗證網域的使用者。
啟用 SSO 此設定決定你已設定的 SSO 設定是否套用於工作區及/或組織。
強制 SSO
停用時,此設定允許擁有已驗證網域的使用者選擇透過 SSO 或社交登入。
全域管理員可在管理主控台的「管理 SSO」頁面,直接將 ChatGPT 和 API 平台的「強制 SSO」設定為「必須」。啟用後,此設定會使擁有已驗證網域的使用者只能透過 SSO 登入已啟用 SSO 的工作區或組織。密碼和社交驗證將不再適用於該工作區/組織,但在其網域未被驗證的其他工作區/組織中仍可使用。
ChatGPT 與 API 平台的網域驗證比較
如前所述,網域驗證會套用於共用的 ChatGPT 和平台實例。不過,如果已啟用 SSO,網域驗證對登入 ChatGPT 與登入平台的影響有一個重要分別:
API 平台上的 SSO 完全以網域為基礎。這表示只要某個網域已在任何組織完成驗證並啟用 SSO,使用該網域的所有使用者都將無法再以密碼登入。如果他們沒有社交驗證方式,除非他們屬於 IdP 存取群組,否則將無法存取各自的組織。
相反,在 ChatGPT 方面,只有屬於已驗證該網域之工作區的使用者會受影響。不在 IdP 存取群組中的使用者,仍可使用下一節所述的方法登入工作區。
使用者的登入體驗
OpenAI 支援三種不同的驗證方式:
使用者名稱 + 密碼
透過 Microsoft/Google/Apple 進行社交驗證
SSO
請注意,行為會因使用者登入的是 ChatGPT 還是 API 平台、其網域是否已驗證,以及其所屬工作區/組織是否強制使用 SSO 而有所不同。
由 SP 發起的登入
所有使用者都可直接前往 chatgpt.com 或 platform.openai.com 登入。使用此選項時,可如下觸發不同的驗證方式:

如果使用者屬於多個工作區,而其中一個工作區已為其網域啟用 SSO,系統會提示他們選擇要登入哪個工作區。
ChatGPT 由 SP 發起的登入
如果我們發現輸入的電郵屬於其網域已驗證的工作區,便會將使用者轉到其 IdP 進行驗證。否則,使用者會被引導以輸入密碼的方式登入。
如果使用者屬於多個工作區,而其中至少一個工作區已為其網域啟用 SSO,系統會提示他們選擇使用哪種方式登入:

注意:如果特定工作區已啟用「強制 SSO」,擁有已驗證網域的使用者只能透過 SSO 登入。社交和密碼驗證將不可使用。
平台由 SP 發起的登入
如前所述,擁有已驗證網域的使用者在平台登入頁面輸入電郵時,一律會被導向其 IdP 進行驗證。
因此,在為平台啟用 SSO 前,必須確保你已充分理解其影響。否則,很容易意外令使用個人帳戶的平台使用者被鎖定而無法登入。
由 IdP 發起的登入
從各自的身份頁面設定 SSO 時,你會找到分別為 ChatGPT 和 API 平台提供的唯一磚塊 URL:
你可在 IdP 中設定這些磚塊 URL,讓使用者只需按一下即可自動登入/驗證。
後續步驟
既然你已對我們的架構有良好基礎,請前往我們的「了解你的理想使用者管理設定」頁面,判斷最適合你使用案例的實作方式。接下來,我們會引導你在帳戶中設定 SSO 和 SCIM。
