OpenAI
此頁面由機器翻譯。查看原文英文文章

SSO 概覽

SSO 的高層次概覽,以及它在 ChatGPT 與 Platform 之間如何互動

更新日期:24 hours ago

目的

本指南旨在為管理員及 IT 團隊提供在您的 ChatGPT 或 Platform 帳戶設定 SSO 前需考慮的必要資訊。SSO 適用於 Business、Enterprise 及 Edu 客戶。

背景架構及術語

目前 ChatGPT 及 API Platform 均支援透過 SAML 驗證使用 SSO。

  • 工作區是指 ChatGPT 的一個實例

  • 機構是指 API Platform 的一個實例

  • 身分提供者 (IdP)是指您用來管理數碼身分的服務。我們支援透過所有支援 SAML 的 IdP 進行連線。我們已連接過的一些最常見 IdP 包括:

    • Okta

    • Azure Active Directory/Entra ID

    • Google Workspace

    • Duo

如需完整支援的 IdP 清單,請參閱 WorkOS 的整合頁面。我們支援此頁面上所有可透過 SAML 或 OIDC 連接的第三方整合。

目前,每個 ChatGPT 工作區都對應一個與其綁定的 Platform 機構。這表示,您在 Enterprise Platform「General」頁面找到的 Organization ID (org-id),與綁定到您的 Enterprise ChatGPT 工作區的 Organization ID (org-id) 相同。因此,您的工作區與機構共用相同的驗證層:

Diagram of an SSO identity platform connecting through OpenAI's authentication layer to ChatGPT Enterprise and OpenAI API

基於此架構,有幾項重點需要注意:

  1. 單一 Organization ID (org-id) 只可支援一個 IdP 設定。

  2. 網域驗證及 SAML SSO 設定會在 ChatGPT 與 API Platform 之間共用。

  3. SSO 必須分別在 ChatGPT 與 API Platform 上啟用。不過,一旦您已在其中一方完成設定,另一方的「設定」基本上只需開啟開關,並可按需要在您的 IdP 中加入書籤應用程式。

開始使用 SSO

在您的帳戶中設定 SSO 前,請先了解有關 OpenAI SSO 功能的一些關鍵概念。

一般身分術語

佈建
當 OpenAI 在使用者情境中提及佈建時,我們特別是指佈建邀請。我們並不直接支援佈建建立使用者帳戶。邀請可透過以下方式佈建:

  1. SCIM(ChatGPT SCIM IntegrationAPI Platform SCIM Integration均支援)

  2. ChatGPTAPI Platform 的「Members」頁面

  3. 自動帳戶建立

  4. Invites API

佈建邀請是獨立於 SSO 所執行驗證的步驟。

驗證 – 「你是否就是你所聲稱的人?」」

例子:IdP 會將使用者驗證至我們的服務,讓我們在登入時知道他們確實是其所聲稱的人。

授權 – 「你獲准做甚麼或查看甚麼?」」

例子:在您的 IdP 驗證您之後,我們會判定您是哪個或哪些 ChatGPT 工作區的成員。

了解 OpenAI SSO 設定

網域驗證
這是啟用 SSO 及自動帳戶建立的先決條件。簡單來說,就是「您是否擁有此網域?」」

  1. 當透過 chatgpt.com 或 platform.openai.com 登入時,如已設定 SSO,已驗證網域將決定是否把使用者轉送到我們的密碼頁面或其 IdP

  2. 一旦在您的工作區驗證了某網域,任何以該網域電郵地址獲邀加入工作區的使用者,將於下次登入時被提示合併其個人帳戶。

  3. ChatGPT 驗證是基於網域及工作區——當網域已驗證且工作區已啟用 SSO,只有同屬該網域且在該工作區內的使用者才會被導向 SSO。同屬該網域但並非該工作區成員的使用者(即來自您網域的 Free、Plus、Pro 或 Team 帳戶使用者)將繼續透過電郵/密碼或社交登入。

  4. Platform 驗證則是基於網域——當網域已驗證且已啟用 SSO,該網域下所有 Platform 使用者將失去使用密碼登入的能力。更多詳情請參閱下文「ChatGPT 與 API Platform 的網域驗證」。

  5. 子網域必須與頂層網域分開驗證

為使我們能成功處理您的網域驗證,您的 TXT 記錄必須可透過 DNS 查詢讀取。

(僅限 ChatGPT)自動帳戶建立 (AAC)
在 ChatGPT 工作區啟用後,電郵地址符合已驗證網域的新使用者在註冊時,將自動收到加入 Enterprise 工作區的邀請。如您正在使用 SCIM,我們不建議啟用 AAC。

(僅限 ChatGPT)允許外部網域邀請
此設定控制是否可邀請使用未驗證網域的使用者加入工作區。來自外部網域的使用者無須透過 SSO 登入,因為 SSO 設定只適用於屬於已驗證網域的使用者。

啟用 SSO
此設定決定您已設定的 SSO 設定是否適用於工作區及/或機構。

強制執行 SSO

停用時,此設定允許已驗證網域的使用者選擇透過 SSO 或社交登入。

全域管理員可直接在 Admin Console 的 Manage SSO 頁面,將 ChatGPT 與 API Platform 的「強制執行 SSO」設為 Required。啟用時,此設定會令已驗證網域的使用者只能透過 SSO 登入已啟用 SSO 的工作區或機構。密碼及社交驗證將不再適用於該工作區/機構,但在其他其網域未驗證的工作區/機構中仍可使用。

ChatGPT 與 API Platform 的網域驗證

如前所述,網域驗證會套用於共用的 ChatGPT 與 Platform 實例。然而,如啟用了 SSO,網域驗證對 ChatGPT 與 Platform 登入的影響方式有一個關鍵差異:

API Platform 上的 SSO 完全以網域為基礎。這表示一旦某個網域在任何組織中完成驗證並啟用 SSO,所有使用該網域的使用者都將無法再使用密碼登入。若他們沒有社交驗證方式,除非屬於 IdP 存取群組,否則將會被鎖定而無法存取其所屬組織。

相反,在 ChatGPT 這邊,只有屬於已驗證該網域之工作區的使用者才會受影響。不屬於 IdP 存取群組的使用者,仍可使用下一節所述的方法登入工作區。

您的使用者登入體驗

OpenAI 支援三種不同的驗證方式:

  1. 使用者名稱 + 密碼

  2. 透過 Microsoft/Google/Apple 的社交驗證

  3. SSO

請注意,實際行為會因使用者登入的是 ChatGPT 還是 API Platform、其網域是否已驗證,以及其相應工作區/機構是否已強制執行 SSO 而有所不同。

SP 發起的登入

所有使用者都可直接前往 chatgpt.com 或 platform.openai.com 登入。使用此選項時,不同的驗證方式可如以下所示觸發:

Diagram of login methods grouped into Password, SSO with SAML, and Social providers like Google, Microsoft, and Apple

如使用者屬於多個工作區,且其中包括已為其網域啟用 SSO 的工作區,系統會提示其選擇要登入哪個工作區。

ChatGPT SP 發起的登入

如我們發現所輸入的電郵屬於某個其網域已驗證的工作區,我們會將使用者轉送至其 IdP 進行驗證。否則,使用者將被導向透過輸入密碼登入。

如使用者屬於多個工作區,且其中至少一個已為其網域啟用 SSO,系統會提示其選擇要使用哪種登入方式:

ChatGPT sign-in screen with two SSO workspace options plus Google, Microsoft, Apple, and password login

注意:如果某個工作區已啟用「強制執行 SSO」,擁有已驗證網域的使用者將只能透過 SSO 登入。社交登入及密碼驗證將不可用。

Platform SP 發起的登入

如前所述,當已驗證網域的使用者在 Platform 登入頁面輸入其電郵時,系統將始終把他們導向其 IdP 進行驗證。

這就是為甚麼在為 Platform 啟用 SSO 前,務必先確保您已理解相關機制。否則,很容易會誤將使用個人帳戶的 Platform 使用者鎖定在外。

IdP 發起的登入

當您從各自的身分頁面設定 SSO 時,會找到分別為 ChatGPT 及 API Platform 提供的專屬 Tile URL:

這些 Tile URL 可在您的 IdP 內設定,讓使用者只需按一下即可自動登入/驗證。

下一步

現在您已對我們的架構有良好基礎,請前往我們的「了解您的理想使用者管理設定」頁面,以判定最適合您使用情境的實施方式。之後,我們將逐步指導您如何在帳戶中設定 SSO 及 SCIM。

這篇文章對你有幫助嗎?