一般

Enterprise／Edu 方案的 SSO 與 Business 方案相比，有哪些功能差異？

除了 Business SSO 可自助設定外，功能差異如下：

• Business 方案不支援 SCIM／AD 群組同步，因此所有使用者佈建及取消佈建均需手動進行。

• 範圍：Business SSO 只適用於 ChatGPT；不會延伸至 platform.openai.com。這與 Enterprise／Edu 的 SSO 不同，後者的 SSO 可選擇同時涵蓋 ChatGPT 及 Platform。

• 帳戶遷移：Enterprise／Edu 會要求已驗證網域上的使用者遷移或刪除相符的個人帳戶；ChatGPT Business 方案的使用者可在個人層級進行帳戶遷移，但 Business 方案工作區管理員無法強制執行。

ChatGPT Business 支援哪些 SSO 通訊協定？

SAML 和 OIDC。

IdP／SSO／SP 是甚麼意思？

• 身分識別提供者（IdP）：指你用來管理數碼身分的服務。

• 單一登入（SSO）：透過集中管理的 IdP 登入，使用者無需重新輸入登入憑證，即可存取所有已連結的應用程式。

• 服務提供者（SP）– ChatGPT：即信任 IdP token 並向使用者授予存取權的應用程式（即 ChatGPT）。

我可以在哪裡為我的 Business 工作區設定 SSO？

你可在 ChatGPT Business 工作區設定中的「識別與佈建」分頁設定，網址為 https://chatgpt.com/admin/identity；你可在此為工作區設定以下項目：

1. 已驗證網域

2. 身分管理

我如何為我的 Business 方案工作區設定用於 SCIM 佈建／取消佈建的目錄同步？

如果你需要目錄同步（SCIM），請升級至 ChatGPT Enterprise。

啟用 SSO 前是否必須先驗證網域？

是。網域驗證可證明你擁有計劃與身分識別提供者（IdP）聯合的電郵命名空間。在至少驗證一個網域之前，SSO 設定會被停用。

驗證網域是否需要額外收費？

否，無需額外收費。每個 ChatGPT Business 訂閱均已包含網域驗證。

為何我在嘗試啟用 SSO 時，會看到「網域已由另一個工作區驗證」？

當該網域已由 Enterprise（或其他 Business 或其他 API Platform SSO 執行個體）工作區擁有時，Business 精靈便會報錯。

你公司的 IT 團隊可透過我們的 Contact Sales 表格聯絡 OpenAI 銷售團隊，討論整合工作區。請參閱如何聯絡 OpenAI 銷售團隊。

我可以邀請未存在於我的 IdP 中的承辦商或外部協作者嗎？

可以，你可允許外部網域邀請，把這些使用者及外部協作者邀請到你的 ChatGPT Business 工作區。

如果我之後將此 Business 工作區升級至 ChatGPT Enterprise，我的 SSO 設定會怎樣？

如要升級至 Enterprise，請透過我們的 Contact Sales 表格聯絡 OpenAI 銷售團隊。請參閱如何聯絡 OpenAI 銷售團隊。

如果所有人都透過 SSO 驗證，而連線失敗，我們應如何重新取得存取權？

此情況下有兩個選項：

1. Business 工作區管理員可聯絡我們的支援團隊，協助停用 SSO。管理員應備有密碼／社交帳戶方式登入。

2. 如果你允許外部網域，可建立一個使用外部網域的 後門 管理員帳戶，這樣該帳戶便不受 SSO 強制執行影響。之後如被鎖在外面，可使用此使用者（應以密碼／社交帳戶驗證）登入。

我可以混合使用 SSO 和密碼登入嗎？

可以。如果你的 Business 工作區只對 ChatGPT 使用 SSO，而使用者同時需要存取 Platform 或 Intercom，他們只需按一下忘記密碼來設定一般密碼，之後便可繼續在該處以電郵／密碼登入。

支援哪些身分識別提供者（IdP）？

ADP OpenID Connect、Auth0 SAML、CAS SAML、ClassLink SAML、Cloudflare SAML、CyberArk SAML、Duo SAML、Entra ID (Azure AD)、Google SAML、JumpCloud SAML、Keycloak SAML、LastPass SAML、Login.gov OpenID Connect、Microsoft AD FS、miniOrange SAML、NetIQ SAML、Okta、OneLogin、Oracle、PingFederate、PingOne、Rippling、Salesforce、Shibboleth Generic SAML、Shibboleth、SimpleSAMLphp SAML、VMware Workspace One。

精靈亦提供「Custom SAML」或「Custom OIDC」供選擇。

每個工作區的 ChatGPT Business 方案是否可支援多於一個已驗證電郵網域？

是。

仍在免費試用期的 ChatGPT Business 方案工作區可以啟用 SSO 嗎，還是必須待成功扣款後才可啟用？

目前 ChatGPT Business 方案並無免費試用流程。新工作區必須先完成 $1 啟動優惠購買並成功扣款，之後才可啟用 SSO。

SSO 是否已完全包含在每位使用者每月 $30 的 ChatGPT Business 方案價格內，還是有任何隱藏費用（例如每條連線收費）需要披露？

是，除 Business 方案本身的基本席位價格外，Business SSO 不另收費。SSO 無需額外費用即可使用。

即將到期的證書如何處理？

目前，續期證書的責任由 Business 工作區管理員及其相應 IT 團隊承擔。如需任何操作，OpenAI 支援團隊可提供協助，但預期證書的續期／輪替應在客戶的 IdP 中進行。

如果唯一設定 SSO 的工作區擁有者在移交存取權前離職，建議流程是甚麼？

目前流程會阻止其離開：唯一的工作區擁有者必須先將擁有權轉移給另一名成員，之後才可離開。

如果使用者先以密碼登入，其後再透過 SSO（相同電郵）登入，他們的對話會自動合併，還是會建立重複帳戶？

如果 SSO 聲明返回相同的電郵地址，ChatGPT 會將該次登入連結至現有個人檔案——對話記錄會維持不變，亦不會建立重複帳戶。只有在 SSO 回應提供不同電郵時，系統才會建立新的（空白）帳戶；一旦更正該對應關係，使用者的原有帳戶（包含所有記錄）仍然存在。

SSO 情境與預期行為

機構在同一已驗證網域同時擁有 Enterprise 與 Business 工作區

當 Business 方案設定精靈檢查該網域時，只會顯示該網域「已驗證」。它不會透露是哪個工作區（Enterprise 或其他）擁有該網域，只會顯示已有其他人完成驗證。

兩個獨立的 Business 工作區共用同一網域

只有一個 Business 工作區可以擁有網域驗證。

你公司的 IT 團隊可透過我們的 Contact Sales 表格聯絡 OpenAI 銷售團隊，討論整合工作區。請參閱如何聯絡 OpenAI 銷售團隊。

ChatGPT 已啟用 SSO，但 Platform SSO 仍未啟用

ChatGPT 中的 SSO 與 API Platform 中的 SSO 需分別在各自的管理員入口網站（ChatGPT 和 API）中設定。

Business 工作區在啟用 SSO 時降級或取消

此情況下，唯一解決方法是每位使用者都需要使用「忘記密碼」才能重新登入。

由 SCIM 管理的 Enterprise 使用者加入 Business 工作區

此情況可行，亦受支援。SCIM 會將原始邀請佈建到已設定的機構／工作區。一旦使用者已存在於 OpenAI 系統中，便沒有任何因素阻止其被邀請加入其他 Business／Enterprise 工作區。隨著 Team 方案自助 SSO 推出，此預期行為亦不會改變。

多網域公司（例如 acme.com 和 acme-intl.com）

Business 工作區可驗證多於一個電郵網域。請在同一入口網站中加入每個網域，並為每個計劃與 SSO 一同使用的網域完成驗證。

網域已在 Platform 驗證，但未在 ChatGPT 驗證

你公司的 IT 團隊可透過我們的 Contact Sales 表格聯絡 OpenAI 銷售團隊，討論整合工作區。請參閱如何聯絡 OpenAI 銷售團隊。

管理員在完成網域驗證前離職

請確保工作區內另有一位可完成網域驗證的管理員／擁有者。