一般

Enterprise／Edu 方案與 Business 方案中的 SSO 在功能上有哪些所有差異？

除了 Business SSO 為自助式之外，功能差異如下：

• Business 方案沒有 SCIM／AD 群組同步，因此所有用戶佈建及取消佈建均須手動進行。

• 範圍：Business SSO 只影響 ChatGPT；它不會延伸至 platform.openai.com。這有別於 Enterprise／Edu 上的 SSO，後者的 SSO 可選擇同時涵蓋 ChatGPT 及 Platform。

• 帳戶遷移：Enterprise／Edu 會強制已驗證網域上的用戶遷移或刪除相符的消費者帳戶；ChatGPT Business 方案用戶可在個別用戶層級進行帳戶遷移，但 Business 方案工作區管理員無法強制執行。

ChatGPT Business 支援哪些 SSO 協定？

SAML 和 OIDC。

IdP／SSO／SP 是甚麼意思？

• 身分提供者 (IdP)：指你用來管理數碼身分的服務。

• 單一登入 (SSO)：一個集中管理的 IdP 登入可讓用戶存取所有已連結的應用程式，無需重新輸入憑證。

• 服務提供者 (SP) – ChatGPT：信任 IdP token 並授予用戶存取權的應用程式（即 ChatGPT）。

我應在哪裡為 Business 工作區設定 SSO？

在位於 https://chatgpt.com/admin/identity 的 ChatGPT Business 工作區設定中，前往「身分與佈建」分頁，你可在該處為工作區設定以下項目：

1. 已驗證網域

2. 身分管理

如何為我的 Business 方案工作區設定用於 SCIM 佈建／取消佈建的 Directory Sync？

如果你需要 Directory Sync (SCIM)，請升級至 ChatGPT Enterprise。

開啟 SSO 前是否需要驗證網域？

需要。網域驗證可證明你擁有計劃與身分提供者（IdP）聯合使用的電郵命名空間。在至少一個網域完成驗證前，SSO 設定會被停用。

驗證網域需要額外費用嗎？

不需要，無需額外費用。網域驗證已包含在每個 ChatGPT Business 訂閱中。

為何我嘗試啟用 SSO 時會收到「網域已由另一個工作區驗證」？

當網域已由 Enterprise（或其他 Business 或其他 API Platform SSO 執行個體）工作區擁有時，Business 精靈會顯示錯誤。

貴公司的 IT 團隊可透過我們的聯絡銷售團隊表格聯絡 OpenAI 銷售團隊，以討論合併工作區。請參閱如何聯絡 OpenAI 銷售團隊。

我可以邀請不在我的 IdP 中的承包商或外部協作者嗎？

可以，你可以允許外部網域邀請，以邀請這些用戶及外部協作者加入你的 ChatGPT Business 工作區。

如果我之後將此 Business 工作區升級至 ChatGPT Enterprise，我的 SSO 設定會怎樣？

如要升級至 Enterprise，請透過我們的聯絡銷售團隊表格聯絡 OpenAI 銷售團隊。請參閱如何聯絡 OpenAI 銷售團隊。

如果所有人都透過 SSO 驗證，而連線失敗，我們如何恢復存取權？

在此情況下有兩個選項：

1. Business 工作區管理員聯絡我們的支援團隊，以獲協助停用 SSO。管理員應有密碼／社交登入方式可供登入。

2. 如果你允許外部網域，可使用外部網域建立一個後門管理員帳戶，這樣 SSO 強制執行就不會套用於該帳戶。然後如果你被鎖定在外，就使用此用戶（應以密碼／社交方式驗證）登入。

我可以混合使用 SSO 和密碼登入嗎？

可以。如果你的 Business 工作區只對 ChatGPT 使用 SSO，同時需要存取 Platform 或 Intercom 的用戶，只需按一下忘記密碼以設定一般密碼，並繼續在該處使用電郵／密碼登入。

支援哪些身分提供者（IdP）？

ADP OpenID Connect、Auth0 SAML、CAS SAML、ClassLink SAML、Cloudflare SAML、CyberArk SAML、Duo SAML、Entra ID (Azure AD)、Google SAML、JumpCloud SAML、Keycloak SAML、LastPass SAML、Login.gov OpenID Connect、Microsoft AD FS、miniOrange SAML、NetIQ SAML、Okta、OneLogin、Oracle、PingFederate、PingOne、Rippling、Salesforce、Shibboleth Generic SAML、Shibboleth、SimpleSAMLphp SAML、VMware Workspace One。

精靈中亦可選擇「自訂 SAML」或「自訂 OIDC」。

ChatGPT Business 方案是否允許每個工作區有多於一個已驗證電郵網域？

允許。

仍處於免費試用期的 ChatGPT Business 方案工作區可否啟用 SSO，還是在成功收款前會被封鎖啟用？

目前 ChatGPT Business 方案沒有免費試用流程。新工作區必須完成 $1 推出優惠購買並成功收款，才可啟用 SSO。

SSO 是否已完全包含在每用戶每月 $30 的 ChatGPT Business 方案價格內，還是有任何需要披露的隱藏費用（例如按連線收費）？

是，Business SSO 除 Business 方案本身的基本席位價格外，沒有額外費用。SSO 無需額外費用即可使用。

即將到期的憑證會如何處理？

目前，更新憑證的責任在於 Business 工作區管理員及其相應的 IT 團隊。如需採取任何行動，OpenAI 支援團隊可提供協助，但憑證的更新／輪換預期應在客戶的 IdP 中執行。

如果唯一設定 SSO 的工作區擁有人在交接存取權前離職，建議流程是甚麼？

目前流程會阻止其離開：唯一工作區擁有人必須先將擁有權轉移給另一名成員，才可以離開。

如果用戶先以密碼登入，之後再透過 SSO（同一電郵）登入，他們的對話會自動合併，還是會建立重複帳戶？

如果 SSO 聲明傳回相同電郵地址，ChatGPT 會將登入連結至現有個人檔案，對話記錄會保持完整，且不會建立重複帳戶。只有在 SSO 回應提供不同電郵時，才會啟動新的（空白）帳戶；修正該對應後，用戶的原有帳戶（連同所有記錄）仍會保留。

SSO 情境及預期行為

組織在同一已驗證網域上同時擁有 Enterprise 及 Business 工作區

當 Business 方案設定精靈檢查網域時，只會顯示該網域「已驗證」。它不會透露哪個工作區（Enterprise 或其他）擁有該網域，只會表示其他人已完成驗證。

兩個獨立的 Business 工作區共用一個網域

只有一個 Business 工作區可以擁有網域驗證。

貴公司的 IT 團隊可透過我們的聯絡銷售團隊表格聯絡 OpenAI 銷售團隊，以討論合併工作區。請參閱如何聯絡 OpenAI 銷售團隊。

已啟用 ChatGPT SSO，但 Platform SSO 仍未開啟

ChatGPT 中的 SSO 及 API Platform 中的 SSO 需要在各自的管理員入口網站（ChatGPT 及 API）中設定。

Business 工作區在 SSO 開啟期間降級或取消

此處的解決方法是每位用戶都需要使用忘記密碼，作為重新登入的唯一選項。

Enterprise 上由 SCIM 管理的用戶加入 Business 工作區

此情況既可行亦受支援。SCIM 會將原始邀請佈建至已設定的組織／工作區。用戶一旦存在於 OpenAI 系統中，就沒有任何因素阻止該用戶受邀加入其他 Business／Enterprise 工作區。Team 方案推出自助式 SSO 後，此預期行為不會改變。

多網域公司（例如 acme.com 和 acme-intl.com）

Business 工作區可以驗證多於一個電郵網域。在同一入口網站新增每個網域，並為你計劃與 SSO 搭配使用的每個網域完成驗證。

網域已在 Platform 驗證，但尚未在 ChatGPT 驗證

貴公司的 IT 團隊可透過我們的聯絡銷售團隊表格聯絡 OpenAI 銷售團隊，以討論合併工作區。請參閱如何聯絡 OpenAI 銷售團隊。

管理員在完成網域驗證前離開

請確保工作區有另一位管理員／擁有人可完成網域驗證。