OpenAI

單一登入概觀

單一登入 (SSO) 在 ChatGPT 與平台之間的高層次概觀及其互動方式

更新日期:10 days ago

目的

本指南旨在為管理員和 IT 團隊提供在配置 ChatGPT 或平台帳戶中的單一登入(SSO)之前需要考慮的必要資訊。單一登入可供 Business、Enterprise 及 Edu 客戶使用。

背景架構與術語

目前,單一登入 (SSO) 透過 SAML 驗證支援 ChatGPT 和 API 平台。

  • 工作區指的是 ChatGPT 的一個實例

  • 組織 是指 API 平台的一個實例

  • 身分驗證提供者(IdP) 是指你用來管理數位身分的服務。我們支援所有支援 SAML 的 IdP 的連接。我們已連接的一些最常見的 IdP 包括:

    • Okta

    • Azure Active Directory/Entra ID

    • Google 工作區

    • Duo

如需查看完整的支援 IdP 清單,請參閱 WorkOS 的整合頁面。我們支援此頁面上所有可透過 SAML 或 OIDC 連線的第三方整合。

目前,每個 ChatGPT 工作區都有一個對應的平臺組織相連。這意味著你在 Enterprise 平台「一般」頁面中找到的組織 ID (org-id) 與你的 Enterprise ChatGPT 工作區綁定的組織 ID (org-id) 是相同的。因此,你的工作區和組織共用相同的身份驗證層:

Diagram of an SSO identity platform connecting through OpenAI's authentication layer to ChatGPT Enterprise and OpenAI API

由於這個架構,有幾個關鍵事項需要注意:

  1. 單一組織 ID(org-id)只能支援單一 IdP 設定。

  2. 網域驗證和 SAML 單一登入(SSO)設定在 ChatGPT 和 API 平台之間共享。

  3. 在 ChatGPT 和 API 平台上,單一登入(SSO)必須分別啟用。然而,一旦你在一個上完成設定,另一個的「設定」基本上只需切換開關,並在你的 IdP 中新增書籤應用程式(如果需要)。

開始使用單一登入

在你設定帳戶的單一登入 (SSO) 之前,了解 OpenAI 單一登入功能的一些關鍵概念是很重要的。

一般身份術語

部署
當 OpenAI 提到使用者的部署時,我們特別指的是部署邀請。我們不直接支援使用者帳戶的部署。邀請可以透過以下方式部署:

  1. SCIM(在ChatGPT SCIM 整合API 平台 SCIM 整合中均有支援)

  2. ChatGPT 的「成員」頁面或 API 平台

  3. 自動建立帳戶

  4. 邀請函 API

邀請的部署是與單一登入 (SSO) 進行的身份驗證獨立的步驟。

身份驗證 – 「你真的是你所說的那個人嗎?」

範例:IdP 驗證使用者,以便我們在使用者登入時確認其身份。

授權 – 「你被允許做什麼或看到什麼?」

範例:在你的 IdP 驗證你之後,我們會確定你是哪些 ChatGPT 工作區的成員。

了解 OpenAI 單一登入設定

網域驗證
這是啟用單一登入 (SSO) 和自動帳戶建立的先決條件。基本上,「你擁有這個網域嗎?」

  1. 當使用者透過 ChatGPT.com 或 platform.OpenAI.com 登入時,已驗證的網域會決定是否將使用者轉至我們的密碼頁面或他們的 IdP,當單一登入(SSO)也已設定時。

  2. 一旦網域在你的工作區中完成驗證,任何使用該網域電子郵件被邀請進入工作區的使用者,下一次登入時將會被提示合併他們的個人帳戶。

  3. ChatGPT 的身份驗證是基於網域和工作區的。當網域已驗證且工作區啟用了單一登入(SSO)時,只有在該工作區中共享該網域的使用者才會被引導至單一登入。共享網域但不屬於工作區的使用者(例如來自您網域的 Free、Plus、Pro 或 Team 帳戶使用者將繼續透過電子郵件/密碼或社交平台登入。

  4. 平台驗證是基於網域的,當網域被驗證並啟用單一登入(SSO)時,該網域下的所有平台使用者將無法使用密碼登入。詳情請參閱下方的「ChatGPT 與 API 平台的網域驗證」。

  5. 子網域必須單獨驗證,不同於頂級網域

為了讓我們能夠成功處理您的網域驗證,您的 TXT 記錄必須能夠通過 DNS 查詢讀取。

(僅限 ChatGPT) 自動帳戶建立 (AAC) 當在 ChatGPT 工作區啟用時,電子郵件符合已驗證網域的新使用者在註冊時將自動收到 Enterprise 工作區的邀請。如果你正在使用 SCIM,我們不建議啟用 AAC。

(僅限 ChatGPT)允許外部網域邀請 此設定控制是否允許擁有未驗證網域的使用者被邀請到工作區。外部網域的使用者不需要透過單一登入 (SSO) 登入,因為單一登入 (SSO) 設定僅適用於已驗證網域的使用者。

啟用單一登入
此設定決定您配置的單一登入設定是否適用於工作區和/或組織。

強制使用單一登入

當此設定停用時,擁有已驗證網域的使用者可以選擇透過單一登入(SSO)或社交登入進行登入。

全域管理員可直接在管理控制台的「管理 SSO」頁面中,將 ChatGPT 和 API 平台的 Enforce SSO 設定為「必要」。啟用此設定後,擁有已驗證網域的使用者只能透過單一登入 (SSO) 登入已啟用 SSO 的工作區或組織。密碼和社交驗證對於此工作區/組織不再有效,但仍可在其網域未驗證的其他工作區/組織中使用。

ChatGPT 與 API 平台的網域驗證比較

如先前所討論,網域驗證應用於共享的 ChatGPT 和平台實例。然而,啟用單一登入(SSO)後,網域驗證對 ChatGPT 和平台的登入影響存在關鍵差異:

API 平台上的單一登入(SSO)完全依賴於網域。這意味著,一旦在任何組織中驗證了網域並啟用單一登入(SSO),所有擁有該網域的使用者將失去使用密碼登入的能力。如果他們沒有社交驗證的方式,除非他們屬於 IdP 存取群組,否則他們將被鎖定在各自的組織之外。

相反地,在 ChatGPT 方面,只有屬於已驗證網域的工作區的使用者會受到影響。不在 IdP 存取群組中的使用者仍然可以使用下一步中討論的方法登入工作區。

你使用者的登入體驗

OpenAI 支援三種不同的身份驗證方法:

  1. Username + 密碼

  2. 透過 Microsoft/Google/Apple 進行社交驗證

  3. 單一登入

請記住,行為會因使用者是登入 ChatGPT 還是 API 平台、其網域是否已驗證,以及其各自的工作區或組織是否已強制執行單一登入(SSO)而有所不同。

由 SP 發起的登入

所有使用者都可以直接前往 chatgpt.com 或 platform.openai.com 登入。使用此選項時,可以觸發不同的驗證方法,如下所示:

Diagram of login methods grouped into Password, SSO with SAML, and Social providers like Google, Microsoft, and Apple

如果使用者屬於多個工作區,其中包括一個已為其網域啟用單一登入(SSO)的工作區,系統會提示他們選擇要登入的工作區。

ChatGPT SP 發起的登入

如果我們發現輸入的電子郵件屬於其網域已驗證的工作區,我們將把使用者轉至他們的 IdP 進行身份驗證。否則,使用者將被引導輸入密碼來登入。

如果使用者屬於多個工作區,且至少有一個工作區的網域已啟用單一登入(SSO),系統將提示他們選擇登入方法:

ChatGPT sign-in screen with two SSO workspace options plus Google, Microsoft, Apple, and password login

注意:如果已為特定工作區啟用「強制單一登入」,則擁有已驗證網域的使用者只能透過單一登入登入。社交驗證和密碼驗證將無法使用。

平台 SP 發起的登入

如前所述,當具有驗證網域的使用者在平台登入頁面輸入其電子郵件時,他們將始終被導向至其 IdP 進行身份驗證。

這就是為什麼在為平台啟用單一登入之前,確保你理解是至關重要的。否則,很容易錯誤地將平台使用者鎖定在個人帳戶中。

IdP 起始的登入

在從各自的身份頁面配置單一登入 (SSO) 時,你會找到為 ChatGPT 和 API 平台提供的獨特 Tile URL:

這些 Tile URL 可以在你的 IdP 中設定,讓使用者只需點擊一次即可自動登入/驗證。

下一步驟

現在,你已經對我們的架構有了良好的基礎,請前往我們的「了解你的理想使用者管理設置」頁面,以確定你的使用案例的理想實施方案。接下來,我們將逐步說明如何在你的帳戶中配置單一登入(SSO)和 SCIM。

這篇文章有幫助嗎?