SSO, SCIM, and User Management SSO Overview
SSO は、エンタープライズおよび教育機関向けの顧客のみが利用可能です。
背景のアーキテクチャと用語
現在、ChatGPT および API プラットフォームの両方で、SAML 認証を通じた SSO がサポートされています。
•ワークスペース:ChatGPT のインスタンスを指します。
•組織(Organization):API プラットフォームのインスタンスを指します。
•アイデンティティプロバイダー(IdP):デジタル ID を管理するために使用するサービスを指します。当社は、SAML をサポートするすべての IdP との接続をサポートしています。代表的な IdP には以下が含まれます:Okta,Azure Active Directory/Entra ID, Google Workspace
現在、各 ChatGPT ワークスペースには、それに対応するプラットフォーム組織が関連付けられています。
つまり、エンタープライズ プラットフォームの「一般」ページにある 組織 ID(org-id) は、エンタープライズ ChatGPT ワークスペースに関連付けられている 組織 ID(org-id) と同じです。
そのため、ワークスペースと組織は同じ認証レイヤーを共有しています。
注意点
•1 つの組織 ID(org-id)は、1 つの IdP 設定のみをサポート可能
•ドメインの検証および SAML SSO 設定は、ChatGPT と API プラットフォームの間で共有される
•ChatGPT ワークスペースで SSO を有効にすると、対応するプラットフォーム組織でも自動的に SSO が有効になる
また、SSO を有効にした後で、ChatGPT または API プラットフォームのいずれか一方で SSO を無効にすることも可能ですが、その場合、以下のような影響が生じる可能性があります:
| プラットフォーム SSO 有効 | ChatGPT SSO 無効 | |
|---|---|---|
| ChatGPT SSO 有効 | ⚪︎ | × 新しい ChatGPT ユーザーはウェブブラウザでサインアップできますが、モバイルでのサインアップは失敗します。 |
| ChatGPT SSO 無効 | ⚪︎ | ⚪︎ |
SSO の開始方法
一般的なアイデンティティ用語
1. プロビジョニング
OpenAI がユーザーに関して「プロビジョニング」と言う場合、特に「招待のプロビジョニング」を指しています。
ユーザーアカウントの作成自体は直接サポートしていません。招待は以下の方法でプロビジョニングできます:
•SCIM(ChatGPT SCIM インテグレーションおよび API プラットフォーム SCIM インテグレーションの両方でサポート)
•ChatGPT または API プラットフォームの「メンバー」ページ
•自動アカウント作成
•招待 API
プロビジョニングの招待は、SSO による認証とは独立した手順です。
2. 認証 - 「あなたは言っている通りの人物ですか?」
例:IdP(アイデンティティプロバイダー)がユーザーを認証し、ログイン時にその人物が言っている通りの人物であることを確認します。
3. 認可 - 「あなたは何をすることができ、何を見られるのか?」
例:IdP が認証を行った後、どの ChatGPT ワークスペースに所属しているかを確認します。
OpenAI SSO 設定の理解
ドメインの検証
SSO と自動アカウント作成を有効にするための前提条件です。基本的に、「このドメインはあなたのものですか?」という確認です。
1 chatgpt.com または platform.openai.com でログインする際、検証済みのドメインは、SSO が設定されている場合に、ユーザーがパスワードページにリダイレクトされるか、IdP(アイデンティティプロバイダー)にリダイレクトされるかを決定します。
2 ワークスペースでドメインが検証されると、そのドメインのメールアドレスを持つユーザーがワークスペースに招待されると、次回ログイン時に個人アカウントの統合を求められます。
3 ChatGPT の認証はドメインおよびワークスペースに基づいています。ドメインが検証され、SSO がワークスペースで有効になっている場合、そのワークスペース内のユーザーのみが SSO にリダイレクトされます。ワークスペースに所属しない(たとえば、無料、プラス、プロ、またはチームアカウントを持つ)ドメイン内のユーザーは、引き続きメール/パスワードまたはソーシャルアカウントでログインします。
4 プラットフォームの認証はドメインベースです。ドメインが検証され、SSO が有効になっている場合、そのドメイン内のすべてのプラットフォームユーザーはパスワードによるログインができなくなります。詳細については、「ChatGPT と API プラットフォームでのドメイン検証」セクションを参照してください。
5 サブドメインは、トップレベルドメインとは別に検証する必要があります。
ドメイン検証を正常に処理するためには、TXT レコードが DNS ルックアップで読み取れる必要があります。
(ChatGPT 専用) 自動アカウント作成 (AAC)
ChatGPT ワークスペースで AAC を有効にすると、検証済みのドメインと一致するメールアドレスを持つ新しいユーザーは、サインアップ時に自動的にエンタープライズワークスペースに招待されます。SCIM を使用している場合は、AAC の有効化は推奨しません。
(ChatGPT 専用) 外部ドメインの招待を許可
この設定は、未検証のドメインを持つユーザーをワークスペースに招待できるかどうかを制御します。外部ドメインのユーザーは、SSO 設定が検証済みドメインのユーザーにのみ適用されるため、SSO を通じてログインする必要はありません。
SSO の有効化
この設定は、構成された SSO 設定がワークスペースおよび/または組織に適用されるかどうかを決定します。
SSO の強制
•無効時:この設定を無効にすると、検証済みドメインのユーザーは SSO またはソーシャルログインから選んでログインできます。
•有効時:この設定を有効にすると、検証済みドメインのユーザーは SSO 有効なワークスペースまたは組織に SSO を通じてのみサインインできます。パスワードおよびソーシャル認証はワークスペース/組織に対して無効になり、ドメインが検証されていない他のワークスペース/組織では引き続き使用できます。
ChatGPT と API プラットフォームでのドメイン検証の違い
前述のように、ドメイン検証は ChatGPT とプラットフォームの共有インスタンス全体に適用されます。しかし、SSO が有効になっている場合、ChatGPT とプラットフォームへのログインに対するドメイン検証の影響には重要な違いがあります:
•API プラットフォームでの SSO は完全にドメインベースです。これは、ドメインがいずれかの組織で検証され、SSO が有効になると、そのドメインを持つすべてのユーザーがパスワードでのログインができなくなることを意味します。ソーシャル認証手段を持っていない場合、そのユーザーは IdP アクセスグループに属していない限り、対応する組織にアクセスできなくなります。
•ChatGPT 側 では、ドメインが検証されたワークスペースに所属するユーザーのみが影響を受けます。IdP のアクセスグループに属していないユーザーは、次のセクションで説明する方法でワークスペースにログインを続けることができます。
ユーザーのログイン体験
OpenAI では、以下の 3 つの認証方法をサポートしています:
•ユーザー名 + パスワード
•ソーシャル認証(Microsoft/Google/Apple)
•SSO(シングルサインオン)
ユーザーが ChatGPT か API プラットフォームにログインするか、ドメインが検証されているか、ワークスペースや組織で SSO が強制されているかによって、ログイン時の挙動は異なりますのでご注意ください。
SP 主導のログイン
すべてのユーザーは、直接 chatgpt.com または platform.openai.com にアクセスしてログインできます。このオプションを使用する場合、以下のように異なる認証方法がトリガーされます:
•ユーザーが複数のワークスペースに所属しており、その中にドメインの SSO が有効になっているワークスペースがある場合、ログインするワークスペースを選択するように求められます。
ChatGPT SP 主導のログイン
入力されたメールアドレスが検証済みドメインを持つワークスペースに所属している場合、ユーザーは IdP にリダイレクトされ、認証されます。それ以外の場合、ユーザーはパスワードを入力してログインするように指示されます。
ユーザーが複数のワークスペースに所属しており、その中にドメインの SSO が有効になっているワークスペースが少なくとも一つある場合、ログイン方法を選択するように求められます。
注意:「SSO の強制」が特定のワークスペースに対して有効になっている場合、そのワークスペースには SSO オプションのみでログインできます。
プラットフォーム SP 主導のログイン
前述のように、検証済みドメインを持つユーザーがプラットフォームのログインページにメールアドレスを入力すると、常に IdP にリダイレクトされ、認証されます。
そのため、プラットフォームの SSO を有効にする前に、必ずその動作について理解しておくことが重要です。そうしないと、個人アカウントでプラットフォームユーザーが誤ってロックされることが簡単に起こります。
IdP 主導のログイン
それぞれのアイデンティティページから SSO を設定すると、ChatGPT と API プラットフォームの両方に対してユニークなタイル URL が提供されます:
•ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=org-123abc
•プラットフォーム: https://platform.openai.com/enterprise/org-123abc/login
これらのタイル URL は、IdP 内で設定することで、ユーザーがワンクリックで自動的にログイン/認証できるようになります。
ただし、基盤となるアーキテクチャの関係で、現在は一度に2つの URL のうち1つのみで適切な IdP リダイレクトをサポートしています。デフォルトでは ChatGPT タイル URL が使用されます。
もし、プラットフォームタイル URL が正しくエンタープライズプラットフォームアカウントにリダイレクトされるようにしたい場合は、サポートに連絡し、デフォルト動作の更新について支援を求めてください。この変更を行うと、ChatGPT タイル URL が無効となり、ChatGPT ユーザーは上記で説明した SP 主導の方法でログインする必要があります。
次のステップ
「理想的なユーザー管理セットアップの理解」ページに進み、あなたのユースケースに最適な実装方法を決定してください。
その後、アカウント内での SSO と SCIM の設定方法をご案内します。
Comments