Pour qu'un utilisateur puisse accéder à un espace de travail ChatGPT Enterprise ou Edu, deux conditions doivent être remplies :
L'utilisateur doit être provisionné dans l'espace de travail
L'utilisateur doit authentifier son identité auprès d'OpenAI
Vérification du domaine
Avant de configurer des options supplémentaires de provisionnement et d’authentification, vous devez vérifier la propriété d’un ou plusieurs domaines de messagerie sur la page Identité et Provisionnement. Cela associe le domaine de messagerie à votre espace de travail ChatGPT Enterprise. En savoir plus sur la vérification de domaine pour ChatGPT Enterprise et ChatGPT Edu.
Provisionnement
Par défaut, les propriétaires et administrateurs d’espaces de travail provisionnent les utilisateurs en les invitant depuis la page Membres de l’espace de travail ChatGPT.
Pour automatiser le processus de provisionnement, les propriétaires d'espace de travail peuvent configurer les options suivantes sur la page Identité et provisionnement :
Création automatique de compte - accorde automatiquement aux utilisateurs l’accès à un espace de travail en fonction du domaine de leur adresse e-mail lorsqu’ils tentent de se connecter. En savoir plus sur la création automatique de compte.
Synchronisation de l’annuaire via SCIM - invite automatiquement les utilisateurs dans l’espace de travail en fonction de leur appartenance aux groupes spécifiés du fournisseur d’identité. En savoir plus sur le provisionnement SCIM.
Contrôlez si les groupes gérés par SCIM sont visibles dans les flux de partage, tels que les GPT et les projets. Consultez : FAQ sur l’intégration SCIM.
Les propriétaires d'espaces de travail peuvent, s'ils le souhaitent, désactiver les invitations de domaines externes afin de limiter les nouvelles invitations aux utilisateurs dont l'adresse e-mail correspond à l'un des domaines vérifiés. Cette restriction s'applique uniquement aux nouvelles invitations et ne bloque pas rétroactivement les utilisateurs existants ni les invitations déjà envoyées.
Remarque : ces fonctionnalités ne sont actuellement pas disponibles pour les utilisateurs de ChatGPT for Teachers.
Invitations par e-mail et migrations de comptes
Lorsqu’un utilisateur est invité dans votre espace de travail ChatGPT, manuellement ou via le provisionnement SCIM, OpenAI lui envoie par défaut un e-mail d’invitation (consultez cet article pour connaître les cas dans lesquels aucun e-mail ne sera envoyé). Si l’utilisateur possède une adresse e-mail correspondant à un domaine vérifié, il sera automatiquement ajouté à l’espace de travail, qu’il accepte l’invitation via le lien figurant dans son e-mail ou qu’il se connecte via chatgpt.com.
Si un utilisateur invité dont l'adresse e-mail correspond à un domaine vérifié possède déjà un compte ChatGPT, il sera invité à migrer son compte vers l'espace de travail Enterprise lorsqu'il acceptera l'invitation. Les utilisateurs peuvent choisir de transférer leurs données existantes vers l'espace de travail Enterprise ou d'exporter et de supprimer leurs données. Les abonnements individuels payants sont automatiquement annulés dans le cadre du processus de migration.
Remarque : lorsqu’un utilisateur transfère son espace de travail personnel vers un espace de travail ChatGPT Enterprise ou Edu, les GPT personnels qui avaient déjà été partagés ou publiés, y compris les GPT partagés via un lien, sont convertis en GPT visibles dans l’espace de travail de destination. Les GPT qui étaient privés avant le transfert restent privés. Les propriétaires de l’espace de travail peuvent examiner et mettre à jour la visibilité des GPT transférés après la migration.
Si un utilisateur invité possède déjà un compte ChatGPT associé à une adresse e-mail qui ne correspond pas à un domaine vérifié, il ne sera pas invité à migrer son compte et pourra conserver à la fois son compte personnel et son accès à l'espace de travail Enterprise.
Workflow de migration de compte affiché aux utilisateurs dans l'interface de ChatGPT Enterprise.
Remarque : Pour les forfaits ChatGPT Business passant à une formule Enterprise :
Les utilisateurs appartenant à l'espace de travail ChatGPT Business ne seront pas invités à migrer leur espace de travail Business vers l'espace de travail Enterprise, mais seront invités à migrer leur espace de travail personnel.
Authentification
Par défaut, les utilisateurs s'authentifient avec OpenAI à l'aide d'une adresse e-mail et d'un mot de passe, ou via une authentification de réseaux sociaux (Google, Microsoft ou Apple).
Pour sécuriser davantage le processus d'authentification, les propriétaires d'espace de travail peuvent configurer l' authentification unique (SSO) suivante sur la page Identité et provisionnement :
Activer SSO - Les utilisateurs provisionnés dans l'espace de travail et disposant d'une adresse e-mail associée à un domaine vérifié peuvent s'authentifier via le fournisseur d'identité (IdP) intégré. Lorsque le SSO est activé mais non imposé, les utilisateurs peuvent toujours choisir de s'authentifier avec leur nom d'utilisateur et leur mot de passe ou via une connexion sociale avec Google, Microsoft et Apple.
Imposer le SSO - A également pour effet de désactiver la connexion via les réseaux sociaux pour les utilisateurs qui ont été provisionnés dans l'espace de travail et qui disposent d'une adresse e-mail associée à un domaine vérifié.
L'activation ou l'imposition du SSO en soi n'a pas d'impact sur l'expérience des types d'utilisateurs suivants :
Utilisateurs ChatGPT dont l'adresse e-mail correspond à un domaine vérifié et qui ne sont pas provisionnés dans l'espace de travail Ces utilisateurs peuvent continuer à accéder à leurs comptes ChatGPT personnels une fois le SSO configuré.
Utilisateurs ChatGPT dont le domaine de messagerie ne correspond pas à un domaine de messagerie vérifié, mais qui sont provisionnés dans l'espace de travail. Ces utilisateurs peuvent continuer à accéder à l'espace de travail ChatGPT Enterprise au moyen de méthodes de connexion par mot de passe ou via les réseaux sociaux.
En savoir plus sur la configuration du SSO.
Configuration du SSO sur l'ensemble des produits OpenAI
Votre espace de travail ChatGPT Enterprise et vos organisations de la plateforme API OpenAI partagent une connexion SSO unique avec votre fournisseur d'identité (IdP). Par conséquent, les vérifications de domaine et les paramètres SSO SAML sont partagés entre les produits. Si vous avez déjà configuré l'authentification unique (SSO) dans votre organisation de la plateforme API, les domaines vérifiés et les paramètres SSO SAML seront préremplis dans ChatGPT. L'inverse est également vrai.
Le SSO doit être activé séparément sur ChatGPT et sur la plateforme d'API. Toutefois, une fois que vous l'avez configuré sur l'un, la « configuration » de l'autre se résume principalement à activer l'option et à ajouter une application de signets dans votre IdP si vous le souhaitez.
| SSO de la plateforme d'API activé | SSO de la plateforme API désactivé | |
| SSO activé pour ChatGPT | ✅ | ✅ |
| SSO de ChatGPT désactivé | ✅ | ✅ |
En savoir plus sur la configuration du SSO de la plateforme d’API.
Modèles recommandés d'identité et de provisionnement
ChatGPT Enterprise vous offre la flexibilité de combiner à votre guise les options d'identité et de provisionnement. Les modèles les plus courants sont fournis à titre de référence.
| Provisionnement | Authentification | Expérience utilisateur | |
| Accès avec opt-in Tout utilisateur qui s'authentifie avec une adresse e-mail associée à un domaine vérifié sera automatiquement provisionné dans votre espace de travail. | Création automatique de compte | Mot de passe ou connexion sociale | Lorsqu'ils s'inscrivent à un compte personnel ou s'y connectent, les utilisateurs recevront un prompt pour migrer leur compte personnel vers l'espace de travail Enterprise. |
| SSO avec invitations manuelles Les utilisateurs invités manuellement à rejoindre l'espace de travail peuvent s'authentifier via le SSO. | Manuel | SSO activé ou exigé | Les utilisateurs peuvent continuer à s'inscrire ou à se connecter à leurs comptes personnels. Une fois invités dans l'espace de travail Enterprise, les utilisateurs recevront un prompt pour migrer leur compte personnel existant. |
| SSO avec création automatique de compte Tout utilisateur qui s'authentifie avec une adresse e-mail associée à un domaine vérifié sera automatiquement provisionné dans votre espace de travail et pourra ensuite s'authentifier via le SSO. | Création automatique de compte | SSO activé ou exigé | Lors de leur inscription ou de leur connexion à leur compte personnel, les utilisateurs seront invités via un prompt à migrer leur compte personnel vers l'espace de travail Enterprise. Remarque : les utilisateurs qui ne sont pas en mesure de s'authentifier via l'IdP seront dans l'incapacité de se connecter à ChatGPT après la migration vers l'espace de travail Enterprise. |
| SSO avec SCIM Les utilisateurs membres d'un groupe IdP spécifié sont automatiquement invités à rejoindre l'espace de travail et peuvent ensuite se connecter avec le SSO. | SCIM | SSO activé ou exigé | Les utilisateurs peuvent continuer à créer des comptes personnels ou à s'y connecter. Lorsque vous êtes ajouté aux groupes IdP spécifiés, vous recevez un e-mail d'invitation et êtes invité à migrer votre compte personnel existant. |