يهدف هذا المستند إلى مساعدة المسؤولين في نشر تسجيل الدخول الموحد (SSO) وربما SCIM بطريقة تتناسب بشكلٍ أفضل مع حالات الاستخدام الخاصة بهم.

يرجى مراجعة صفحة "نظرة عامة على تسجيل الدخول الموحد (SSO)" للتعرّف على المفاهيم الأساسية التي يناقشها هذا المستند.

قبل التحقق من نطاقاتك، من المهم الأخذ في الاعتبار بضعة أسئلة مختلفة:

ما الطريقة التي تفضلها لتقديم الدعوات للمستخدمين الجدد؟
كيف تودّ التعامل مع المستخدمين الحاليين من المستهلكين في الخطط (Personal/Plus/Pro)؟
كيف تريد أن تكون عملية تسجيل دخول المستخدمين؟

سنلقي نظرة على كل سؤال من هذه الأسئلة بمزيد من التفصيل للمساعدة في ضمان اختيارك للخيار الأنسب لاحتياجاتك.

دعوة مستخدمين جدد

نوفر حاليًا أربع طرق مختلفة لتوفير الدعوات للمستخدمين:

نظام إدارة الهويات عبر النطاق (SCIM)
الدعوات المباشرة من ChatGPT أو منصة API Platform
ChatGPT فقط: إنشاء حساب تلقائيًا (AAC)
منصة Platform فقط: نقطة نهاية API Platform Admin Invites Endpoint

تجدر الإشارة إلى أننا نميز بين الحالات التي يتم فيها إرسال رسائل البريد الإلكتروني الخاصة بالدعوات بشكل فعلي والحالات التي تُربط فيها الدعوة ببريد المستخدم الإلكتروني في نظامنا الخلفي دون إشعار.

تُرسَل رسائل البريد الإلكتروني الخاصة بالدعوات بشكل نشط عندما:

تتم دعوة مستخدم جديد للمرة الأولى من خلال SCIM
تتم دعوة المستخدم مباشرةً من خلال ChatGPT أو منصة API Platform.

تُربَط الدعوات تلقائيًا دون إشعار عندما:

تتم إزالة مستخدم SCIM من مجموعة موفّر الهوية (IdP) لديك ثم تمت إضافته مجددًا.
ينطبق إنشاء الحساب تلقائيًا.

في الحالة الأخيرة، لن يرى المستخدمون الدعوات في صندوق الوارد الخاص بهم، ولكن سيظل يتم توجيههم بشكل صحيح إلى مساحة العمل المشتركة/المنظمة المقابلة عند محاولة تسجيل الدخول.

SCIM

يتوفر نظام SCIM في كل من ChatGPT ومنصة API Platform. يسمح SCIM لموفري الهوية (مثل Okta وEntra ID وما إلى ذلك) بمشاركة بيانات هويات المستخدمين مع OpenAI، والإرسال الآلي للدعوات (وإلغاء توفير حسابات المستخدمين) وفقًا للتغييرات التي تطرأ على المنظمة.

على الرغم من أن SCIM يتم تكوينه أيضًا من خلال موفّر الهوية (IdP)، إلا أنه يمكن إعداده بشكل مستقل بعيدًا عن تسجيل الدخول الموحد (SSO). لذلك، لا يُعدّ التحقق من النطاق أو تسجيل الدخول الموحد (SSO) من متطلبات بروتوكول SCIM.

إذا قررت استخدام كلٍّ من SCIM وتسجيل الدخول الموحد (SSO)، فالتمييز المهم الذي يجب مراعاته هو:

SCIM يوفر الدعوات فقط
تسجيل الدخول الموحد (SSO) يتعامل مع المصادقة وإيجاد المستخدمين

نعتبر بروتوكول SCIM الحل الأكثر قوة وقابلية للتطوير لإدارة المستخدمين بشكل عام. واستنادًا إلى طريقة التنفيذ المثالية لديكم، نوصي عمومًا بالبنية التالية كأفضل ممارسة إذا كنتم تنشرون عبر كل من ChatGPT ومنصة API Platform.

IdP setup diagram comparing one shared SAML app versus separate SCIM apps for ChatGPT and API Platform users

باستخدام هذا الإعداد، يمكنك بسهولة إدارة الدعوات وإمكانية الوصول بشكل منفصل (إلى ChatGPT ومنصة API Platform). يوفر هذا الإعداد ميزة إضافية تتمثل في إمكانية إجراء أي تغييرات ضرورية مركزيًا بواسطة فرق الإدارة لديك مباشرةً في موفّر الهوية (IdP).

إذا كنت تطبق SCIM عبر تطبيقات متعددة (على سبيل المثال ChatGPT مقابل منصة API Platform مقابل حسابات أخرى)، يجب أن تكون تطبيقات SCIM لديك مميزة. حتى إذا كانت قاعدة المستخدمين المستهدفة لديك متطابقة، يُوصى بشدة بأن يشير كل تنفيذ لبروتوكول SCIM إلى تطبيق فريد من نوعه في موفّر الهوية (IdP) لديك.

إذا لم تستوفِ هذا المطلب، فقد يؤدي ذلك إلى مشكلات في الاتساق قد تؤدي في النهاية إلى عضويات غير صالحة.

الدعوات المباشرة من ChatGPT أو منصة API Platform

يمكن للمسؤولين دعوة المستخدمين مباشرةً عبر البريد الإلكتروني من صفحات "الأعضاء" في ChatGPT والمنصة Platform. في ChatGPT، تدعم هذه الطريقة أيضًا الدعوات المجمّعة عبر تحميل ملف بتنسيق CSV:

Workspace invite modal with CSV upload, email entry, and Resend emails for existing invites selected

غالبًا ما نوصي باستخدام الدعوات المباشرة عند البدء في مساحة عمل مشتركة/منظمة جديدة، على الرغم من أنها غير قابلة للتوسع. وعلى عكس SCIM، لا يوجد احتمال لحدوث تأخير في وصول الدعوات إلى صناديق البريد الوارد للمستخدمين، لذا فهو الخيار الأكثر فعالية لتوفير وصول سريع، وتعديل الأذونات، وإجراء الاختبارات العامة.

بالإضافة إلى ذلك، يمكنك دائمًا تفعيل SCIM لاحقًا وتجميع المستخدمين الحاليين ضمن تطبيق SCIM. لذلك لا داعي للقلق من استبعاد المستخدمين المدعوين مباشرة بطريقة آلية مستقبلية إلا إذا رغبوا في ذلك.

إنشاء حساب تلقائيًا

على عكس الخيارات الأخرى، يتوفر نظام إنشاء الحساب تلقائيًا فقط في صفحة هوية ChatGPT ويتطلب تفعيل تسجيل الدخول الموحد (SSO) مسبقًا:

Automatic account creation setting for verified-domain users turned off

كما هو موضح أعلاه، تضمن ميزة AAC أن تتم إضافة المستخدمين الذين يشتركون لأول مرة أو يسجلون الدخول باستخدام نطاق بريد إلكتروني تم التحقق منه تلقائيًا إلى مساحة عمل مشتركة خاصة بك في ChatGPT Enterprise. لن يتلقى المستخدمون رسالة دعوة عبر البريد الإلكتروني، وستكون العملية آلية بالكامل. وهذا له إيجابياته وسلبياته.

إذا كانت سياستك هي السماح بالوصول المفتوح لأي مستخدم لديه مجالك الذي تم التحقق منه، فإن AAC خيار رائع يتجنب العبء الإضافي لتكوين تطبيق SCIM وإدارته.

ومع ذلك، لا يُعد AAC الخيار الأمثل إذا كنت تحتاج إلى نهج أكثر إحكامًا قائمًا على الموافقة للوصول إلى المستخدم.

⚠️ تحذير ⚠️

من المهم أن تتذكر أن تفعيل AAC سيؤدي إلى دمج جميع المستخدمين المستهلكين (Personal/Plus/Pro) ضمن نطاقك في مساحة العمل المشتركة الخاصة بك في ChatGPT Enterprise. يمكن العثور على مزيد من المعلومات حول هذا أدناه في قسم "التعامل مع المستخدمين الحاليين".

يرجى ملاحظة أنه حتى إذا لم يكن المستخدمون أعضاءً في مجموعة الوصول الخاصة بموفّر الهوية (IdP) لديك، ولم يتمكنوا من الوصول بنجاح إلى مساحة العمل المشتركة في حال فرض تسجيل الدخول الموحد (SSO)، فإنهم سيظلون يشغلون مقعدًا في حساب ChatGPT Enterprise الخاص بك في هذا السيناريو.

ولهذا السبب، نوصي عمومًا باستخدام SCIM أو الدعوات المباشرة في معظم الحالات بدلاً من AAC. وللمساعدة في تجنّب مصادر الالتباس المحتملة، نوصي بترك AAC مغلقًا إذا كنت تخطط لاستخدام SCIM.

نقطة النهاية الخاصة بمسؤول منصة API (Invites Endpoint)

تدعم منصة API الخاصة بنا Invites Endpoint، مما يتيح لك دعوة المستخدمين برمجيًا إلى منظمة واجهة API الخاصة بك.

مقارنةً بـ SCIM، تتمثل الفائدة الرئيسية لنقطة النهاية في أنها تتيح لك تحديد المشروع أو المشاريع التي ينبغي أن ينتمي إليها المستخدم:

يوفّر ذلك طبقة إضافية من الدقة والتحكّم، دون الحاجة إلى العمل اليدوي المتمثّل في إرسال دعوات مباشرة فردية.

إدارة المستخدمين المستهلكين الحاليين

نُعرّف مستخدمي فئة المستهلكين بأنهم المشتركون في خطط Personal أو Plus أو Pro. غالبًا ما يكون هناك مستخدمون مستهلكون حاليون مرتبطون بنطاقك الذي تم التحقق منه، ولديهم حسابات قبل اشتراكك في ChatGPT Enterprise. ونظرًا إلى أن التحقق من نطاقك وتفعيل تسجيل الدخول الموحد (SSO) قد يكون لهما تأثيرات محتملة على هؤلاء المستخدمين المستهلكين، فمن المهم تحديد النتيجة المرجوة مسبقًا.

التأثير على المستخدمين المستهلكين في ChatGPT

من جانب ChatGPT، يتحدد التأثير على المستهلكين بشكل كبير بعاملين:

هل ستتم دعوتهم إلى مساحة عمل مشتركة في ChatGPT Enterprise؟
هل ستفرض تسجيل الدخول الموحد (SSO)؟

يمكن ملاحظة السلوك الناتج أدناه:

دعوة معلّقة؟	هل تسجيل الدخول الموحد (SSO) مفروض؟	النتيجة
نعم	نعم	سيتم دمج حسابات المستخدمين المستهلكين في حسابات ChatGPT Enterprise بشكل إجباري، ولن يكون بالإمكان تسجيل الدخول إلا باستخدام تسجيل الدخول الموحد (SSO).
نعم	لا	سيكون لزامًا على حسابات المستخدمين المستهلكين الدمج في ChatGPT Enterprise، ويمكن للمستخدمين المصادقة باستخدام تسجيل الدخول الموحد (SSO) أو عبر تطبيقات التواصل.
لا	نعم	لا تأثير: يواصل المستخدمون الوصول إلى مساحات عملهم الشخصية عبر كلمة المرور أو المصادقة عبر تطبيقات التواصل.
لا	لا	لا تأثير: يواصل المستخدمون الوصول إلى مساحات عملهم الشخصية عبر كلمة المرور أو المصادقة عبر تطبيقات التواصل.

إذا كان هدفك هو منع حسابات المستهلكين في النهاية، فيرجى التواصل مع مدير حسابك لمناقشة الخيارات المتاحة.

دمج الحسابات

الشروط المسبقة لبدء دمج حساب المستهلك تلقائيًا في حساب ChatGPT Enterprise هي كما يلي:

تم التحقق من نطاق المستخدم.
تلقّى المستخدم دعوةً للانضمام إلى مساحة عمل مشتركة في ChatGPT Enterprise التي تم التحقق من نطاقه فيها.
- ملاحظة: إذا قمت بتفعيل نظام إنشاء الحساب تلقائيًا، فسيكون هذا الشرط صحيحًا دائمًا لأي مستخدم لديه نطاقك الذي تم التحقق منه.

عند استيفاء هذه الشروط، وفي المرة التالية التي يقوم فيها المستخدم بتسجيل الدخول إلى ChatGPT أو تحديثه، يجب أن يرى النموذج التالي:

ChatGPT Enterprise invite flow with options to transfer chat history and GPTs or export and delete the old workspace

كما توضّح الصورة، سنقوم تلقائيًا برد قيمة أي اشتراكات حالية في خطة Plus أو Pro قبل عملية الدمج. سيكون لدى المستخدمين خيار نقل سجل دردشتهم الحالي ونموذج GPT، أو إرسال سجل دردشتهم عبر البريد الإلكتروني وبدء مساحة العمل المشتركة في ChatGPT Enterprise كـ "صفحة نظيفة."

بمجرد دمج حساب المستهلك، لا توجد أي طريقة لاستعادته. إذا اختار المستخدمون لديك خيار "نقل سجل الدردشة وGPTs الحاليين" ولكن لم يظهر ذلك في مساحة العمل المشتركة في ChatGPT Enterprise الخاصة بهم، يُرجى التواصل مع الدعم الفني.

التأثير على المستخدمين المستهلكين في منصّة API

نظرًا إلى أن تسجيل الدخول الموحد (SSO) على المنصة لا يزال قائمًا على النطاق (على خلاف ChatGPT، حيث يكون تسجيل الدخول الموحد (SSO) خاصًا بمساحة العمل المشتركة التي تم تفعيله فيها)، فسيتأثر المستخدمون المستهلكون بمجرد التحقق من نطاقك وتفعيل تسجيل الدخول الموحد (SSO) في أي منظمة.

سيفقد المستخدمون المستهلكون القدرة على المصادقة باستخدام كلمات المرور، إذ نحدد تطابق النطاق ونعيد توجيههم إلى موفّر الهوية (IdP) لديك. إذا كانوا أعضاء في موفّر الهوية (IdP) لديك، فيمكنهم المصادقة بنجاح. بدلاً من ذلك، يمكنهم تسجيل الدخول باستخدام خيار OAuth عبر تطبيقات التواصل إذا كان متاحًا لهم. إذا لم يكن الأمر كذلك، فهذا يعني أنك قد منعتهم فعليًا من الوصول إلى حساباتهم كمستهلكين.

راجع قسم مسار تسجيل دخول المستخدم للحصول على دليل أكثر تفصيلًا حول سير العمل هذا.

أنماط الهوية وتوفير الحسابات الموصى بها

والآن بعد أن استعرضنا السلوك الأساسي المرتبط بمصادقة الهوية وتقديم الدعوات، قد يكون من المفيد مراجعة بعض أنماط التنفيذ الأكثر شيوعًا المتاحة لمستخدمي ChatGPT Enterprise:

Comparison table of four Enterprise user management setups by provisioning, authentication, and user experience

عملية تسجيل دخول المستخدم

لقد ناقشنا بالفعل تأثير الدعوات المعلّقة وفرض تسجيل الدخول الموحد (SSO)، لذا يهدف هذا القسم إلى المساعدة في تصور التدفق المتوقع وعمليات التحقق التي نقوم بها عندما يُدخل المستخدم عنوان بريده الإلكتروني لتسجيل الدخول.

عملية تسجيل الدخول إلى ChatGPT

ملاحظة: يستبعد هذا المخطط محاولات تسجيل الدخول عبر تطبيقات التواصل الاجتماعي أو من خلال عنوان URL.

Flowchart of ChatGPT login paths for personal accounts, password sign-in, workspace picker, and SSO redirection

عملية تسجيل الدخول لمنصة API