Моля, прегледайте нашата страница „Преглед на SSO“, за да се запознаете с ключовите концепции, разгледани в този документ.
Преди да потвърдите домейните си, е важно да обмислите няколко различни въпроса:
Как бихте искали да предоставяте покани на нови потребители?
Как бихте искали да обработвате съществуващи потребители на потребителски акаунти (лични/Plus/Pro)?
Как искате да изглежда потокът за вход на вашите потребители?
Ще разгледаме всеки от тези въпроси по-подробно, за да ви помогнем да изберете опцията, която най-добре отговаря на нуждите ви.
Поканване на нови потребители
В момента предлагаме четири различни метода за предоставяне на покани на потребители:
Струва си да се отбележи, че правим разграничение между случаите, в които имейли с покани се изпращат активно:
Нов потребител е поканен за първи път чрез SCIM
ИЛИ чрез директни покани от приложението
И случаите, в които покана се свързва незабележимо с имейла на потребителя в нашия бекенд:
Потребител на SCIM е бил премахнат от вашата IdP група и след това добавен отново
Автоматично създаване на акаунт
Във втория случай потребителите няма да виждат поканите в пощенската си кутия, но въпреки това ще бъдат правилно насочени към съответното работно пространство/организация, когато се опитат да влязат.
SCIM
SCIM е наличен както в ChatGPT, така и в API Platform. SCIM позволява на доставчиците на идентичност (напр. Okta, Entra ID и др.) да обменят данни за потребителска идентичност с OpenAI, като автоматизират предоставянето на покани (и отнемането на потребителски акаунти) въз основа на организационни промени.
Въпреки че SCIM също се конфигурира чрез вашия IdP, то може да бъде настроено независимо от SSO. Следователно потвърждаването на домейн/SSO не са изисквания за SCIM.
Ако решите да използвате едновременно SCIM и SSO, важното разграничение е следното:
SCIM предоставя само покани
SSO управлява удостоверяването и създаването на потребители
Смятаме SCIM за най-надеждното и мащабируемо решение за цялостно управление на потребители. В зависимост от предпочитаната от вас имплементация, ако внедрявате и в ChatGPT, и в API Platform, обикновено препоръчваме следната архитектура като добра практика:
С тази настройка можете лесно да управлявате отделно както поканите, така и достъпа (до ChatGPT и API Platform). Допълнително предимство на тази настройка е, че всички необходими промени могат да се извършват централизирано от вашите администраторски екипи директно във вашия IdP.
Ако внедрявате SCIM в няколко приложения (напр. ChatGPT спрямо API Platform спрямо други акаунти), вашите SCIM приложения трябва да са уникални. Дори ако целевата ви потребителска база е идентична, силно се препоръчва всяка SCIM имплементация да препраща към уникално приложение във вашия IdP.
Ако не изпълнявате това изискване, това може да доведе до проблеми с несъответствия, които в крайна сметка водят до невалидни членства.
Директни покани от ChatGPT или API Platform
Администраторите могат директно да канят потребители по имейл от съответните страници ChatGPT и Platform „Members“. В ChatGPT този метод поддържа и групови покани чрез качен CSV файл:
Макар че обикновено не е мащабируемо, често препоръчваме да използвате директни покани, когато започвате работа в ново работно пространство/организация. За разлика от SCIM, няма потенциално забавяне при достигането на поканите до входящите кутии на потребителите, така че това е най-ефективната опция за бързо предоставяне на достъп, промяна на разрешения и общо тестване.
Освен това винаги можете да активирате SCIM на по-късен етап и да групирате съществуващите си потребители под SCIM приложението. Така няма риск директно поканените потребители да бъдат изключени от бъдеща автоматизация, освен ако това не е желано.
Автоматично създаване на акаунт (AAC)
За разлика от другите опции, AAC е налично само в страницата Identity на ChatGPT и изисква SSO първо да е било активирано:
Както е показано по-горе, AAC гарантира, че потребителите, които се регистрират или влизат с потвърден имейл домейн, автоматично ще бъдат добавяни към вашето Enterprise работно пространство. Потребителите няма да получат имейл с покана и процесът е напълно автоматизиран. Това има своите плюсове и минуси.
Ако политиката ви е да позволявате отворен достъп на всеки потребител с вашия потвърден домейн, AAC е отлична опция, която избягва допълнителното натоварване по конфигуриране и управление на SCIM приложение.
Въпреки това AAC не е идеално, ако ви е необходим по-ограничен подход към потребителския достъп, базиран на одобрение.
⚠️ ПРЕДУПРЕЖДЕНИЕ ⚠️
Важно е да имате предвид, че активирането на AAC на практика ще принуди всички потребители с потребителски акаунти (лични/Plus/Pro) под вашия домейн да се слеят с вашето Enterprise работно пространство. Повече за това можете да намерите по-долу в раздела „Обработка на съществуващи потребители“.
Имайте предвид, че дори ако потребителите не са членове на вашата IdP група за достъп и не могат успешно да получат достъп до работното пространство, ако SSO е наложено, в този сценарий те все пак заемат място във вашия Enterprise акаунт.
Поради тази причина в повечето случаи обикновено препоръчваме SCIM или директни покани вместо AAC. А за да се избегнат потенциални обърквания, препоръчваме да оставите AAC изключено, ако планирате да използвате SCIM.
Крайна точка за администраторски покани в API Platform
Нашата API Platform поддържа крайна точка за покани, която ви позволява програмно да каните потребители във вашата API организация.
В сравнение със SCIM, основното предимство на крайната точка е, че ви позволява да посочите проекта(ите), към който(които) поканеният потребител трябва да принадлежи:
Това осигурява допълнително ниво на детайлност и контрол, без да изисква ръчната работа на отделни директни покани.
Обработка на съществуващи потребители с потребителски акаунти
Определяме като потребители с потребителски акаунти тези с личен, Plus или Pro абонамент. Често се случва да има съществуващи потребители с потребителски акаунти с вашия потвърден домейн, които са имали акаунти преди вашия Enterprise договор. Тъй като потвърждаването на домейна ви и активирането на SSO могат да окажат последващо въздействие върху тези потребители, важно е предварително да определите желания резултат.
Въздействие върху потребители на ChatGPT с потребителски акаунти
От страна на ChatGPT въздействието върху потребителите до голяма степен се определя от два фактора:
Ще бъдат ли поканени в Enterprise работното пространство?
Ако AAC е активирано, тогава по подразбиране отговорът е „Да“
Ще наложите ли SSO?
Полученото поведение може да се види по-долу:
| Има ли чакаща покана? | SSO наложено ли е? | Резултат |
| ✅ | ✅ | Потребителските акаунти ще бъдат принудително слети с Enterprise и влизането ще е възможно само чрез SSO |
| ✅ | ❌ | Потребителските акаунти ще бъдат принудително слети с Enterprise, потребителите могат да се удостоверяват чрез SSO или Social |
| ❌ | ✅ | Няма въздействие: потребителите запазват достъп до личните си работни пространства чрез Password или Social удостоверяване |
| ❌ | ❌ | Няма въздействие: потребителите запазват достъп до личните си работни пространства чрез Password или Social удостоверяване |
Ако целта ви е в крайна сметка да предотвратите всякакви потребителски акаунти, моля, свържете се с вашия Account Director, за да обсъдите възможните опции.
Сливане на акаунти
Предпоставките за задействане на автоматично сливане на потребителски акаунт в Enterprise акаунт са следните:
Домейнът на потребителя е потвърден
Потребителят е получил покана за Enterprise работното пространство, в което домейнът му е потвърден
⚠️ Имайте предвид, че ако сте активирали AAC, това условие винаги ще е изпълнено за всеки потребител с вашия потвърден домейн.
Когато тези условия са изпълнени, следващия път, когато потребителят влезе в ChatGPT или опресни страницата, той трябва да види следния модален прозорец:
Както е подчертано на изображението, автоматично ще възстановим суми по всички съществуващи Plus или Pro абонаменти преди сливането. Потребителите ще имат възможност да прехвърлят съществуващата си история на чатове и GPT, или да експортират историята на чатовете си по имейл и да започнат своето Enterprise работно пространство „на чисто“.
След като потребителският акаунт бъде слят, няма начин той да бъде възстановен. Ако вашите потребители са избрали опцията „Прехвърляне на съществуваща история на чатове и GPT“, но не са видели това отразено в своето Enterprise работно пространство, моля, свържете се с поддръжката.
Въздействие върху потребители на API Platform с потребителски акаунти
Тъй като SSO в Platform все още е базирано на домейн (за разлика от ChatGPT, където SSO е специфично за работното пространство, в което е активирано), вашите потребители с потребителски акаунти ще бъдат засегнати веднага щом потвърдите домейна си и активирате SSO в която и да е организация.
Тези потребители ще загубят възможността да се удостоверяват с пароли, тъй като разпознаваме съвпадението на домейна и ги пренасочваме към вашия IdP. Ако са членове на вашия IdP, те могат да се удостоверят успешно. Алтернативно могат да влязат чрез Social Oauth опция, ако тя е достъпна за тях. Ако не, на практика сте ги лишили от достъп до техните потребителски акаунти.
Вижте потоците в раздела Потребителски вход за по-задълбочено ръководство за този процес.
Препоръчителни модели за идентичност и предоставяне
След като изложихме основното поведение, свързано с нашето удостоверяване на идентичност и предоставяне на покани, може да е полезно да разгледаме някои от по-често срещаните модели за внедряване, достъпни за Enterprise потребители:
Поток за вход на потребители
Вече обсъдихме въздействието на чакащите покани и налагането на SSO, така че този раздел има за цел да помогне да се визуализира очакваният поток/проверки, които извършваме, когато потребител въведе своя имейл адрес, за да влезе.
Поток за вход в ChatGPT
Забележка: Тази диаграма не включва опити за вход чрез Social метод или чрез Tile URL.
Поток за вход в API Platform
Забележка: Тази диаграма не включва опити за вход чрез Social метод или чрез Tile URL.
Следващи стъпки
След като вече имате представа за идеалната си имплементация, можете да следвате съответната документация, за да активирате SCIM или SSO: