Tento dokument má správcům pomoci nasadit SSO a případně i SCIM tak, aby co nejlépe vyhovovaly jejich případu použití.

Projděte si prosím naši stránku „Přehled SSO“, abyste se seznámili s klíčovými pojmy probíranými v tomto dokumentu.

Před ověřením svých domén je důležité zvážit několik různých otázek:

Jak chcete zajišťovat pozvánky pro nové uživatele?
Jak chcete řešit stávající spotřebitelské uživatele (osobní/Plus/Pro)?
Jak má podle vás vypadat přihlašovací tok uživatelů?

Na každou z těchto otázek se podíváme podrobněji, abychom vám pomohli vybrat možnost, která nejlépe odpovídá vašim potřebám.

Pozvání nových uživatelů

V současnosti nabízíme čtyři různé metody, jak uživatelům zřizovat pozvánky:

System for Cross-domain Identity Management (SCIM)
Přímé pozvánky z aplikace
[Pouze ChatGPT] Automatické vytvoření účtu (AAC)
[Pouze Platforma] API koncový bod

Je dobré poznamenat, že rozlišujeme mezi případy, kdy se e-maily s pozvánkou aktivně odesílají:

Nový uživatel je poprvé pozván prostřednictvím SCIM
NEBO prostřednictvím přímých pozvánek z aplikace

A případy, kdy je pozvánka tiše přiřazena k e-mailu uživatele v našem backendu:

Uživatel SCIM byl odebrán ze skupiny ve vašem IdP a poté znovu přidán
Automatické vytvoření účtu

V druhém případě uživatelé pozvánky ve své doručené poště neuvidí, ale při pokusu o přihlášení budou stále správně přesměrováni do příslušného pracovního prostoru/organizace.

SCIM

SCIM je k dispozici jak v ChatGPT, tak v API Platform. SCIM umožňuje poskytovatelům identity (např. Okta, Entra ID atd.) vyměňovat si s OpenAI data o identitě uživatelů a automatizovat zřizování pozvánek (a rušení uživatelských účtů) na základě organizačních změn.

Ačkoli se SCIM také konfiguruje prostřednictvím vašeho IdP, lze jej nastavit nezávisle na SSO. Ověření domény / SSO proto nejsou pro SCIM požadavkem.

Pokud se rozhodnete používat SCIM i SSO, je důležité rozlišovat toto:

SCIM zřizuje pouze pozvánky
SSO zajišťuje ověřování a vytváření uživatelů

SCIM považujeme za nejrobustnější a nejškálovatelnější řešení pro celkovou správu uživatelů. V závislosti na vaší ideální implementaci obecně doporučujeme následující architekturu jako osvědčený postup, pokud nasazujete ChatGPT i API Platform:

IdP setup diagram comparing one shared SAML app versus separate SCIM apps for ChatGPT and API Platform users

S tímto nastavením můžete snadno spravovat jak pozvánky, tak i přístup (do ChatGPT a API Platform) odděleně. Další výhodou je, že všechny potřebné změny mohou vaše týmy správy provádět centrálně přímo ve vašem IdP.

Pokud zavádíte SCIM ve více aplikacích (např. ChatGPT vs. API Platform vs. jiné účty), vaše aplikace SCIM by měly být jedinečné. I když je cílová uživatelská základna stejná, důrazně doporučujeme, aby každá implementace SCIM odkazovala ve vašem IdP na jedinečnou aplikaci.

Pokud tento požadavek nesplníte, může to vést k problémům s nekonzistencí, které nakonec způsobí neplatná členství.

Přímé pozvánky z ChatGPT nebo API Platform

Správci mohou uživatele přímo zvát e-mailem z příslušných stránek ChatGPT a Platform „Členové“. V ChatGPT tato metoda podporuje také hromadné pozvánky pomocí nahraného CSV:

Workspace invite modal with CSV upload, email entry, and Resend emails for existing invites selected

Ačkoli to obvykle není škálovatelné, při začátcích v novém pracovním prostoru/organizaci často doporučujeme používat přímé pozvánky. Na rozdíl od SCIM zde nedochází k možnému zpoždění doručení pozvánek do doručené pošty uživatelů, takže jde o nejefektivnější možnost pro rychlé poskytnutí přístupu, úpravu oprávnění a obecné testování.

Navíc můžete SCIM kdykoli zapnout později a zařadit své stávající uživatele pod aplikaci SCIM. Nemusíte se tedy obávat, že by přímo pozvaní uživatelé byli vyloučeni z budoucí automatizace, pokud si to nebudete přát.

Automatické vytvoření účtu (AAC)

Na rozdíl od ostatních možností je AAC dostupné pouze na stránce Identity v ChatGPT a vyžaduje, aby bylo nejprve povoleno SSO:

Automatic account creation setting for verified-domain users turned off

Jak je uvedeno výše, AAC zaručuje, že uživatelé, kteří se registrují nebo přihlásí s ověřenou e-mailovou doménou, budou automaticky přidáni do vašeho pracovního prostoru Enterprise. Uživatelé neobdrží e-mail s pozvánkou a celý proces je plně automatizovaný. To má své výhody i nevýhody.

Pokud vaše zásady umožňují otevřený přístup všem uživatelům s vaší ověřenou doménou, AAC je skvělá možnost, která eliminuje dodatečnou režii spojenou s konfigurací a správou aplikace SCIM.

AAC však není ideální, pokud vyžadujete přísnější přístup k uživatelskému přístupu založený na schvalování.

⚠️ VAROVÁNÍ ⚠️

Je důležité mít na paměti, že povolení AAC fakticky vynutí sloučení všech spotřebitelských uživatelů (osobní/Plus/Pro) pod vaší doménou do vašeho pracovního prostoru Enterprise. Více o tom najdete níže v části „Práce se stávajícími uživateli“.

Všimněte si, že i když uživatelé nejsou členy vaší přístupové skupiny v IdP a nemohou při vynuceném SSO úspěšně získat přístup do pracovního prostoru, v tomto scénáři stále zabírají místo ve vašem účtu Enterprise.

Z tohoto důvodu ve většině případů obecně doporučujeme spíše SCIM nebo přímé pozvánky než AAC. A abyste předešli možným nejasnostem, doporučujeme nechat AAC vypnuté, pokud plánujete používat SCIM.

Koncový bod pro pozvánky správcem v API Platform

Naše API Platform podporuje koncový bod Invites, který vám umožňuje programově zvát uživatele do vaší API organizace.

Ve srovnání se SCIM je hlavní výhodou koncového bodu to, že vám umožňuje určit, do kterých projektů má pozvaný uživatel patřit:

To poskytuje další úroveň podrobnosti a kontroly, aniž by byla nutná ruční práce s jednotlivými přímými pozvánkami.

Práce se stávajícími spotřebitelskými uživateli

Spotřebitelskými uživateli rozumíme uživatele s osobním tarifem nebo předplatným Plus či Pro. Často se stává, že s vaší ověřenou doménou již existují spotřebitelské uživatelské účty ještě před uzavřením vaší smlouvy Enterprise. Protože ověření domény a zapnutí SSO může mít na tyto spotřebitelské uživatele následný dopad, je důležité si předem určit požadovaný výsledek.

Dopad na spotřebitelské uživatele ChatGPT

Na straně ChatGPT je dopad na spotřebitele do značné míry určen dvěma faktory:

Budou pozváni do pracovního prostoru Enterprise?
1. Pokud je AAC povoleno, výchozí odpověď je „Ano“
Budete vynucovat SSO?

Výsledné chování je uvedeno níže:

Čekající pozvánka?	SSO vynuceno?	Výsledek
✅	✅	Spotřebitelské uživatelské účty budou nuceně sloučeny do Enterprise a přihlášení bude možné pouze přes SSO
✅	❌	Spotřebitelské uživatelské účty budou nuceně sloučeny do Enterprise, uživatelé se mohou ověřit přes SSO nebo Social
❌	✅	Bez dopadu: spotřebitelští uživatelé si zachovají přístup ke svým osobním pracovním prostorům přes heslo nebo Social auth
❌	❌	Bez dopadu: spotřebitelští uživatelé si zachovají přístup ke svým osobním pracovním prostorům přes heslo nebo Social auth

Pokud je vaším cílem nakonec zabránit jakýmkoli spotřebitelským účtům, obraťte se na svého Account Directora a prodiskutujte možné možnosti.

Sloučení účtů

Předpoklady pro spuštění automatického sloučení spotřebitelského účtu do účtu Enterprise jsou následující:

Doména uživatele je ověřena
Uživatel obdržel pozvánku do pracovního prostoru Enterprise, kde je jeho doména ověřena
1. ⚠️ Připomeňme, že pokud jste povolili AAC, bude tato podmínka vždy splněna pro každého uživatele s vaší ověřenou doménou.

Jakmile jsou tyto podmínky splněny, při příštím přihlášení do ChatGPT nebo jeho obnovení by měl uživatel vidět následující modální okno:

ChatGPT Enterprise invite flow with options to transfer chat history and GPTs or export and delete the old workspace

Jak obrázek zdůrazňuje, před sloučením automaticky vrátíme peníze za jakékoli stávající předplatné Plus nebo Pro. Uživatelé budou mít možnost přenést svou stávající historii chatů a GPT, nebo si nechat historii chatů exportovat e-mailem a začít ve svém pracovním prostoru Enterprise „s čistým štítem“.

Jakmile je spotřebitelský účet sloučen, není možné ho obnovit. Pokud si vaši uživatelé vybrali možnost „Přenést stávající historii chatů a GPT“ a přesto to ve svém pracovním prostoru Enterprise neviděli, obraťte se prosím na podporu.

Dopad na spotřebitelské uživatele API Platform

Protože je SSO na Platformě stále založené na doméně (na rozdíl od ChatGPT, kde je SSO specifické pro pracovní prostor, kde bylo povoleno), vaši spotřebitelští uživatelé budou ovlivněni, jakmile ověříte svou doménu a povolíte SSO v jakékoli organizaci.

Spotřebitelští uživatelé ztratí možnost ověřovat se heslem, protože rozpoznáme shodu domény a přesměrujeme je na váš IdP. Pokud jsou členy vašeho IdP, mohou se úspěšně ověřit. Případně se mohou přihlásit pomocí možnosti Social Oauth, pokud ji mají k dispozici. Pokud ne, fakticky jste jim zablokovali přístup k jejich spotřebitelským účtům.

Podrobnější průvodce tímto pracovním postupem najdete v tocích v části Přihlášení uživatele.

Doporučené vzory identity a provisioningu

Nyní, když jsme popsali základní chování spojené s naším ověřováním identity a zřizováním pozvánek, může být užitečné podívat se na některé z běžnějších implementačních vzorů, které mají uživatelé Enterprise k dispozici:

Comparison table of four Enterprise user management setups by provisioning, authentication, and user experience

Tok přihlášení uživatele

Již jsme probrali dopad čekajících pozvánek a vynucování SSO, takže tato část má pomoci vizualizovat očekávaný tok/kontroly, které provádíme, když uživatel zadá svou e-mailovou adresu pro přihlášení.

Tok přihlášení do ChatGPT

Poznámka: Tento diagram nezahrnuje pokusy o přihlášení pomocí metody Social ani přes Tile URL.

Flowchart of ChatGPT login paths for personal accounts, password sign-in, workspace picker, and SSO redirection

Tok přihlášení do API Platform