Projděte si prosím naši stránku „Přehled SSO“, abyste se seznámili s klíčovými koncepty probíranými v tomto dokumentu.
Před ověřením domén je důležité zvážit několik otázek:
Jak chcete zajišťovat pozvánky pro nové uživatele?
Jak chcete zacházet se stávajícími uživateli spotřebitelských účtů (osobních/Plus/Pro)?
Jak má vypadat průběh přihlášení uživatele?
Na každou z těchto otázek se podíváme podrobněji, abychom vám pomohli vybrat možnost, která nejlépe vyhovuje vašim potřebám.
Zvaní nových uživatelů
V současnosti nabízíme čtyři různé metody zřizování pozvánek pro uživatele:
Stojí za zmínku, že rozlišujeme případy, kdy se e-maily s pozvánkami aktivně odesílají, a případy, kdy je pozvánka tiše přiřazena k e-mailu uživatele v našem backendu.
E-maily s pozvánkami se aktivně odesílají, když:
Nový uživatel je poprvé pozván prostřednictvím SCIM.
Uživatel je pozván přímo z ChatGPT nebo API Platform.
Pozvánky se tiše přiřazují, když:
Uživatel SCIM byl odebrán z vaší skupiny IdP a poté znovu přidán.
Uplatní se automatické vytvoření účtu.
V druhém případě uživatelé pozvánky ve své schránce neuvidí, ale při pokusu o přihlášení budou přesto správně přesměrováni do odpovídajícího pracovního prostoru nebo organizace.
SCIM
SCIM je k dispozici v ChatGPT i na API Platform. SCIM umožňuje poskytovatelům identity (např. Okta, Entra ID atd.) vyměňovat s OpenAI údaje o identitě uživatelů a automatizovat zřizování pozvánek (i rušení zřízení uživatelských účtů) na základě organizačních změn.
Ačkoli se SCIM konfiguruje také prostřednictvím vašeho IdP, lze ho nastavit nezávisle na SSO. Ověření domény ani SSO proto nejsou požadavky pro SCIM.
Pokud se rozhodnete používat SCIM i SSO, je důležité rozlišovat toto:
SCIM pouze zřizuje pozvánky
SSO zajišťuje ověřování a vytváření uživatelů
SCIM považujeme za nejrobustnější a nejškálovatelnější řešení pro celkovou správu uživatelů. Podle vaší ideální implementace obecně doporučujeme jako osvědčený postup následující architekturu, pokud nasazujete ChatGPT i API Platform:
S tímto nastavením můžete snadno samostatně spravovat pozvánky i přístup (k ChatGPT a API Platform). Další výhodou tohoto nastavení je, že vaše administrátorské týmy mohou všechny potřebné změny provádět centrálně přímo ve vašem IdP.
Pokud implementujete SCIM napříč více aplikacemi (např. ChatGPT vs. API Platform vs. jiné účty), měly by být vaše aplikace SCIM jedinečné. I když je cílová skupina uživatelů totožná, důrazně doporučujeme, aby každá implementace SCIM odkazovala na jedinečnou aplikaci ve vašem IdP.
Pokud tento požadavek nesplníte, může to vést k nekonzistencím, které nakonec způsobí neplatná členství.
Přímé pozvánky z ChatGPT nebo API Platform
Správci mohou uživatele zvát přímo e-mailem z příslušných stránek ChatGPT a Platform „Členové“. V ChatGPT tato metoda podporuje také hromadné pozvánky prostřednictvím nahraného souboru CSV:
I když tento způsob obvykle není škálovatelný, při začátcích v novém pracovním prostoru nebo organizaci často doporučujeme používat přímé pozvánky. Na rozdíl od SCIM nehrozí možné zpoždění při doručení pozvánek do schránek uživatelů, takže jde o nejúčinnější možnost pro rychlé poskytnutí přístupu, úpravy oprávnění a obecné testování.
SCIM navíc můžete kdykoli později povolit a zařadit stávající uživatele pod aplikaci SCIM. Nemusíte se tedy obávat, že by přímo pozvaní uživatelé byli z budoucí automatizace vyloučeni, pokud si to sami nepřejete.
Automatické vytvoření účtu (AAC)
Na rozdíl od ostatních možností je AAC k dispozici pouze na stránce Identita v ChatGPT a vyžaduje, aby bylo nejprve povoleno SSO:
Jak je uvedeno výše, AAC zaručuje, že uživatelé, kteří se zaregistrují nebo přihlásí pomocí ověřené e-mailové domény, budou automaticky přidáni do vašeho podnikového pracovního prostoru. Uživatelé nedostanou e-mail s pozvánkou a celý proces je plně automatizovaný. To má své výhody i nevýhody.
Pokud je vaší zásadou umožnit otevřený přístup každému uživateli s vaší ověřenou doménou, AAC je skvělá možnost, která se vyhne dodatečné režii spojené s konfigurací a správou aplikace SCIM.
AAC však není ideální, pokud požadujete uzavřenější přístup k uživatelskému přístupu založený na schvalování.
⚠️ VAROVÁNÍ ⚠️
Je důležité mít na paměti, že povolení AAC fakticky vynutí sloučení všech uživatelů spotřebitelských účtů (osobních/Plus/Pro) pod vaší doménou do vašeho podnikového pracovního prostoru. Více informací najdete níže v části „Zacházení se stávajícími uživateli“.
Upozorňujeme, že i když uživatelé nejsou členy přístupové skupiny ve vašem IdP a při vynuceném SSO nemohou úspěšně získat přístup k pracovnímu prostoru, v tomto scénáři stále zabírají místo ve vašem podnikovém účtu.
Z tohoto důvodu ve většině případů obecně doporučujeme spíše SCIM nebo přímé pozvánky než AAC. A pokud plánujete používat SCIM, doporučujeme ponechat AAC vypnuté, abyste předešli možným nejasnostem.
Admin Invites Endpoint pro API Platform
Naše API Platform podporuje Invites Endpoint, který vám umožňuje programově zvát uživatele do vaší organizace API.
Ve srovnání se SCIM je hlavní výhoda endpoint v tom, že umožňuje určit projekty, do kterých má pozvaný uživatel patřit:
Tím získáte další úroveň granularity a kontroly bez nutnosti ručně posílat jednotlivé přímé pozvánky.
Zacházení se stávajícími uživateli spotřebitelských účtů
Uživatele spotřebitelských účtů definujeme jako uživatele s osobním předplatným, předplatným Plus nebo Pro. Často se stává, že pod vaší ověřenou doménou existují uživatelé spotřebitelských účtů, kteří měli účty ještě před vaší podnikovou smlouvou. Protože ověření domény a povolení SSO může mít na tyto uživatele spotřebitelských účtů navazující dopad, je důležité předem určit požadovaný výsledek.
Dopad na uživatele spotřebitelských účtů ChatGPT
Na straně ChatGPT je dopad na uživatele spotřebitelských účtů z velké části určen dvěma faktory:
Budou pozváni do podnikového pracovního prostoru?
Budete vynucovat SSO?
Výsledné chování je uvedeno níže:
| Čekající pozvánka? | Vynucené SSO? | Výsledek |
|---|---|---|
| Ano | Ano | Účty uživatelů spotřebitelských účtů budou nuceně sloučeny do Enterprise a uživatelé se mohou přihlásit pouze pomocí SSO. |
| Ano | Ne | Účty uživatelů spotřebitelských účtů budou nuceně sloučeny do Enterprise a uživatelé se mohou ověřit pomocí SSO nebo sociálního přihlášení. |
| Ne | Ano | Bez dopadu: Uživatelé spotřebitelských účtů si zachovají přístup ke svým osobním pracovním prostorům pomocí hesla nebo sociálního ověření. |
| Ne | Ne | Bez dopadu: Uživatelé spotřebitelských účtů si zachovají přístup ke svým osobním pracovním prostorům pomocí hesla nebo sociálního ověření. |
Pokud je vaším cílem nakonec zabránit existenci jakýchkoli spotřebitelských účtů, obraťte se prosím na svého Account Directora a proberte možné možnosti.
Sloučení účtů
Předpoklady pro spuštění automatického sloučení spotřebitelského účtu do účtu Enterprise jsou následující:
Doména uživatele je ověřená.
Uživatel obdržel pozvánku do podnikového pracovního prostoru, ve kterém je jeho doména ověřena.
Poznámka: Pokud jste povolili AAC, bude tato podmínka vždy splněna pro každého uživatele s vaší ověřenou doménou.
Když jsou tyto podmínky splněny, měl by uživatel při příštím přihlášení do ChatGPT nebo jeho obnovení vidět následující modální okno:
Jak ukazuje obrázek, před sloučením automaticky vrátíme peníze za všechna stávající předplatná Plus nebo Pro. Uživatelé budou mít možnost přenést svou stávající historii chatů a GPT, nebo si historii chatů exportovat e-mailem a začít svůj podnikový pracovní prostor „s čistým štítem“.
Jakmile bude spotřebitelský účet sloučen, nebude možné ho obnovit. Pokud vaši uživatelé zvolili možnost „Přenést stávající historii chatů a GPT“, ale ve svém podnikovém pracovním prostoru to nevidí, obraťte se prosím na podporu.
Dopad na uživatele spotřebitelských účtů na API Platform
Protože SSO na Platformě je stále založené na doméně (na rozdíl od ChatGPT, kde je SSO specifické pro pracovní prostor, v němž bylo povoleno), budou vaši uživatelé spotřebitelských účtů ovlivněni hned po ověření domény a povolení SSO v jakékoli organizaci.
Uživatelé spotřebitelských účtů přijdou o možnost ověřovat se heslem, protože rozpoznáme shodu domény a přesměrujeme je k vašemu IdP. Pokud jsou členy vašeho IdP, mohou se úspěšně ověřit. Případně se mohou přihlásit pomocí sociální možnosti OAuth, pokud ji mají k dispozici. Pokud ne, fakticky jste jim zablokovali přístup k jejich spotřebitelským účtům.
Podrobnější průvodce tímto postupem najdete v části Průběh přihlášení uživatele.
Doporučené vzorce pro identitu a zřizování
Nyní, když jsme popsali základní chování související s ověřováním identity a zřizováním pozvánek, může být užitečné projít si některé z běžnějších vzorců implementace dostupných uživatelům Enterprise:
Průběh přihlášení uživatele
Už jsme probrali dopad čekajících pozvánek a vynucení SSO, takže tato část má pomoci znázornit očekávaný průběh a kontroly, které provádíme, když uživatel zadá svou e-mailovou adresu pro přihlášení.
Průběh přihlášení k ChatGPT
Poznámka: Tento diagram nezahrnuje pokusy o přihlášení prostřednictvím sociální metody ani prostřednictvím URL dlaždice.
Průběh přihlášení k API Platform
Poznámka: Tento diagram nezahrnuje pokusy o přihlášení prostřednictvím sociální metody ani prostřednictvím URL dlaždice.
Další kroky
Teď, když máte představu o své ideální implementaci, můžete podle příslušné dokumentace povolit SCIM nebo SSO: