OpenAI
Denne side er maskinoversat. Se den originale engelske artikel.

Forstå din ideelle opsætning til brugeradministration

Dette dokument skal hjælpe administratorer med at implementere SSO og eventuelt SCIM på den måde, der passer bedst til deres anvendelse.

Opdateret: 9 days ago

Gennemgå siden »SSO-oversigt« for at blive fortrolig med de centrale begreber, der gennemgås i dette dokument.

Før du verificerer dine domæner, er det vigtigt at overveje nogle forskellige spørgsmål:

  • Hvordan vil du klargøre invitationer til nye brugere?

  • Hvordan vil du håndtere eksisterende forbrugerbrugere (personlige/Plus/Pro)?

  • Hvordan skal dit brugerloginflow se ud?

Vi ser nærmere på hvert af disse spørgsmål for at sikre, at du vælger den mulighed, der passer bedst til dine behov.

Invitation af nye brugere

Vi tilbyder i øjeblikket fire forskellige metoder til at klargøre invitationer til brugere:

  1. System for Cross-domain Identity Management (SCIM)

  2. Direkte invitationer fra ChatGPT eller API Platform

  3. Kun ChatGPT: Automatisk kontooprettelse (AAC)

  4. Kun Platform: API Platform Admin Invites Endpoint

Det er værd at bemærke, at vi skelner mellem tilfælde, hvor invitationsmails aktivt sendes, og tilfælde, hvor en invitation lydløst knyttes til en brugers mailadresse i vores backend.

Invitationsmails sendes aktivt, når:

  • En ny bruger inviteres for første gang via SCIM.

  • En bruger inviteres direkte fra ChatGPT eller API Platform.

Invitationer knyttes lydløst, når:

  • En SCIM-bruger blev fjernet fra din IdP-gruppe og derefter tilføjet igen.

  • Automatisk kontooprettelse gælder.

I sidstnævnte tilfælde vil brugerne ikke se invitationerne i deres indbakke, men de vil stadig blive sendt korrekt videre til det tilsvarende arbejdsområde/den tilsvarende organisation, når de forsøger at logge ind.

SCIM

SCIM er tilgængelig i både ChatGPT og API Platform. SCIM giver identitetsudbydere (f.eks. Okta, Entra ID osv.) mulighed for at udveksle brugeridentitetsdata med OpenAI og automatisere klargøring af invitationer (og fjernelse af brugeradgang) baseret på organisatoriske ændringer.

Selvom SCIM også konfigureres via din IdP, kan det opsættes uafhængigt af SSO. Derfor er domæneverificering/SSO ikke krav for SCIM.

Hvis du beslutter at bruge både SCIM og SSO, er den vigtige forskel:

  • SCIM klargør kun invitationer

  • SSO håndterer godkendelse og brugeroprettelse

Vi betragter SCIM som den mest robuste og skalerbare løsning til samlet brugeradministration. Afhængigt af din ideelle implementering anbefaler vi generelt følgende arkitektur som bedste praksis, hvis du implementerer på tværs af både ChatGPT og API Platform:

IdP setup diagram comparing one shared SAML app versus separate SCIM apps for ChatGPT and API Platform users

Med denne opsætning kan du nemt administrere både invitationer og adgang (til ChatGPT og API Platform) separat. Denne opsætning har den ekstra fordel, at alle nødvendige ændringer kan foretages centralt af dine administrationsteams direkte i din IdP.

Hvis du implementerer SCIM på tværs af flere applikationer (dvs. ChatGPT vs. API Platform vs. andre konti), bør dine SCIM-applikationer være unikke. Selv hvis din målgruppe af brugere er den samme, anbefales det kraftigt, at hver SCIM-implementering refererer til en unik applikation i din IdP.

Hvis du ikke opfylder dette krav, kan det føre til inkonsistensproblemer, som i sidste ende resulterer i ugyldige medlemskaber.

Direkte invitationer fra ChatGPT eller API Platform

Administratorer kan invitere brugere direkte via mail fra de respektive ChatGPT- og Platform-sider »Medlemmer«. I ChatGPT understøtter denne metode også masseinvitationer via en uploadet CSV-fil:

Workspace invite modal with CSV upload, email entry, and Resend emails for existing invites selected

Selvom det typisk ikke skalerer godt, anbefaler vi ofte direkte invitationer, når du kommer i gang i et nyt arbejdsområde eller en ny organisation. I modsætning til SCIM er der ingen potentiel forsinkelse, før invitationerne når frem til brugernes indbakker, så det er den mest effektive mulighed for hurtig adgang, ændring af tilladelser og generel test.

Derudover kan du altid aktivere SCIM senere og placere dine eksisterende brugere under SCIM-applikationen. Derfor er der ingen grund til bekymring for, at direkte inviterede brugere bliver udelukket fra fremtidig automatisering, medmindre det ønskes.

Automatisk kontooprettelse (AAC)

I modsætning til de andre muligheder er AAC kun tilgængelig på identitetssiden i ChatGPT og kræver, at SSO først er blevet aktiveret:

Automatic account creation setting for verified-domain users turned off

Som vist ovenfor sikrer AAC, at brugere, der tilmelder sig eller logger ind med et verificeret maildomæne, automatisk føjes til dit Enterprise-arbejdsområde. Brugerne modtager ikke en invitationsmail, og processen er fuldt automatiseret. Det har sine fordele og ulemper.

Hvis din politik er at give åben adgang til enhver bruger med dit verificerede domæne, er AAC en god mulighed, der undgår det ekstra arbejde med at konfigurere og administrere en SCIM-applikation.

AAC er dog ikke ideelt, hvis du kræver en mere låst og godkendelsesbaseret tilgang til brugeradgang.

⚠️ ADVARSEL ⚠️

Det er vigtigt at være opmærksom på, at aktivering af AAC i praksis vil tvinge alle forbrugerbrugere (personlige/Plus/Pro) under dit domæne til at blive flettet ind i dit Enterprise-arbejdsområde. Du kan læse mere om dette nedenfor i afsnittet »Håndtering af eksisterende brugere«.

Bemærk, at selv hvis brugerne ikke er medlemmer af din IdP-adgangsgruppe og ikke kan få adgang til arbejdsområdet, når SSO håndhæves, optager de stadig en plads på din Enterprise-konto i dette scenarie.

Derfor anbefaler vi generelt SCIM eller direkte invitationer i de fleste tilfælde frem for AAC. Og for at undgå mulige kilder til forvirring anbefaler vi at lade AAC være slået fra, hvis du planlægger at bruge SCIM.

API Platform Admin Invites Endpoint

Vores API Platform understøtter et Invites Endpoint, som giver dig mulighed for programmatisk at invitere brugere til din API-organisation.

Sammenlignet med SCIM er den største fordel ved endpoint, at det giver dig mulighed for at angive, hvilke projekter den inviterede bruger skal tilhøre:

Image

Det giver et ekstra lag af detaljering og kontrol uden det manuelle arbejde med individuelle direkte invitationer.

Håndtering af eksisterende forbrugerbrugere

Vi definerer forbrugerbrugere som brugere med et personligt abonnement eller et Plus- eller Pro-abonnement. Der vil ofte være eksisterende forbrugerbrugere med dit verificerede domæne, som har haft konti før din Enterprise-kontrakt. Da verificering af dit domæne og aktivering af SSO kan få afledte konsekvenser for disse forbrugerbrugere, er det vigtigt at fastlægge det ønskede resultat på forhånd.

Indvirkning på ChatGPT-forbrugerbrugere

På ChatGPT-siden afhænger indvirkningen på forbrugere hovedsageligt af to faktorer:

  1. Bliver de inviteret til Enterprise-arbejdsområdet?

  2. Vil du håndhæve SSO?

Den resulterende adfærd kan ses nedenfor:

Afventende invitation?SSO håndhævet?Resultat
JaJaForbrugerbrugerkonti bliver tvunget til at flette med Enterprise og kan kun logge ind med SSO.
JaNejForbrugerbrugerkonti bliver tvunget til at flette med Enterprise, og brugerne kan godkende sig med SSO eller socialt login.
NejJaIngen indvirkning: Forbrugerbrugere bevarer adgangen til deres personlige arbejdsområder via adgangskode eller social godkendelse.
NejNejIngen indvirkning: Forbrugerbrugere bevarer adgangen til deres personlige arbejdsområder via adgangskode eller social godkendelse.

Hvis dit mål i sidste ende er at forhindre forbrugerkonti, bedes du kontakte din Account Director for at drøfte mulige muligheder.

Kontofletning

Forudsætningerne for at udløse en automatisk fletning af forbrugerkontoen ind i en Enterprise-konto er som følger:

  1. Brugerens domæne er verificeret.

  2. Brugeren har modtaget en invitation til det Enterprise-arbejdsområde, hvor vedkommendes domæne er verificeret.

    • Bemærk: Hvis du har aktiveret AAC, vil denne betingelse altid være opfyldt for alle brugere med dit verificerede domæne.

Når disse betingelser er opfyldt, bør brugeren se følgende dialogboks, næste gang vedkommende logger ind på eller opdaterer ChatGPT:

ChatGPT Enterprise invite flow with options to transfer chat history and GPTs or export and delete the old workspace

Som billedet fremhæver, refunderer vi automatisk eventuelle eksisterende Plus- eller Pro-abonnementer før fletningen. Brugere får mulighed for at overføre deres eksisterende chathistorik og GPT'er eller eksportere deres chathistorik via e-mail og starte i deres Enterprise-arbejdsområde med en »ren tavle«.

  • Bemærk: Hvis der er aktiveret dataresidens for Enterprise- eller Edu-målarbejdsområdet, kan data fra det personlige arbejdsområde ikke overføres. Brugere kan kun eksportere deres chats og slette det personlige arbejdsområde. Se E-mailinvitationer og kontomigreringer for flere oplysninger.

Når forbrugerkontoen er blevet flettet, kan den ikke gendannes. Hvis dine brugere valgte indstillingen »Overfør eksisterende chathistorik og GPT'er«, men ikke kunne se dette afspejlet i deres Enterprise-arbejdsområde, bedes du kontakte support.

Indvirkning på forbrugerbrugere på API Platform

Fordi SSO på Platform stadig er domænebaseret (i modsætning til ChatGPT, hvor SSO er specifik for det arbejdsområde, hvor det er aktiveret), påvirkes dine forbrugerbrugere, så snart du verificerer dit domæne og aktiverer SSO i en hvilken som helst organisation.

Forbrugerbrugerne mister muligheden for at godkende sig med adgangskoder, da vi identificerer domænematchet og videresender dem til din IdP. Hvis de er medlemmer af din IdP, kan de godkende sig uden problemer. Alternativt kan de logge ind med en social OAuth-mulighed, hvis den er tilgængelig for dem. Hvis ikke, har du i praksis låst dem ude af deres forbrugerkonti.

Se afsnittet Loginflow for brugere for en mere dybdegående guide til dette workflow.

Anbefalede mønstre for identitet og klargøring

Nu hvor vi har gennemgået den grundlæggende adfærd knyttet til vores identitetsgodkendelse og klargøring af invitationer, kan det være nyttigt at se på nogle af de mere almindelige implementeringsmønstre, der er tilgængelige for Enterprise-brugere:

Comparison table of four Enterprise user management setups by provisioning, authentication, and user experience

Loginflow for brugere

Vi har allerede gennemgået betydningen af afventende invitationer og håndhævelse af SSO, så dette afsnit skal hjælpe med at visualisere det forventede flow og de kontroller, vi udfører, når en bruger indtaster sin mailadresse for at logge ind.

Loginflow for ChatGPT

Bemærk: Dette diagram udelukker loginforsøg via en social metode eller via Tile-URL'en.

Flowchart of ChatGPT login paths for personal accounts, password sign-in, workspace picker, and SSO redirection

Loginflow for API Platform

Bemærk: Dette diagram udelukker loginforsøg via en social metode eller via Tile-URL'en.

Flowchart for platform login and SSO outcomes based on verified domain and IdP access group membership

Næste trin

Nu hvor du har en idé om din ideelle implementering, kan du følge den relevante dokumentation for at aktivere SCIM eller SSO:

Var denne artikel nyttig?