OpenAI
Αυτή η σελίδα μεταφράστηκε αυτόματα. Δείτε το πρωτότυπο άρθρο στα αγγλικά.

Κατανόηση της ιδανικής ρύθμισης διαχείρισης χρηστών

Αυτό το έγγραφο προορίζεται να βοηθήσει τους διαχειριστές να αναπτύξουν SSO και, ενδεχομένως, SCIM, με τον καταλληλότερο τρόπο για τη χρήση τους.

Τελευταία ενημέρωση: yesterday

Παρακαλούμε δείτε τη σελίδα μας «Επισκόπηση SSO» για να εξοικειωθείτε με τις βασικές έννοιες που συζητούνται σε αυτό το έγγραφο.

Πριν επαληθεύσετε τους τομείς σας, είναι σημαντικό να εξετάσετε μερικά διαφορετικά ερωτήματα:

  • Πώς θα θέλατε να παρέχετε προσκλήσεις σε νέους χρήστες;

  • Πώς θα θέλατε να χειρίζεστε τους υπάρχοντες χρήστες καταναλωτών (προσωπικούς/Plus/Pro);

  • Πώς θέλετε να είναι η ροή σύνδεσης των χρηστών σας;

Θα εξετάσουμε καθεμία από αυτές τις ερωτήσεις με περισσότερη λεπτομέρεια, ώστε να σας βοηθήσουμε να επιλέξετε την επιλογή που ταιριάζει καλύτερα στις ανάγκες σας.

Πρόσκληση νέων χρηστών

Αυτή τη στιγμή προσφέρουμε τέσσερις διαφορετικές μεθόδους για την παροχή προσκλήσεων σε χρήστες:

  1. System for Cross-domain Identity Management (SCIM)

  2. Άμεσες προσκλήσεις από την εφαρμογή

  3. [Μόνο ChatGPT] Automatic Account Creation (AAC)

  4. [Μόνο Platform] τελικό σημείο API

Αξίζει να σημειωθεί ότι διαφοροποιούμε τις περιπτώσεις στις οποίες αποστέλλονται ενεργά email πρόσκλησης:

  • Ένας νέος χρήστης προσκαλείται για πρώτη φορά μέσω SCIM

  • Ή μέσω άμεσων προσκλήσεων από την εφαρμογή

Και τις περιπτώσεις όπου μια πρόσκληση συσχετίζεται αθόρυβα με το email ενός χρήστη στο backend μας:

  • Ένας χρήστης SCIM αφαιρέθηκε από την ομάδα IdP σας και στη συνέχεια προστέθηκε ξανά

  • Automatic Account Creation

Στη δεύτερη περίπτωση, οι χρήστες δεν θα δουν τις προσκλήσεις στα εισερχόμενά τους, αλλά θα εξακολουθούν να κατευθύνονται σωστά στον αντίστοιχο χώρο εργασίας/οργανισμό όταν επιχειρούν να συνδεθούν.

SCIM

Το SCIM είναι διαθέσιμο τόσο στο ChatGPT όσο και στο API Platform. Το SCIM επιτρέπει στους παρόχους ταυτότητας (π.χ. Okta, Entra ID κ.λπ.) να ανταλλάσσουν δεδομένα ταυτότητας χρηστών με την OpenAI, αυτοματοποιώντας την παροχή προσκλήσεων (και την αποπαροχή λογαριασμών χρηστών) με βάση οργανωτικές αλλαγές.

Παρόλο που το SCIM ρυθμίζεται επίσης μέσω του IdP σας, μπορεί να ρυθμιστεί ανεξάρτητα από το SSO. Επομένως, η επαλήθευση τομέα/το SSO δεν αποτελούν προϋποθέσεις για το SCIM.

Αν αποφασίσετε να χρησιμοποιήσετε και SCIM και SSO, η σημαντική διάκριση είναι η εξής:

  • Το SCIM παρέχει μόνο προσκλήσεις

  • Το SSO διαχειρίζεται την αυθεντικοποίηση και τη δημιουργία χρηστών

Θεωρούμε το SCIM την πιο ισχυρή και επεκτάσιμη λύση για τη συνολική διαχείριση χρηστών. Ανάλογα με την ιδανική υλοποίησή σας, συνήθως προτείνουμε την ακόλουθη αρχιτεκτονική ως βέλτιστη πρακτική, εάν αναπτύσσετε τόσο στο ChatGPT όσο και στο API Platform:

IdP setup diagram comparing one shared SAML app versus separate SCIM apps for ChatGPT and API Platform users

Με αυτή τη ρύθμιση, μπορείτε εύκολα να διαχειρίζεστε ξεχωριστά τόσο τις προσκλήσεις όσο και την πρόσβαση (στο ChatGPT και στο API Platform). Αυτό το σχήμα έχει το πρόσθετο πλεονέκτημα ότι τυχόν απαραίτητες αλλαγές μπορούν να πραγματοποιούνται κεντρικά από τις ομάδες διαχείρισής σας απευθείας στον IdP σας.

Αν εφαρμόζετε το SCIM σε πολλές εφαρμογές (δηλ. ChatGPT έναντι API Platform έναντι άλλων λογαριασμών), οι εφαρμογές SCIM σας θα πρέπει να είναι μοναδικές. Ακόμα κι αν η βάση χρηστών-στόχος είναι ίδια, συνιστάται ανεπιφύλακτα κάθε υλοποίηση SCIM να παραπέμπει σε μια μοναδική εφαρμογή στον IdP σας.

Αν δεν πληρούται αυτή η απαίτηση, μπορεί να προκύψουν ζητήματα ασυνέπειας που τελικά οδηγούν σε μη έγκυρες συμμετοχές.

Άμεσες προσκλήσεις από ChatGPT ή API Platform

Οι διαχειριστές μπορούν να προσκαλούν απευθείας χρήστες μέσω email από τις αντίστοιχες σελίδες ChatGPT και Platform «Μέλη». Στο ChatGPT, αυτή η μέθοδος υποστηρίζει επίσης μαζικές προσκλήσεις μέσω μεταφόρτωσης CSV:

Workspace invite modal with CSV upload, email entry, and Resend emails for existing invites selected

Παρότι συνήθως δεν είναι επεκτάσιμες, συχνά προτείνουμε τη χρήση άμεσων προσκλήσεων καθώς ξεκινάτε σε έναν νέο χώρο εργασίας/οργανισμό. Σε αντίθεση με το SCIM, δεν υπάρχει πιθανή καθυστέρηση στην άφιξη των προσκλήσεων στα εισερχόμενα των χρηστών, επομένως είναι η πιο αποτελεσματική επιλογή για γρήγορη παροχή πρόσβασης, τροποποίηση δικαιωμάτων και γενικές δοκιμές.

Επιπλέον, μπορείτε πάντα να ενεργοποιήσετε το SCIM αργότερα και να εντάξετε τους υπάρχοντες χρήστες σας κάτω από την εφαρμογή SCIM. Επομένως, δεν υπάρχει ανησυχία ότι οι χρήστες που προσκλήθηκαν άμεσα θα αποκλειστούν από μελλοντικό αυτοματισμό, εκτός αν αυτό είναι επιθυμητό.

Automatic Account Creation (AAC)

Σε αντίθεση με τις άλλες επιλογές, το AAC είναι διαθέσιμο μόνο στη σελίδα Identity του ChatGPT και απαιτεί να έχει πρώτα ενεργοποιηθεί το SSO:

Automatic account creation setting for verified-domain users turned off

Όπως φαίνεται παραπάνω, το AAC εγγυάται ότι οι χρήστες που εγγράφονται ή συνδέονται με επαληθευμένο τομέα email θα προστίθενται αυτόματα στον χώρο εργασίας Enterprise. Οι χρήστες δεν θα λαμβάνουν email πρόσκλησης και η διαδικασία είναι πλήρως αυτοματοποιημένη. Αυτό έχει τα πλεονεκτήματα και τα μειονεκτήματά του.

Αν η πολιτική σας είναι να επιτρέπετε ανοιχτή πρόσβαση σε οποιονδήποτε χρήστη με τον επαληθευμένο τομέα σας, το AAC είναι μια εξαιρετική επιλογή που αποφεύγει το πρόσθετο βάρος ρύθμισης και διαχείρισης μιας εφαρμογής SCIM.

Ωστόσο, το AAC δεν είναι ιδανικό εάν απαιτείτε μια πιο κλειδωμένη προσέγγιση πρόσβασης χρηστών, βασισμένη σε έγκριση.

⚠️ ΠΡΟΕΙΔΟΠΟΙΗΣΗ ⚠️

Είναι σημαντικό να έχετε υπόψη ότι η ενεργοποίηση του AAC θα εξαναγκάσει ουσιαστικά τη συγχώνευση όλων των χρηστών καταναλωτή (προσωπικών/Plus/Pro) κάτω από τον τομέα σας στον χώρο εργασίας Enterprise. Περισσότερα γι’ αυτό μπορείτε να βρείτε παρακάτω στην ενότητα «Διαχείριση υπαρχόντων χρηστών».

Σημειώστε ότι, ακόμη και αν οι χρήστες δεν είναι μέλη της ομάδας πρόσβασης IdP σας και δεν μπορούν να αποκτήσουν επιτυχώς πρόσβαση στον χώρο εργασίας όταν επιβάλλεται SSO, σε αυτό το σενάριο εξακολουθούν να καταλαμβάνουν θέση στον λογαριασμό Enterprise σας.

Για αυτόν τον λόγο, συνήθως προτείνουμε το SCIM ή τις άμεσες προσκλήσεις στις περισσότερες περιπτώσεις αντί του AAC. Και για να αποφευχθούν πιθανά σημεία σύγχυσης, συνιστούμε να αφήνετε το AAC απενεργοποιημένο αν σκοπεύετε να χρησιμοποιήσετε το SCIM.

Τελικό σημείο προσκλήσεων διαχειριστή API Platform

Το API Platform μας υποστηρίζει ένα τελικό σημείο προσκλήσεων, το οποίο σας επιτρέπει να προσκαλείτε προγραμματιστικά χρήστες στον οργανισμό API σας.

Σε σύγκριση με το SCIM, το κύριο πλεονέκτημα του τελικού σημείου είναι ότι σας επιτρέπει να καθορίζετε σε ποιο/-α έργο/-α πρέπει να ανήκει ο προσκεκλημένος χρήστης:

Image

Αυτό παρέχει ένα επιπλέον επίπεδο λεπτομέρειας και ελέγχου, χωρίς να απαιτείται η χειροκίνητη εργασία των μεμονωμένων άμεσων προσκλήσεων.

Διαχείριση υπαρχόντων χρηστών καταναλωτή

Ορίζουμε ως χρήστες καταναλωτή όσους έχουν προσωπική συνδρομή, Plus ή Pro. Συχνά υπάρχουν ήδη χρήστες καταναλωτή με τον επαληθευμένο τομέα σας που είχαν λογαριασμούς πριν από το συμβόλαιο Enterprise. Καθώς η επαλήθευση του τομέα σας και η ενεργοποίηση του SSO μπορεί να έχει μεταγενέστερο αντίκτυπο σε αυτούς τους χρήστες καταναλωτή, είναι σημαντικό να καθορίσετε εκ των προτέρων το επιθυμητό αποτέλεσμα.

Αντίκτυπος στους χρήστες καταναλωτή του ChatGPT

Στην πλευρά του ChatGPT, ο αντίκτυπος στους χρήστες καταναλωτή καθορίζεται κυρίως από δύο παράγοντες:

  1. Θα προσκληθούν στον χώρο εργασίας Enterprise;

    1. Αν το AAC είναι ενεργοποιημένο, αυτό προεπιλέγεται ως «Ναι»

  2. Θα επιβάλετε SSO;

Η προκύπτουσα συμπεριφορά φαίνεται παρακάτω:

Εκκρεμής πρόσκληση;Επιβάλλεται SSO;Αποτέλεσμα
Οι λογαριασμοί χρηστών καταναλωτή θα εξαναγκάζονται σε συγχώνευση με το Enterprise και θα μπορούν να συνδέονται μόνο με SSO
Οι λογαριασμοί χρηστών καταναλωτή θα εξαναγκάζονται σε συγχώνευση με το Enterprise, οι χρήστες μπορούν να αυθεντικοποιούνται με SSO ή Social
Καμία επίπτωση: Οι χρήστες καταναλωτή διατηρούν πρόσβαση στους προσωπικούς χώρους εργασίας τους μέσω αυθεντικοποίησης με Κωδικό ή Social
Καμία επίπτωση: Οι χρήστες καταναλωτή διατηρούν πρόσβαση στους προσωπικούς χώρους εργασίας τους μέσω αυθεντικοποίησης με Κωδικό ή Social

Αν ο στόχος σας είναι τελικά να αποτρέψετε οποιουσδήποτε λογαριασμούς καταναλωτή, επικοινωνήστε με τον Account Director σας για να συζητήσετε πιθανές επιλογές.

Συγχώνευση λογαριασμών

Οι προϋποθέσεις για να ενεργοποιηθεί μια αυτόματη συγχώνευση του λογαριασμού καταναλωτή σε λογαριασμό Enterprise είναι οι εξής:

  1. Ο τομέας του χρήστη έχει επαληθευτεί

  2. Ο χρήστης έχει λάβει πρόσκληση στον χώρο εργασίας Enterprise όπου έχει επαληθευτεί ο τομέας του

    1. ⚠️ Θυμηθείτε ότι αν έχετε ενεργοποιήσει το AAC, αυτή η συνθήκη θα ισχύει πάντα για κάθε χρήστη με τον επαληθευμένο τομέα σας.

Όταν πληρούνται αυτές οι συνθήκες, τότε την επόμενη φορά που ο χρήστης θα συνδεθεί ή θα ανανεώσει το ChatGPT, θα πρέπει να δει το ακόλουθο αναδυόμενο παράθυρο:

ChatGPT Enterprise invite flow with options to transfer chat history and GPTs or export and delete the old workspace

Όπως επισημαίνει η εικόνα, θα επιστρέψουμε αυτόματα το ποσό οποιασδήποτε υπάρχουσας συνδρομής Plus ή Pro πριν από τη συγχώνευση. Οι χρήστες θα έχουν την επιλογή να μεταφέρουν το υπάρχον ιστορικό συνομιλιών και τα GPT τους ή να εξαγάγουν το ιστορικό συνομιλιών τους μέσω email και να ξεκινήσουν τον χώρο εργασίας Enterprise τους ως «λευκή κόλλα».

Μόλις συγχωνευτεί ο λογαριασμός καταναλωτή, δεν υπάρχει τρόπος να αποκατασταθεί. Αν οι χρήστες σας επέλεξαν τη δυνατότητα «Μεταφορά υπάρχοντος ιστορικού συνομιλιών και GPT» αλλά δεν το είδαν να αντικατοπτρίζεται στον χώρο εργασίας Enterprise, επικοινωνήστε με την Υποστήριξη.

Αντίκτυπος στους χρήστες καταναλωτή του API Platform

Επειδή το SSO στην Platform εξακολουθεί να βασίζεται στον τομέα (σε αντίθεση με το ChatGPT, όπου το SSO είναι συγκεκριμένο για τον χώρο εργασίας όπου έχει ενεργοποιηθεί), οι χρήστες καταναλωτή σας θα επηρεαστούν αμέσως μόλις επαληθεύσετε τον τομέα σας και ενεργοποιήσετε το SSO σε οποιονδήποτε οργανισμό.

Οι χρήστες καταναλωτή θα χάσουν τη δυνατότητα αυθεντικοποίησης με κωδικούς πρόσβασης, καθώς εντοπίζουμε την αντιστοίχιση τομέα και τους προωθούμε στον IdP σας. Αν είναι μέλη του IdP σας, μπορούν να αυθεντικοποιηθούν με επιτυχία. Εναλλακτικά, μπορούν να συνδεθούν με επιλογή Social Oauth, αν αυτή είναι διαθέσιμη για αυτούς. Αν όχι, τότε ουσιαστικά έχετε αποκλείσει την πρόσβασή τους στους λογαριασμούς Καταναλωτή τους.

Δείτε τις ροές στην ενότητα Σύνδεση χρήστη για έναν πιο αναλυτικό οδηγό αυτής της ροής εργασίας.

Συνιστώμενα μοτίβα ταυτότητας και παροχής

Τώρα που παρουσιάσαμε τη βασική συμπεριφορά που συνδέεται με την αυθεντικοποίηση ταυτότητας και την παροχή προσκλήσεων, μπορεί να είναι χρήσιμο να εξετάσετε ορισμένα από τα πιο συνήθη μοτίβα υλοποίησης που είναι διαθέσιμα στους χρήστες Enterprise:

Comparison table of four Enterprise user management setups by provisioning, authentication, and user experience

Ροή σύνδεσης χρήστη

Έχουμε ήδη συζητήσει τον αντίκτυπο των εκκρεμών προσκλήσεων και της επιβολής SSO, επομένως αυτή η ενότητα έχει στόχο να σας βοηθήσει να οπτικοποιήσετε την αναμενόμενη ροή/τους ελέγχους που εκτελούμε όταν ένας χρήστης πληκτρολογεί τη διεύθυνση email του για να συνδεθεί.

Ροή σύνδεσης ChatGPT

Σημείωση: Αυτό το διάγραμμα δεν περιλαμβάνει απόπειρες σύνδεσης μέσω μεθόδου Social ή μέσω του Tile URL.

Flowchart of ChatGPT login paths for personal accounts, password sign-in, workspace picker, and SSO redirection

Ροή σύνδεσης API Platform

Σημείωση: Αυτό το διάγραμμα δεν περιλαμβάνει απόπειρες σύνδεσης μέσω μεθόδου Social ή μέσω του Tile URL.

Flowchart for platform login and SSO outcomes based on verified domain and IdP access group membership

Επόμενα βήματα

Τώρα που έχετε μια εικόνα της ιδανικής υλοποίησής σας, μπορείτε να ακολουθήσετε την αντίστοιχη τεκμηρίωση για να ενεργοποιήσετε το SCIM ή το SSO:

Σας βοήθησε αυτό το άρθρο;