Descripción general

El bloqueo de espacios de trabajo es una función que permite a los clientes de ChatGPT Enterprise restringir el acceso a espacios de trabajo específicos de ChatGPT, para que los usuarios puedan iniciar sesión e interactuar dentro de los espacios de trabajo permitidos. Esta función garantiza que los usuarios de tu organización solo puedan acceder a espacios de trabajo específicos y aprobados.

Funcionamiento

• Configurar encabezado personalizado: configuras qué espacios de trabajo están permitidos agregando un encabezado HTTP personalizado, ChatGPT-Allowed-Workspace-Id, a tu configuración de red. Este encabezado contiene uno o más ID de espacio de trabajo (UUID) que especifican a qué espacios de trabajo pueden acceder los usuarios.

• ChatGPT filtra el acceso:

  • Cuando un usuario inicia sesión en ChatGPT Enterprise, el sistema comprueba si el espacio de trabajo al que intenta acceder coincide con alguno de los UUID de espacio de trabajo incluidos en el encabezado ChatGPT-Allowed-Workspace-Id.

  • Si el usuario intenta acceder a un espacio de trabajo que no figura en el encabezado, ChatGPT filtra automáticamente esta solicitud y bloquea el acceso a ese espacio de trabajo. Siempre que un usuario tenga acceso a al menos un espacio de trabajo, el filtrado ocurre de forma silenciosa. En los casos en que, después del filtrado, el usuario quede sin acceso a ningún espacio de trabajo, recibirá un error 403 Forbidden.

  • Solo se podrá acceder a los espacios de trabajo incluidos en el encabezado, y el sistema filtrará cualquier otro espacio de trabajo (incluidos los personales).

• Compatibilidad con varios espacios de trabajo: si tu organización necesita permitir el acceso a más de un espacio de trabajo, puedes incluir varios UUID de espacio de trabajo en el encabezado, separados por comas y sin espacios entre ellos.

Configuración

Paso 1: obtener el ID del espacio de trabajo

Para permitir el acceso a espacios de trabajo específicos, deberás buscar el UUID de cada espacio de trabajo permitido. Este UUID se encuentra en la configuración de administrador de ChatGPT:

• Inicia sesión en tu cuenta de administrador de ChatGPT Enterprise.

• Ve a la página Configuración de administrador.

• Busca el ID de espacio de trabajo (UUID) que corresponde a cada espacio de trabajo que quieres permitir.

UUID de ejemplo del espacio de trabajo: 437adf77-4085-4b22-b7b1-de7b6f5ec6c0

Paso 2: proveedores de SASE

Para implementaciones en toda la empresa, las organizaciones pueden trabajar con sus socios de Secure Access Service Edge (SASE). Estos socios pueden aplicar la función de bloqueo de espacios de trabajo a nivel de red.

Paso 3: configuración

• Permitir varios espacios de trabajo (si es necesario):Para permitir el acceso a varios espacios de trabajo, ingresa los UUID de los espacios de trabajo separados por comas.

• Especificar segmentación por URL:

  • Asegúrate de que el encabezado se aplique a la URL de ChatGPT. Configura el filtro de URL para que se aplique solo a las solicitudes realizadas a https://chatgpt.com/*

Paso 4: manejo de errores

• Error 403 Forbidden: Si un usuario intenta acceder a un espacio de trabajo y, después del filtrado, no hay espacios de trabajo disponibles, verá un error 403 Forbidden y un mensaje indicará que no está autorizado para acceder al espacio de trabajo.

• Error 400 Bad Request: Si el valor del encabezado tiene un formato incorrecto (por ejemplo, si el UUID del espacio de trabajo es incorrecto), todas las solicitudes con ese encabezado fallarán con un error 400 Bad Request.

Paso 5: bloquear el uso anónimo (sin sesión iniciada) de ChatGPT

ChatGPT también puede usarse sin una cuenta ni un espacio de trabajo; a esto lo llamamos nuestro producto anónimo o sin sesión iniciada. Para bloquear eficazmente este tipo de uso, trabaja con tu proveedor de SASE para bloquear el acceso a las URL que comienzan con https://chatgpt.com/backend-anon/, o usa la misma configuración de navegador que utilizaste para insertar encabezados para bloquear también las URL con ese prefijo.

Paso 6: considerar la compatibilidad de las aplicaciones de escritorio y móviles de ChatGPT

Las aplicaciones de escritorio y móviles de ChatGPT implementan anclaje de certificados. Esto restringe el conjunto de certificados de servidor que aceptará un cliente, lo que agrega una protección adicional contra ataques avanzados de interceptación (MiTM) en los que un certificado válido se vio comprometido. La comprobación del anclaje se realiza después de que el certificado del servidor ya se haya validado con certificados raíz de confianza.

Para que las aplicaciones de escritorio y móviles de ChatGPT funcionen correctamente cuando la inspección SSL está habilitada (necesaria para implementar los controles de red anteriores), deberás agregar tus propios certificados a la lista de anclaje y distribuirlos a los clientes mediante MDM. Consulta aquí las instrucciones detalladas: https://docsend.com/view/rrk4mx9aashcekp7

Preguntas frecuentes

¿El bloqueo de espacios de trabajo funcionará en dispositivos móviles iOS y en aplicaciones para macOS y Android?

El bloqueo de espacios de trabajo mediante la inyección de encabezados de red se puede aplicar en aplicaciones de ChatGPT en dispositivos administrados donde se hayan implementado excepciones de anclaje de certificados mediante MDM, como se describió anteriormente.

Si una organización quiere impedir que los usuarios accedan a ChatGPT (incluidas las cuentas personales) mediante las apps de iOS, macOS y Android, puede configurar su firewall de red, proxy o servicio SASE para bloquear el acceso a los siguientes dominios:

• App de Android: android.chat.openai.com

• Aplicación web de escritorio: desktop.chatgpt.com

• App de iOS: ios.chat.openai.com

Ten en cuenta que bloquear el acceso a los dominios anteriores bloquea todo el tráfico hacia las aplicaciones, lo que significa que nadie podrá acceder a ChatGPT a través de estas plataformas, independientemente de si usa una cuenta personal o Enterprise.