OpenAI
Esta página se tradujo automáticamente. Ver el artículo original en inglés.

Comprender su configuración ideal de gestión de usuarios

Este documento pretende ayudar a los administradores a implementar SSO y, potencialmente, SCIM, de la forma que mejor se adapte a su caso de uso.

Actualización: 14 days ago

Revise nuestra página «Resumen de SSO» para familiarizarse con los conceptos clave tratados en este documento.

Antes de verificar sus dominios, es importante considerar varias preguntas:

  • ¿Cómo le gustaría aprovisionar invitaciones a nuevos usuarios?

  • ¿Cómo le gustaría gestionar los usuarios consumidores existentes (personales/Plus/Pro)?

  • ¿Cómo quiere que sea el flujo de inicio de sesión de sus usuarios?

Analizaremos cada una de estas preguntas con más detalle para ayudarle a asegurarse de que está eligiendo la opción que mejor se adapta a sus necesidades.

Invitar a nuevos usuarios

Actualmente ofrecemos cuatro métodos distintos para aprovisionar invitaciones a usuarios:

  1. System for Cross-domain Identity Management (SCIM)

  2. Invitaciones directas desde la aplicación

  3. [Solo ChatGPT] Creación automática de cuentas (AAC)

  4. [Solo Platform] Punto de acceso de la API

Cabe señalar que distinguimos entre los casos en los que los correos electrónicos de invitación se envían activamente:

  • Se invita a un usuario nuevo por primera vez mediante SCIM

  • O invitaciones directas desde la aplicación

Y los casos en los que una invitación se asocia silenciosamente al correo electrónico de un usuario en nuestro backend:

  • Se eliminó a un usuario de SCIM de su grupo de IdP y luego se volvió a añadir

  • Creación automática de cuentas

En este último caso, los usuarios no verán las invitaciones en su bandeja de entrada, pero aun así se les dirigirá correctamente al área de trabajo/organización correspondiente cuando intenten iniciar sesión.

SCIM

SCIM está disponible tanto en ChatGPT como en API Platform. SCIM permite a los proveedores de identidad (p. ej., Okta, Entra ID, etc.) intercambiar datos de identidad de usuario con OpenAI, automatizando el aprovisionamiento de invitaciones (y el desaprovisionamiento de cuentas de usuario) en función de los cambios organizativos.

Aunque SCIM también se configura a través de su IdP, puede configurarse de forma independiente de SSO. Por lo tanto, la verificación de dominio y SSO no son requisitos para SCIM.

Si decide utilizar tanto SCIM como SSO, la distinción importante es la siguiente:

  • SCIM solo aprovisiona invitaciones

  • SSO gestiona la autenticación y la creación de usuarios

Consideramos que SCIM es la solución más sólida y escalable para la gestión general de usuarios. Según cuál sea su implementación ideal, por lo general recomendamos la siguiente arquitectura como práctica recomendada si va a implementar tanto ChatGPT como API Platform:

IdP setup diagram comparing one shared SAML app versus separate SCIM apps for ChatGPT and API Platform users

Con esta configuración, puede gestionar fácilmente por separado tanto las invitaciones como el acceso (a ChatGPT y API Platform). Esta configuración ofrece además la ventaja de que cualquier cambio necesario puede realizarlo de forma centralizada su equipo de administración directamente en su IdP.

Si va a implementar SCIM en varias aplicaciones (p. ej., ChatGPT frente a API Platform u otras cuentas), sus aplicaciones SCIM deben ser únicas. Aunque la base de usuarios de destino sea idéntica, se recomienda encarecidamente que cada implementación de SCIM haga referencia a una aplicación única en su IdP.

Si no cumple este requisito, puede provocar problemas de incoherencia que, en última instancia, den lugar a membresías no válidas.

Invitaciones directas desde ChatGPT o API Platform

Los administradores pueden invitar directamente a usuarios por correo electrónico desde las respectivas páginas de ChatGPT y Platform «Miembros». En ChatGPT, este método también admite invitaciones masivas mediante la carga de un CSV:

Workspace invite modal with CSV upload, email entry, and Resend emails for existing invites selected

Aunque normalmente no es escalable, solemos recomendar usar invitaciones directas cuando está empezando en una nueva área de trabajo/organización. A diferencia de SCIM, no existe un posible retraso en la llegada de las invitaciones a las bandejas de entrada de los usuarios, por lo que es la opción más eficaz para proporcionar acceso rápido, modificar permisos y realizar pruebas generales.

Además, siempre puede habilitar SCIM más adelante y agrupar a sus usuarios existentes en la aplicación SCIM. Por tanto, no hay riesgo de que los usuarios invitados directamente queden excluidos de futuras automatizaciones, salvo que así se desee.

Creación automática de cuentas (AAC)

A diferencia de las demás opciones, AAC solo está disponible en la página Identidad de ChatGPT y requiere que primero se haya habilitado SSO:

Automatic account creation setting for verified-domain users turned off

Como se muestra arriba, AAC garantiza que los usuarios que se registren o inicien sesión con un dominio de correo electrónico verificado se añadirán automáticamente a su área de trabajo Enterprise. Los usuarios no recibirán un correo electrónico de invitación, y el proceso es totalmente automatizado. Esto tiene sus ventajas e inconvenientes.

Si su política es permitir acceso abierto a cualquier usuario con su dominio verificado, AAC es una gran opción que evita la sobrecarga adicional de configurar y gestionar una aplicación SCIM.

Sin embargo, AAC no es ideal si necesita un enfoque más restringido y basado en aprobaciones para el acceso de los usuarios.

⚠️ ADVERTENCIA ⚠️

Es importante tener en cuenta que habilitar AAC forzará de forma efectiva la fusión de todos los usuarios consumidores (personales/Plus/Pro) de su dominio en su área de trabajo Enterprise. Encontrará más información al respecto más abajo, en la sección «Gestión de usuarios existentes».

Tenga en cuenta que, aunque los usuarios no sean miembros de su grupo de acceso de IdP y no puedan acceder correctamente al área de trabajo si se aplica SSO, en este caso seguirán ocupando una licencia en su cuenta Enterprise.

Por esta razón, en general recomendamos SCIM o las invitaciones directas en la mayoría de los casos, en lugar de AAC. Y para ayudar a evitar posibles fuentes de confusión, recomendamos dejar AAC desactivado si tiene previsto usar SCIM.

Punto de acceso de invitaciones de administrador de API Platform

Nuestra API Platform admite un punto de acceso de invitaciones, que le permite invitar mediante programación a usuarios a su organización de API.

En comparación con SCIM, la principal ventaja del punto de acceso es que le permite especificar a qué proyecto(s) debe pertenecer el usuario invitado:

Image

Esto proporciona un nivel adicional de granularidad y control, sin requerir el trabajo manual de invitaciones directas individuales.

Gestión de usuarios consumidores existentes

Definimos usuarios consumidores como aquellos con una suscripción personal, Plus o Pro. A menudo ocurre que existen usuarios consumidores con su dominio verificado que ya tenían cuentas antes de su contrato Enterprise. Dado que verificar su dominio y habilitar SSO puede tener un impacto posterior en estos usuarios consumidores, es importante determinar de antemano cuál es el resultado deseado.

Impacto en los usuarios consumidores de ChatGPT

En ChatGPT, el impacto en los consumidores viene determinado en gran medida por dos factores:

  1. ¿Se les invitará al área de trabajo Enterprise?

    1. Si AAC está habilitado, entonces esto será «Sí» de forma predeterminada

  2. ¿Aplicará SSO?

El comportamiento resultante puede verse a continuación:

¿Invitación pendiente?¿SSO aplicado?Resultado
Las cuentas de usuario consumidor se fusionarán obligatoriamente con Enterprise y solo podrán iniciar sesión con SSO
Las cuentas de usuario consumidor se fusionarán obligatoriamente con Enterprise; los usuarios podrán autenticarse con SSO o Social
Sin impacto: los usuarios consumidores mantienen el acceso a sus áreas de trabajo personales mediante autenticación con contraseña o Social
Sin impacto: los usuarios consumidores mantienen el acceso a sus áreas de trabajo personales mediante autenticación con contraseña o Social

Si su objetivo es, en última instancia, impedir cualquier cuenta de consumidor, póngase en contacto con su director de cuentas para analizar posibles opciones.

Fusión de cuentas

Los requisitos previos para activar una fusión automática de la cuenta de consumidor en una cuenta Enterprise son los siguientes:

  1. El dominio del usuario está verificado

  2. El usuario ha recibido una invitación al área de trabajo Enterprise donde su dominio está verificado

    1. ⚠️ Recuerde que si ha habilitado AAC, esta condición siempre será cierta para cualquier usuario con su dominio verificado.

Cuando se cumplen estas condiciones, la próxima vez que el usuario inicie sesión o actualice ChatGPT, debería ver el siguiente cuadro modal:

ChatGPT Enterprise invite flow with options to transfer chat history and GPTs or export and delete the old workspace

Como destaca la imagen, reembolsaremos automáticamente cualquier suscripción existente a Plus o Pro antes de la fusión. Los usuarios tendrán la opción de transferir su historial de chat existente y sus GPT, o bien exportar su historial de chat por correo electrónico y empezar su área de trabajo Enterprise desde «cero».

Una vez fusionada la cuenta de consumidor, no hay forma de restaurarla. Si sus usuarios eligieron la opción «Transferir el historial de chat existente y los GPT» pero no vieron reflejado esto en su área de trabajo Enterprise, póngase en contacto con Soporte.

Impacto en los usuarios consumidores de API Platform

Como SSO en Platform sigue basándose en el dominio (a diferencia de ChatGPT, donde SSO es específico del área de trabajo en la que se ha habilitado), sus usuarios consumidores se verán afectados en cuanto verifique su dominio y habilite SSO en cualquier organización.

Los usuarios consumidores perderán la capacidad de autenticarse con contraseñas, ya que identificamos la coincidencia de dominio y los reenviamos a su IdP. Si son miembros de su IdP, podrán autenticarse correctamente. Como alternativa, podrán iniciar sesión con una opción de Oauth social si la tienen disponible. Si no, habrá bloqueado de hecho el acceso a sus cuentas de consumidor.

Consulte los flujos de la sección Inicio de sesión de usuario para obtener una guía más detallada de este flujo de trabajo.

Patrones recomendados de identidad y aprovisionamiento

Ahora que hemos expuesto el comportamiento fundamental ligado a nuestra autenticación de identidad y al aprovisionamiento de invitaciones, puede resultar útil revisar algunos de los patrones de implementación más comunes disponibles para los usuarios Enterprise:

Comparison table of four Enterprise user management setups by provisioning, authentication, and user experience

Flujo de inicio de sesión de usuario

Ya hemos tratado el impacto de las invitaciones pendientes y la aplicación de SSO, por lo que esta sección pretende ayudar a visualizar el flujo esperado y las comprobaciones que realizamos cuando un usuario escribe su dirección de correo electrónico para iniciar sesión.

Flujo de inicio de sesión de ChatGPT

Nota: este diagrama no incluye intentos de inicio de sesión mediante un método Social o a través de la URL del tile.

Flowchart of ChatGPT login paths for personal accounts, password sign-in, workspace picker, and SSO redirection

Flujo de inicio de sesión de API Platform

Nota: este diagrama no incluye intentos de inicio de sesión mediante un método Social o a través de la URL del tile.

Flowchart for platform login and SSO outcomes based on verified domain and IdP access group membership

Próximos pasos

Ahora que ya tiene una idea de cuál es su implementación ideal, puede seguir la documentación correspondiente para habilitar SCIM o SSO:

¿Te ha resultado útil este artículo?