Resumen
El bloqueo de áreas de trabajo es una función que permite a los clientes de ChatGPT Enterprise restringir el acceso a áreas de trabajo específicas de ChatGPT, garantizando que los usuarios puedan iniciar sesión e interactuar en las áreas de trabajo permitidas. Esta función garantiza que los usuarios de tu organización solo puedan acceder a áreas de trabajo específicas y aprobadas.
Funcionamiento
Configuración del encabezado personalizado: configura qué áreas de trabajo están permitidas añadiendo un encabezado HTTP personalizado,
ChatGPT-Allowed-Workspace-Id, a la configuración de red. Este encabezado contiene uno o varios ID de áreas de trabajo (UUID) que especifican a qué áreas de trabajo pueden acceder los usuarios.ChatGPT filtra el acceso:
Cuando un usuario inicia sesión en ChatGPT Enterprise, el sistema comprueba si el área de trabajo a la que intenta acceder coincide con alguno de los UUID de áreas de trabajo incluidos en el encabezado
ChatGPT-Allowed-Workspace-Id.Si el usuario intenta acceder a un área de trabajo que no figura en el encabezado, ChatGPT filtra automáticamente la solicitud y bloquea el acceso a esa área de trabajo. Mientras el usuario tenga acceso al menos a un área de trabajo, el filtrado se realiza de forma silenciosa. En los casos en que, tras el filtrado, el usuario se quede sin acceso a ninguna área de trabajo, recibirá un error
403 Forbidden.Solo serán accesibles las áreas de trabajo incluidas en el encabezado; el sistema filtrará cualquier otra área de trabajo, incluidas las personales.
Compatibilidad con varias áreas de trabajo: si tu organización necesita permitir el acceso a más de un área de trabajo, puedes incluir varios UUID de áreas de trabajo en el encabezado, separados por comas y sin espacios entre ellos.
Configuración
Paso 1: obtener el ID del área de trabajo
Para permitir el acceso a áreas de trabajo específicas, deberás encontrar el UUID del área de trabajo de cada área de trabajo permitida. Este UUID se encuentra en la configuración de administración de ChatGPT:
Inicia sesión en tu cuenta de administrador de ChatGPT Enterprise.
Ve a la página Configuración de administración.
Busca el ID del área de trabajo (UUID) que corresponda a cada área de trabajo que quieras permitir.
UUID de ejemplo del área de trabajo: 437adf77-4085-4b22-b7b1-de7b6f5ec6c0
Paso 2: proveedores de SASE
Para implementaciones en toda la empresa, las organizaciones pueden trabajar con sus socios de Secure Access Service Edge (SASE). Estos socios pueden aplicar la función de bloqueo de áreas de trabajo a nivel de red.
Paso 3: configuración
Permitir varias áreas de trabajo (si es necesario):para permitir el acceso a varias áreas de trabajo, introduce los UUID de las áreas de trabajo separados por comas.
Especificar la segmentación por URL:
Asegúrate de que el encabezado se aplique a la URL de ChatGPT. Configura el filtro de URL para que se aplique solo a las solicitudes realizadas a
https://chatgpt.com/*
Paso 4: gestión de errores
Error 403 Forbidden: si un usuario intenta acceder a un área de trabajo y, tras el filtrado, no queda ninguna área de trabajo disponible, verá un error
403 Forbiddeny un mensaje indicará que no tiene autorización para acceder al área de trabajo.Error 400 Bad Request: si el valor del encabezado tiene un formato incorrecto (por ejemplo, el UUID del área de trabajo es incorrecto), todas las solicitudes con ese encabezado fallarán con un error
400 Bad Request.
Paso 5: bloquear el uso anónimo de ChatGPT (sin sesión iniciada)
ChatGPT también puede usarse sin ninguna cuenta ni área de trabajo; lo denominamos nuestro producto anónimo o sin sesión iniciada. Para bloquear eficazmente este tipo de uso, trabaja con tu proveedor de SASE para bloquear el acceso a las URL que empiecen por https://chatgpt.com/backend-anon/, o usa la misma configuración del navegador que utilizaste para insertar encabezados para bloquear también las URL con ese prefijo.
Paso 6: tener en cuenta la compatibilidad con las aplicaciones de escritorio y móviles de ChatGPT
Las aplicaciones de escritorio y móviles de ChatGPT implementan la fijación de certificados. Esto limita el conjunto de certificados de servidor que aceptará un cliente y añade una protección adicional contra ataques avanzados de interceptación (MiTM) en los que se ha comprometido un certificado válido. La comprobación de fijación se realiza después de que el certificado del servidor ya se haya validado con los certificados raíz de confianza.
Para que las aplicaciones de escritorio y móviles de ChatGPT funcionen correctamente cuando la inspección SSL esté habilitada (necesaria para implementar los controles de red anteriores), deberás añadir tus propios certificados a la lista de fijación y distribuirlos a los clientes mediante MDM. Consulta aquí las instrucciones detalladas: https://docsend.com/view/rrk4mx9aashcekp7
Preguntas frecuentes
¿Funcionará el bloqueo de áreas de trabajo en dispositivos móviles iOS y en aplicaciones de macOS y Android?
El bloqueo de áreas de trabajo mediante la inyección de encabezados de red puede aplicarse en aplicaciones de ChatGPT en dispositivos gestionados donde se hayan implementado excepciones de fijación de certificados mediante MDM, como se ha descrito antes.
Si una organización quiere impedir que los usuarios accedan a ChatGPT (incluidas las cuentas personales) a través de las aplicaciones de iOS, macOS y Android, puede configurar su cortafuegos de red, proxy o servicio SASE para bloquear el acceso a los siguientes dominios:
Aplicación de Android:
android.chat.openai.comAplicación web de escritorio:
desktop.chatgpt.comAplicación de iOS:
ios.chat.openai.com
Ten en cuenta que bloquear el acceso a los dominios anteriores bloquea todo el tráfico hacia las aplicaciones, lo que significa que nadie podrá acceder a ChatGPT a través de estas plataformas, independientemente de si utiliza una cuenta personal o de Enterprise.
