Tutustu kertakirjautumisen yleiskatsaus -sivuumme, jotta perehdyt tässä dokumentissa käsiteltyihin keskeisiin käsitteisiin.
Ennen verkkotunnustesi vahvistamista on tärkeää pohtia muutamaa eri kysymystä:
Miten haluat toimittaa kutsut uusille käyttäjille?
Miten haluat käsitellä nykyisiä kuluttajakäyttäjiä (henkilökohtainen/Plus/Pro)?
Millaisen käyttäjän kirjautumiskulun haluat?
Tarkastelemme kutakin näistä kysymyksistä yksityiskohtaisemmin, jotta voit varmistaa valitsevasi tarpeisiisi parhaiten sopivan vaihtoehdon.
Uusien käyttäjien kutsuminen
Tarjoamme tällä hetkellä neljä eri tapaa kutsujen provisiointiin käyttäjille:
On hyvä huomata, että erotamme tilanteet, joissa kutsusähköpostit lähetetään aktiivisesti:
Uusi käyttäjä kutsutaan ensimmäistä kertaa SCIMin kautta
TAI suorilla kutsuilla sovelluksesta
Ja tilanteet, joissa kutsu liitetään hiljaisesti käyttäjän sähköpostiin taustajärjestelmässämme:
SCIM-käyttäjä poistettiin IdP-ryhmästäsi ja lisättiin sitten takaisin
Automaattinen tilin luonti
Jälkimmäisessä tapauksessa käyttäjät eivät näe kutsuja postilaatikossaan, mutta heidät ohjataan silti oikein vastaavaan työtilaan tai organisaatioon, kun he yrittävät kirjautua sisään.
SCIM
SCIM on saatavilla sekä ChatGPT:ssä että API Platformissa. SCIM mahdollistaa sen, että identiteetintarjoajat (esim. Okta, Entra ID jne.) vaihtavat käyttäjän identiteettitietoja OpenAIn kanssa ja automatisoivat kutsujen provisioinnin (sekä käyttäjätilien käytöstä poiston) organisaatiomuutosten perusteella.
Vaikka SCIM määritetään myös IdP:si kautta, se voidaan ottaa käyttöön erillään kertakirjautumisesta. Siksi verkkotunnuksen vahvistus tai kertakirjautuminen eivät ole SCIMin vaatimuksia.
Jos päätät käyttää sekä SCIMiä että kertakirjautumista, tärkeä ero on tämä:
SCIM provisioi vain kutsut
kertakirjautuminen hoitaa todennuksen ja käyttäjien luonnin
Pidämme SCIMiä kokonaisuutena käyttäjähallinnan vankimpana ja skaalautuvimpana ratkaisuna. Ihanteellisesta toteutuksestasi riippuen suosittelemme yleensä seuraavaa arkkitehtuuria parhaana käytäntönä, jos otat käyttöön sekä ChatGPT:n että API Platformin:
Tällä asetuksella voit hallita helposti erikseen sekä kutsuja että käyttöoikeuksia (ChatGPT:hen ja API Platformiin). Tämän asetuksen lisäetuna on, että kaikki tarvittavat muutokset voidaan tehdä keskitetysti ylläpitotiimiesi toimesta suoraan IdP:ssäsi.
Jos otat SCIMin käyttöön useissa sovelluksissa (esim. ChatGPT:ssä, API Platformissa tai muilla tileillä), SCIM-sovellusten tulee olla yksilöllisiä. Vaikka kohdekäyttäjäkunta olisi sama, suosittelemme vahvasti, että kukin SCIM-toteutus viittaa omaan yksilölliseen sovellukseen IdP:ssäsi.
Jos tämä vaatimus ei täyty, seurauksena voi olla epäjohdonmukaisuuksia, jotka johtavat lopulta virheellisiin jäsenyyksiin.
Suorat kutsut ChatGPT:stä tai API Platformista
Ylläpitäjät voivat kutsua käyttäjiä suoraan sähköpostitse vastaavilta ChatGPT:n ja Platformin "Jäsenet"-sivuilta. ChatGPT:ssä tämä tapa tukee myös joukkokutsuja ladatun CSV-tiedoston kautta:
Vaikka tämä ei yleensä skaalaudu hyvin, suosittelemme usein käyttämään suoria kutsuja, kun olet aloittamassa uudessa työtilassa tai organisaatiossa. Toisin kuin SCIMissä, kutsujen saapumisessa käyttäjien postilaatikoihin ei ole mahdollista viivettä, joten se on tehokkain vaihtoehto nopean pääsyn tarjoamiseen, käyttöoikeuksien muokkaamiseen ja yleiseen testaukseen.
Lisäksi voit aina ottaa SCIMin käyttöön myöhemmin ja sijoittaa nykyiset käyttäjäsi SCIM-sovelluksen alle. Näin ollen ei ole huolta siitä, että suoraan kutsutut käyttäjät jäisivät tulevan automaation ulkopuolelle, ellei sitä erikseen haluta.
Automaattinen tilin luonti (AAC)
Toisin kuin muut vaihtoehdot, AAC on saatavilla vain ChatGPT:n Identity-sivulla, ja se edellyttää, että kertakirjautuminen on otettu ensin käyttöön:
Kuten yllä näkyy, AAC takaa, että käyttäjät, jotka rekisteröityvät tai kirjautuvat sisään vahvistetulla sähköpostiverkkotunnuksella, lisätään automaattisesti Enterprise-työtilaasi. Käyttäjät eivät saa kutsusähköpostia, ja prosessi on täysin automatisoitu. Tässä on hyvät ja huonot puolensa.
Jos käytäntösi on sallia avoin pääsy kaikille käyttäjille, joilla on vahvistettu verkkotunnuksesi, AAC on hyvä vaihtoehto, joka välttää SCIM-sovelluksen määrittämisen ja hallinnan lisätyön.
AAC ei kuitenkaan ole ihanteellinen, jos tarvitset tiukemmin hallitun, hyväksyntään perustuvan lähestymistavan käyttäjien käyttöoikeuksiin.
⚠️ VAROITUS ⚠️
On tärkeää pitää mielessä, että AAC:n käyttöönotto käytännössä pakottaa yhdistämään kaikki verkkotunnuksesi alla olevat kuluttajakäyttäjät (henkilökohtainen/Plus/Pro) Enterprise-työtilaasi. Tästä kerrotaan lisää alla osiossa "Nykyisten käyttäjien käsittely".
Huomaa, että vaikka käyttäjät eivät olisi IdP-käyttöoikeusryhmäsi jäseniä eivätkä voisi käyttää työtilaa onnistuneesti, jos kertakirjautuminen on pakotettu, he vievät silti paikan Enterprise-tililläsi tässä tilanteessa.
Tästä syystä suosittelemme yleensä useimmissa tapauksissa SCIMiä tai suoria kutsuja AAC:n sijaan. Mahdollisten sekaannusten välttämiseksi suosittelemme pitämään AAC:n poissa käytöstä, jos aiot käyttää SCIMiä.
API Platformin Admin Invites -endpoint
API Platformimme tukee Invites-endpointia, jonka avulla voit kutsua käyttäjiä ohjelmallisesti API-organisaatioosi.
SCIMiin verrattuna endpointin suurin etu on, että sen avulla voit määrittää projektin tai projektit, joihin kutsutun käyttäjän tulisi kuulua:
Tämä tarjoaa lisätason tarkkuutta ja hallintaa ilman yksittäisten suorien kutsujen manuaalista työtä.
Nykyisten kuluttajakäyttäjien käsittely
Määrittelemme kuluttajakäyttäjiksi ne, joilla on henkilökohtainen, Plus- tai Pro-tilaus. Usein vahvistetulla verkkotunnuksellasi on jo kuluttajakäyttäjiä, joilla oli tili ennen Enterprise-sopimustasi. Koska verkkotunnuksen vahvistaminen ja kertakirjautumisen käyttöönotto voivat vaikuttaa näihin kuluttajakäyttäjiin myöhemmin, on tärkeää määrittää haluttu lopputulos etukäteen.
Vaikutus ChatGPT:n kuluttajakäyttäjiin
ChatGPT:n puolella vaikutus kuluttajiin määräytyy pitkälti kahden tekijän perusteella:
Kutsutaanko heidät Enterprise-työtilaan?
Jos AAC on käytössä, oletuksena on "Kyllä"
Pakotatko kertakirjautumisen?
Tuloksena syntyvä toiminta näkyy alla:
| Odottava kutsu? | Kertakirjautuminen pakotettu? | Tulos |
| ✅ | ✅ | Kuluttajakäyttäjätilit pakotetaan yhdistymään Enterpriseen, ja sisäänkirjautuminen onnistuu vain kertakirjautumisella |
| ✅ | ❌ | Kuluttajakäyttäjätilit pakotetaan yhdistymään Enterpriseen, käyttäjät voivat tunnistautua kertakirjautumisella tai sosiaalisen kirjautumisen avulla |
| ❌ | ✅ | Ei vaikutusta: kuluttajakäyttäjät säilyttävät pääsyn henkilökohtaisiin työtiloihinsa salasanalla tai sosiaalisen kirjautumisen avulla |
| ❌ | ❌ | Ei vaikutusta: kuluttajakäyttäjät säilyttävät pääsyn henkilökohtaisiin työtiloihinsa salasanalla tai sosiaalisen kirjautumisen avulla |
Jos tavoitteesi on lopulta estää kaikki kuluttajatilit, ota yhteyttä Account Director -yhteyshenkilöösi keskustellaksesi mahdollisista vaihtoehdoista.
Tilien yhdistäminen
Edellytykset, joiden täyttyessä kuluttajatili yhdistyy automaattisesti Enterprise-tiliin, ovat seuraavat:
Käyttäjän verkkotunnus on vahvistettu
Käyttäjä on saanut kutsun siihen Enterprise-työtilaan, jossa hänen verkkotunnuksensa on vahvistettu
⚠️ Muista, että jos olet ottanut AAC:n käyttöön, tämä ehto on aina tosi kaikille käyttäjille, joilla on vahvistettu verkkotunnuksesi.
Kun nämä ehdot täyttyvät, seuraavan kerran kun käyttäjä kirjautuu ChatGPT:hen tai päivittää sen, hänen pitäisi nähdä seuraava modaalinen ikkuna:
Kuten kuvassa korostetaan, hyvitämme automaattisesti kaikki olemassa olevat Plus- tai Pro-tilaukset ennen yhdistämistä. Käyttäjät voivat siirtää olemassa olevan keskusteluhistoriansa ja GPT:nsä tai vaihtoehtoisesti viedä keskusteluhistoriansa sähköpostitse ja aloittaa Enterprise-työtilansa "puhtaalta pöydältä".
Kun kuluttajatili on yhdistetty, sitä ei voi palauttaa. Jos käyttäjäsi valitsivat vaihtoehdon "Siirrä olemassa oleva keskusteluhistoria ja GPT:t", mutta eivät nähneet tämän näkyvän Enterprise-työtilassaan, ota yhteyttä tukeen.
Vaikutus API Platformin kuluttajakäyttäjiin
Koska kertakirjautuminen Platformilla on yhä verkkotunnuspohjainen (toisin kuin ChatGPT:ssä, jossa kertakirjautuminen on sidottu tiettyyn työtilaan, jossa se on otettu käyttöön), kuluttajakäyttäjiisi kohdistuu vaikutus heti, kun vahvistat verkkotunnuksesi ja otat kertakirjautumisen käyttöön missä tahansa organisaatiossa.
Kuluttajakäyttäjät menettävät mahdollisuuden tunnistautua salasanalla, sillä tunnistamme verkkotunnusosuman ja ohjaamme heidät IdP:llesi. Jos he ovat IdP:si jäseniä, he voivat tunnistautua onnistuneesti. Vaihtoehtoisesti he voivat kirjautua sisään sosiaalisen OAuth-vaihtoehdon avulla, jos se on heidän käytettävissään. Jos ei, olet käytännössä lukinnut heidät ulos kuluttajatileiltään.
Katso Käyttäjän kirjautuminen -osion kulut saadaksesi perusteellisemman oppaan tähän työnkulkuun.
Suositellut identiteetti- ja provisiointimallit
Nyt kun olemme käyneet läpi identiteetin todennukseen ja kutsujen provisiointiin liittyvän peruskäyttäytymisen, voi olla hyödyllistä tarkastella joitakin yleisimpiä Enterprise-käyttäjille उपलब्ध olevia käyttöönottomalleja:
Käyttäjän kirjautumiskulku
Olemme jo käsitelleet odottavien kutsujen ja kertakirjautumisen pakottamisen vaikutusta, joten tämän osion tarkoituksena on auttaa havainnollistamaan odotettua kulkua ja tarkistuksia, jotka teemme, kun käyttäjä kirjoittaa sähköpostiosoitteensa kirjautuakseen sisään.
ChatGPT:n kirjautumiskulku
Huomautus: Tämä kaavio ei sisällä kirjautumisyrityksiä sosiaalisen kirjautumistavan tai Tile URL:n kautta.
API Platformin kirjautumiskulku
Huomautus: Tämä kaavio ei sisällä kirjautumisyrityksiä sosiaalisen kirjautumistavan tai Tile URL:n kautta.
Seuraavat vaiheet
Nyt kun sinulla on käsitys ihanteellisesta toteutuksestasi, voit ottaa SCIMin tai kertakirjautumisen käyttöön seuraamalla vastaavaa dokumentaatiota: