OpenAI
Ang page na ito ay isinalin ng AI. Tingnan ang orihinal na artikulo sa English.

Pag-unawa sa Iyong Ideal na Setup sa Pamamahala ng User

Nilalayon ng dokumentong ito na tulungan ang mga admin na i-deploy ang SSO, at posibleng SCIM, sa paraang pinakaangkop sa kanilang use case.

Na-update: 9 days ago

Pakisuri ang aming pahina ng “Pangkalahatang-ideya ng SSO” upang maging pamilyar ka sa mahahalagang konseptong tatalakayin sa dokumentong ito.

Bago i-verify ang iyong mga domain, mahalagang isaalang-alang ang ilang iba’t ibang tanong:

  • Paano mo gustong mag-provision ng mga imbitasyon sa mga bagong user?

  • Paano mo gustong pangasiwaan ang mga kasalukuyang consumer (personal/Plus/Pro) user?

  • Ano ang gusto mong maging hitsura ng flow ng pag-login ng iyong mga user?

Titingnan natin nang mas detalyado ang bawat isa sa mga tanong na ito upang makatulong na matiyak na pinipili mo ang opsyong pinakaangkop sa iyong mga pangangailangan.

Pag-imbita ng Mga Bagong User

Kasalukuyan kaming nag-aalok ng apat na magkakaibang paraan para mag-provision ng mga imbitasyon sa mga user:

  1. System for Cross-domain Identity Management (SCIM)

  2. Mga Direktang Imbitasyon mula sa ChatGPT o API Platform

  3. ChatGPT lang: Automatic Account Creation (AAC)

  4. Platform lang: API Platform Admin Invites Endpoint

Mahalagang tandaan na pinag-iiba namin ang mga kasong aktibong ipinapadala ang mga email ng imbitasyon at ang mga kasong tahimik na iniuugnay ang imbitasyon sa email ng user sa aming backend.

Aktibong ipinapadala ang mga email ng imbitasyon kapag:

  • Inimbitahan sa unang pagkakataon ang isang bagong user sa pamamagitan ng SCIM.

  • Direktang inimbitahan ang isang user mula sa ChatGPT o API Platform.

Tahimik na iniuugnay ang mga imbitasyon kapag:

  • Inalis ang isang SCIM user mula sa iyong IdP group at pagkatapos ay muling idinagdag.

  • Nalalapat ang Automatic Account Creation.

Sa huling kaso, hindi makikita ng mga user ang mga imbitasyon sa kanilang inbox, ngunit maididirekta pa rin sila nang tama sa kaukulang workspace/organisasyon kapag sinubukan nilang mag-login.

SCIM

Available ang SCIM sa parehong ChatGPT at API Platform. Pinapayagan ng SCIM ang mga identity provider (hal. Okta, Entra ID, atbp.) na makipagpalitan ng data ng pagkakakilanlan ng user sa OpenAI, na nag-a-automate ng pag-provision ng mga imbitasyon (at pag-de-provision ng mga user account) batay sa mga pagbabago sa organisasyon.

Bagama’t kino-configure din ang SCIM sa pamamagitan ng iyong IdP, maaari itong i-setup nang hiwalay sa SSO. Samakatuwid, hindi kinakailangan ang pag-verify ng domain/SSO para sa SCIM.

Kung magpasya kang gamitin ang parehong SCIM at SSO, ang mahalagang pagkakaibang dapat tandaan ay:

  • SCIM lamang ang nagpo-provision ng mga imbitasyon

  • SSO ang nangangasiwa sa authentication at paggawa ng user

Itinuturing namin ang SCIM bilang pinakamatatag at pinaka-scalable na solusyon para sa pangkalahatang pamamahala ng user. Depende sa iyong ideal na pagpapatupad, karaniwan naming inirerekomenda ang sumusunod na arkitektura bilang best practice kung magde-deploy ka sa parehong ChatGPT at API Platform:

IdP setup diagram comparing one shared SAML app versus separate SCIM apps for ChatGPT and API Platform users

Sa setup na ito, madali mong mapapamahalaan nang hiwalay ang parehong mga imbitasyon at access (sa ChatGPT at API Platform). May dagdag na benepisyo ang setup na ito: magagawa nang sentral ng iyong mga administration team ang anumang kinakailangang pagbabago nang direkta sa iyong IdP.

Kung nagpapatupad ka ng SCIM sa maraming application (hal. ChatGPT vs. API Platform vs. iba pang account), dapat natatangi ang iyong mga SCIM Application. Kahit magkapareho ang target mong user base, lubos na inirerekomenda na tumukoy ang bawat pagpapatupad ng SCIM sa isang natatanging application sa iyong IdP.

Kung hindi mo matutugunan ang kinakailangang ito, maaari itong magdulot ng mga isyu sa pagiging hindi magkakatugma na sa huli ay magreresulta sa mga hindi valid na membership.

Mga Direktang Imbitasyon mula sa ChatGPT o API Platform

Maaaring direktang mag-imbita ang mga admin ng mga user sa pamamagitan ng email mula sa kani-kanilang pahina ng ChatGPT at Platform na “Members”. Sa ChatGPT, sinusuportahan din ng paraang ito ang maramihang imbitasyon sa pamamagitan ng na-upload na CSV:

Workspace invite modal with CSV upload, email entry, and Resend emails for existing invites selected

Bagama’t karaniwang hindi ito scalable, madalas naming inirerekomenda ang paggamit ng mga direktang imbitasyon habang nagsisimula ka sa isang bagong workspace/organisasyon. Hindi tulad ng SCIM, walang posibleng pagkaantala bago makarating ang mga imbitasyon sa inbox ng mga user, kaya ito ang pinakaepektibong opsyon para sa mabilis na access, pagbabago ng mga pahintulot, at pangkalahatang pagsubok.

Bukod pa rito, maaari mong i-enable ang SCIM anumang oras sa hinaharap at isama ang iyong mga kasalukuyang user sa ilalim ng SCIM application. Kaya walang dapat ipag-alala na maiibukod ang mga direktang inimbitahang user sa awtomasyon sa hinaharap, maliban kung iyon ang nais.

Automatic Account Creation (AAC)

Hindi tulad ng ibang opsyon, available lamang ang AAC sa Identity page ng ChatGPT at kinakailangang na-enable muna ang SSO:

Automatic account creation setting for verified-domain users turned off

Gaya ng ipinapakita sa itaas, ginagarantiyahan ng AAC na awtomatikong maidaragdag sa iyong Enterprise workspace ang mga user na nagsa-sign up o naglo-login gamit ang na-verify na email domain. Hindi makakatanggap ng email ng imbitasyon ang mga user, at ganap na awtomatiko ang proseso. May mga kalamangan at kahinaan ito.

Kung patakaran mong payagan ang open-door access sa sinumang user na may iyong na-verify na domain, mahusay na opsyon ang AAC na nakakaiwas sa karagdagang overhead ng pag-configure at pamamahala ng SCIM application.

Gayunpaman, hindi ideal ang AAC kung kailangan mo ng mas mahigpit at approval-based na paraan para sa access ng user.

⚠️ BABALA ⚠️

Mahalagang tandaan na ang pag-enable ng AAC ay epektibong pipilit na i-merge ang lahat ng consumer (personal/Plus/Pro) user sa ilalim ng iyong domain papunta sa iyong Enterprise workspace. Makikita ang higit pang impormasyon tungkol dito sa ibaba sa seksyong “Pangangasiwa ng Mga Kasalukuyang User”.

Tandaan na kahit hindi miyembro ng iyong IdP access group ang mga user at hindi nila matagumpay na maa-access ang workspace kung ipinapatupad ang SSO, kumukuha pa rin sila ng seat sa iyong Enterprise account sa ganitong sitwasyon.

Dahil dito, sa karamihan ng mga kaso ay karaniwan naming inirerekomenda ang SCIM o mga direktang imbitasyon sa halip na AAC. At upang makatulong na maiwasan ang posibleng kalituhan, inirerekomenda naming panatilihing naka-off ang AAC kung plano mong gumamit ng SCIM.

API Platform Admin Invites Endpoint

Sinusuportahan ng aming API Platform ang isang Invites Endpoint, na nagpapahintulot sa iyong mag-imbita ng mga user sa iyong API organization sa pamamagitan ng program.

Kung ihahambing sa SCIM, ang pangunahing benepisyo ng endpoint ay pinapayagan ka nitong tukuyin ang (mga) proyektong dapat kabilangan ng inimbitahang user:

Image

Nagbibigay ito ng karagdagang antas ng granularity at kontrol, nang hindi nangangailangan ng manu-manong paggawa para sa bawat direktang imbitasyon.

Pangangasiwa ng Mga Kasalukuyang Consumer User

Tinutukoy namin ang mga consumer user bilang mga nasa personal, Plus, o Pro na subscription. Madalas na may mga kasalukuyang consumer user na may iyong na-verify na domain na nagkaroon na ng mga account bago pa ang iyong Enterprise contract. Dahil maaaring magkaroon ng downstream na epekto sa mga consumer user na ito ang pag-verify ng iyong domain at pag-enable ng SSO, mahalagang tukuyin muna ang nais na resulta.

Epekto sa Mga ChatGPT Consumer User

Sa panig ng ChatGPT, ang epekto sa mga consumer ay pangunahing natutukoy ng dalawang salik:

  1. Iimbitahan ba sila sa Enterprise workspace?

  2. Ipapatupad mo ba ang SSO?

Makikita sa ibaba ang magiging behavior:

Nakabinbing Imbitasyon?Ipinapatupad ang SSO?Resulta
OoOoPipilitin ang mga consumer user account na ma-merge sa Enterprise, at makakapag-login lamang sila gamit ang SSO.
OoHindiPipilitin ang mga consumer user account na ma-merge sa Enterprise, at makakapag-authenticate ang mga user gamit ang SSO o social login.
HindiOoWalang epekto: Mananatili ang access ng mga consumer user sa kanilang mga personal na workspace sa pamamagitan ng password o social authentication.
HindiHindiWalang epekto: Mananatili ang access ng mga consumer user sa kanilang mga personal na workspace sa pamamagitan ng password o social authentication.

Kung layunin mong tuluyang maiwasan ang anumang consumer account, makipag-ugnayan sa iyong Account Director upang talakayin ang mga posibleng opsyon.

Pagsasama ng Account

Ang mga kinakailangan para ma-trigger ang awtomatikong pagsasama ng consumer account sa isang Enterprise account ay ang mga sumusunod:

  1. Na-verify ang domain ng user.

  2. Nakatanggap ang user ng imbitasyon sa Enterprise workspace kung saan na-verify ang kanilang domain.

    • Tandaan: Kung na-enable mo ang AAC, palaging magiging true ang kundisyong ito para sa sinumang user na may verified domain mo.

Kapag natugunan ang mga kundisyong ito, sa susunod na mag-log in o mag-refresh ng ChatGPT ang user, dapat nilang makita ang sumusunod na modal:

ChatGPT Enterprise invite flow with options to transfer chat history and GPTs or export and delete the old workspace

Gaya ng ipinapakita sa larawan, awtomatiko naming ire-refund ang anumang kasalukuyang subscription sa Plus o Pro bago ang pagsasama. May opsyon ang mga user na ilipat ang kanilang kasalukuyang kasaysayan ng chat at mga GPT, o i-export ang kanilang kasaysayan ng chat sa pamamagitan ng email at simulan ang kanilang Enterprise workspace bilang “bagong simula.”

  • Tandaan: Kung naka-enable ang lokasyon ng data sa destinasyong Enterprise o Edu workspace, hindi maililipat ang data ng Personal workspace. Maaari lang i-export ng mga user ang kanilang mga chat at i-delete ang Personal workspace. Tingnan ang Mga imbitasyon sa email at paglilipat ng account para sa mga detalye.

Kapag naisama na ang consumer account, wala nang paraan para maibalik ito. Kung pinili ng iyong mga user ang opsyong “Ilipat ang kasalukuyang kasaysayan ng chat at mga GPT” ngunit hindi ito lumabas sa kanilang Enterprise workspace, makipag-ugnayan sa Support.

Epekto sa Mga API Platform Consumer User

Dahil domain-based pa rin ang SSO sa Platform (kumpara sa ChatGPT, kung saan partikular ang SSO sa workspace kung saan ito na-enable), maaapektuhan ang iyong mga consumer user sa sandaling i-verify mo ang iyong domain at i-enable ang SSO sa anumang organisasyon.

Mawawalan ng kakayahang mag-authenticate gamit ang mga password ang mga consumer user, dahil natutukoy namin ang tugma sa domain at ipinapasa sila sa iyong IdP. Kung miyembro sila ng iyong IdP, matagumpay silang makakapag-authenticate. Bilang alternatibo, maaari silang mag-login gamit ang isang social OAuth option kung available iyon sa kanila. Kung hindi, epektibo mo silang mala-lock out sa kanilang mga consumer account.

Tingnan ang seksyong Flow ng Pag-login ng User para sa mas detalyadong gabay sa workflow na ito.

Mga Inirerekomendang Pattern para sa Identity at Provisioning

Ngayong nailatag na namin ang pangunahing behavior na kaugnay ng aming identity authentication at invitation provisioning, maaaring makatulong na suriin ang ilan sa mas karaniwang pattern ng pagpapatupad na available sa mga Enterprise user:

Comparison table of four Enterprise user management setups by provisioning, authentication, and user experience

Flow ng Pag-login ng User

Natalakay na namin ang epekto ng mga nakabinbing imbitasyon at pagpapatupad ng SSO, kaya layunin ng seksyong ito na makatulong na mailarawan ang inaasahang flow/mga pagsusuring ginagawa namin kapag inilalagay ng user ang kanilang email address para mag-login.

Flow ng Pag-login sa ChatGPT

Tandaan: Hindi kasama sa diagram na ito ang mga pagtatangkang mag-login sa pamamagitan ng Social method o sa pamamagitan ng Tile URL.

Flowchart of ChatGPT login paths for personal accounts, password sign-in, workspace picker, and SSO redirection

Flow ng Pag-login sa API Platform

Tandaan: Hindi kasama sa diagram na ito ang mga pagtatangkang mag-login sa pamamagitan ng Social method o sa pamamagitan ng Tile URL.

Flowchart for platform login and SSO outcomes based on verified domain and IdP access group membership

Mga Susunod na Hakbang

Ngayong may ideya ka na tungkol sa iyong ideal na pagpapatupad, maaari mong sundin ang kaukulang dokumentasyon para i-enable ang SCIM o SSO:

Nakatulong ba ang artikulong ito?