OpenAI
Cette page a été traduite automatiquement. Afficher l’article original en anglais.

Comprendre votre configuration idéale de gestion des utilisateurs

Ce document vise à aider les administrateurs à déployer l’authentification unique (SSO), et éventuellement SCIM, de la façon la mieux adaptée à leur cas d’utilisation.

Mise à jour : 15 days ago

Consultez notre page « Aperçu de l’authentification unique (SSO) » pour vous familiariser avec les concepts clés abordés dans ce document.

Avant de vérifier vos domaines, il est important de réfléchir à quelques questions :

  • Comment souhaitez-vous provisionner les invitations pour les nouveaux utilisateurs?

  • Comment souhaitez-vous gérer les utilisateurs de comptes grand public existants (personnels/Plus/Pro)?

  • À quoi voulez-vous que le flux de connexion de vos utilisateurs ressemble?

Nous examinerons chacune de ces questions plus en détail afin de vous aider à choisir l’option qui répond le mieux à vos besoins.

Inviter de nouveaux utilisateurs

Nous offrons actuellement quatre méthodes différentes pour provisionner des invitations aux utilisateurs :

  1. System for Cross-domain Identity Management (SCIM)

  2. Invitations directes depuis ChatGPT ou API Platform

  3. ChatGPT seulement : création automatique de comptes (AAC)

  4. Plateforme seulement : endpoint d’invitations d’administration d’API Platform

Il est à noter que nous faisons la distinction entre les cas où les courriels d’invitation sont envoyés activement et ceux où une invitation est associée silencieusement à l’adresse courriel d’un utilisateur dans notre backend.

Les courriels d’invitation sont envoyés activement lorsque :

  • Un nouvel utilisateur est invité pour la première fois par l’intermédiaire de SCIM.

  • Un utilisateur est invité directement depuis ChatGPT ou API Platform.

Les invitations sont associées silencieusement lorsque :

  • Un utilisateur SCIM a été retiré de votre groupe IdP, puis ajouté de nouveau.

  • La création automatique de comptes s’applique.

Dans ce dernier cas, les utilisateurs ne verront pas les invitations dans leur boîte de réception, mais ils seront tout de même dirigés correctement vers l’espace de travail ou l’organisation correspondant lorsqu’ils essaieront de se connecter.

SCIM

SCIM est offert à la fois dans ChatGPT et sur API Platform. SCIM permet aux fournisseurs d’identité (p. ex., Okta, Entra ID, etc.) d’échanger des données d’identité utilisateur avec OpenAI, en automatisant le provisionnement des invitations (et le déprovisionnement des comptes d’utilisateur) en fonction des changements organisationnels.

Bien que SCIM soit également configuré par l’entremise de votre IdP, il peut être configuré indépendamment de l’authentification unique (SSO). Par conséquent, la vérification de domaine et l’authentification unique (SSO) ne sont pas des exigences pour SCIM.

Si vous décidez d’utiliser à la fois SCIM et l’authentification unique (SSO), la distinction importante à faire est la suivante :

  • SCIM ne provisionne que les invitations

  • L’authentification unique (SSO) gère l’authentification et la création des utilisateurs

Nous considérons SCIM comme la solution la plus robuste et la plus évolutive pour la gestion globale des utilisateurs. Selon votre implémentation idéale, nous recommandons généralement l’architecture suivante comme pratique exemplaire si vous déployez à la fois ChatGPT et API Platform :

IdP setup diagram comparing one shared SAML app versus separate SCIM apps for ChatGPT and API Platform users

Avec cette configuration, vous pouvez facilement gérer séparément les invitations et l’accès (à ChatGPT et à API Platform). Cette configuration a aussi l’avantage de permettre à vos équipes d’administration d’effectuer de façon centralisée, directement dans votre IdP, toute modification nécessaire.

Si vous implémentez SCIM dans plusieurs applications (c.-à-d. ChatGPT, API Platform ou d’autres comptes), vos applications SCIM doivent être distinctes. Même si votre base d’utilisateurs cible est identique, il est fortement recommandé que chaque implémentation SCIM fasse référence à une application distincte dans votre IdP.

Si vous ne respectez pas cette exigence, cela peut entraîner des problèmes d’incohérence qui finissent par produire des adhésions non valides.

Invitations directes depuis ChatGPT ou API Platform

Les administrateurs peuvent inviter directement des utilisateurs par courriel à partir des pages ChatGPT et Platform « Membres » respectives. Dans ChatGPT, cette méthode prend également en charge les invitations en lot au moyen d’un fichier CSV téléversé :

Workspace invite modal with CSV upload, email entry, and Resend emails for existing invites selected

Même si cette approche n’est généralement pas évolutive, nous recommandons souvent d’utiliser les invitations directes lorsque vous démarrez dans un nouvel espace de travail ou une nouvelle organisation. Contrairement à SCIM, il n’y a pas de délai potentiel avant que les invitations arrivent dans les boîtes de réception des utilisateurs; c’est donc l’option la plus efficace pour fournir un accès rapide, modifier les autorisations et effectuer des tests généraux.

De plus, vous pouvez toujours activer SCIM plus tard et regrouper vos utilisateurs existants sous l’application SCIM. Il n’y a donc pas à craindre que les utilisateurs invités directement soient exclus de l’automatisation future, sauf si vous le souhaitez.

Création automatique de comptes (AAC)

Contrairement aux autres options, AAC est seulement disponible sur la page Identité de ChatGPT et nécessite que l’authentification unique (SSO) ait d’abord été activée :

Automatic account creation setting for verified-domain users turned off

Comme indiqué ci-dessus, AAC garantit que les utilisateurs qui s’inscrivent ou se connectent avec un domaine de courriel vérifié seront automatiquement ajoutés à votre espace de travail Enterprise. Les utilisateurs ne recevront pas de courriel d’invitation, et le processus est entièrement automatisé. Cette approche a ses avantages et ses inconvénients.

Si votre politique consiste à offrir un accès libre à tout utilisateur de votre domaine vérifié, AAC est une excellente option qui évite les frais généraux supplémentaires liés à la configuration et à la gestion d’une application SCIM.

Toutefois, AAC n’est pas idéal si vous avez besoin d’une approche d’accès plus restrictive et fondée sur l’approbation.

⚠️ AVERTISSEMENT ⚠️

Il est important de garder à l’esprit que l’activation d’AAC forcera effectivement la fusion de tous les utilisateurs de comptes grand public (personnels/Plus/Pro) de votre domaine dans votre espace de travail Enterprise. Pour en savoir plus, consultez la section « Gestion des utilisateurs existants » ci-dessous.

Notez que, même si les utilisateurs ne sont pas membres du groupe d’accès de votre IdP et ne peuvent pas accéder à l’espace de travail si l’authentification unique (SSO) est obligatoire, ils occupent tout de même un siège dans votre compte Enterprise dans ce scénario.

Pour cette raison, nous recommandons généralement SCIM ou les invitations directes dans la plupart des cas, plutôt qu’AAC. Et pour éviter les sources possibles de confusion, nous recommandons de laisser AAC désactivé si vous prévoyez utiliser SCIM.

endpoint d’invitations d’administration d’API Platform

Notre API Platform prend en charge un endpoint d’invitations, qui vous permet d’inviter des utilisateurs à votre organisation API par programmation.

Comparativement à SCIM, le principal avantage de l’endpoint est qu’il vous permet de préciser le ou les projets auxquels l’utilisateur invité doit appartenir :

Image

Cela offre un niveau supplémentaire de précision et de contrôle, sans nécessiter le travail manuel des invitations directes individuelles.

Gestion des utilisateurs de comptes grand public existants

Nous définissons les utilisateurs de comptes grand public comme ceux qui ont un abonnement personnel, Plus ou Pro. Il arrive souvent que des utilisateurs de comptes grand public existants utilisent votre domaine vérifié et aient créé leurs comptes avant votre contrat Enterprise. Comme la vérification de votre domaine et l’activation de l’authentification unique (SSO) peuvent avoir une incidence en aval sur ces utilisateurs de comptes grand public, il est important de déterminer au préalable le résultat souhaité.

Incidence sur les utilisateurs de comptes grand public ChatGPT

Du côté de ChatGPT, l’incidence sur les consommateurs est largement déterminée par deux facteurs :

  1. Seront-ils invités à l’espace de travail Enterprise?

  2. Rendrez-vous l’authentification unique (SSO) obligatoire?

Le comportement qui en résulte est présenté ci-dessous :

Invitation en attente?Authentification unique (SSO) obligatoire?Résultat
OuiOuiLes comptes grand public seront forcés de fusionner avec Enterprise, et les utilisateurs ne pourront se connecter qu’au moyen de l’authentification unique (SSO).
OuiNonLes comptes grand public seront forcés de fusionner avec Enterprise, et les utilisateurs pourront s’authentifier au moyen de l’authentification unique (SSO) ou d’une connexion sociale.
NonOuiAucune incidence : les utilisateurs de comptes grand public conservent l’accès à leurs espaces de travail personnels au moyen d’un mot de passe ou de l’authentification sociale.
NonNonAucune incidence : les utilisateurs de comptes grand public conservent l’accès à leurs espaces de travail personnels au moyen d’un mot de passe ou de l’authentification sociale.

Si votre objectif est d’empêcher à terme tout compte grand public, communiquez avec votre directeur de compte afin de discuter des options possibles.

Fusion de comptes

Voici les conditions préalables au déclenchement d’une fusion automatique du compte grand public dans un compte Enterprise :

  1. Le domaine de l’utilisateur est vérifié.

  2. L’utilisateur a reçu une invitation à l’espace de travail Enterprise où son domaine est vérifié.

    • Remarque : Si vous avez activé l’AAC, cette condition sera toujours vraie pour tout utilisateur de votre domaine vérifié.

Lorsque ces conditions sont remplies, la prochaine fois que l’utilisateur se connectera à ChatGPT ou l’actualisera, la fenêtre modale suivante devrait s’afficher :

ChatGPT Enterprise invite flow with options to transfer chat history and GPTs or export and delete the old workspace

Comme l’image le montre, nous rembourserons automatiquement tout abonnement Plus ou Pro existant avant la fusion. Les utilisateurs auront le choix de transférer leur historique de conversations et leurs GPTs existants, ou d’exporter leur historique de conversations par courriel et de démarrer leur espace de travail Enterprise à partir d’une « page blanche ».

  • Remarque : Si l’espace de travail Enterprise ou Edu de destination a activé la résidence des données, les données de l’espace de travail personnel ne peuvent pas être transférées. Les utilisateurs peuvent seulement exporter leurs conversations et supprimer l’espace de travail personnel. Consultez Invitations par courriel et migrations de comptes pour en savoir plus.

Une fois le compte grand public fusionné, il n’est plus possible de le restaurer. Si vos utilisateurs ont choisi l’option « Transférer l’historique de conversations et les GPTs existants », mais que cela ne s’est pas reflété dans leur espace de travail Enterprise, veuillez communiquer avec l’assistance.

Incidence sur les utilisateurs de comptes grand public d’API Platform

Comme l’authentification unique (SSO) sur la plateforme est encore fondée sur le domaine (contrairement à ChatGPT, où l’authentification unique (SSO) est propre à l’espace de travail où elle a été activée), vos utilisateurs de comptes grand public seront touchés dès que vous vérifierez votre domaine et activerez l’authentification unique (SSO) dans n’importe quelle organisation.

Les utilisateurs de comptes grand public perdront la possibilité de s’authentifier avec un mot de passe, puisque nous détectons la correspondance de domaine et les redirigeons vers votre IdP. S’ils sont membres de votre IdP, ils peuvent s’authentifier correctement. Ils peuvent aussi se connecter au moyen d’une option OAuth sociale si celle-ci leur est offerte. Sinon, vous leur avez effectivement bloqué l’accès à leurs comptes grand public.

Consultez la section Flux de connexion des utilisateurs pour obtenir un guide plus approfondi de ce flux de travail.

Modèles d’identité et de provisionnement recommandés

Maintenant que nous avons présenté le comportement fondamental lié à l’authentification de l’identité et au provisionnement des invitations, il peut être utile d’examiner certains des modèles d’implémentation les plus courants offerts aux utilisateurs Enterprise :

Comparison table of four Enterprise user management setups by provisioning, authentication, and user experience

Flux de connexion des utilisateurs

Nous avons déjà abordé l’incidence des invitations en attente et de l’application obligatoire de l’authentification unique (SSO); cette section vise donc à illustrer le flux et les vérifications attendus que nous effectuons lorsqu’un utilisateur saisit son adresse courriel pour se connecter.

Flux de connexion à ChatGPT

Remarque : ce diagramme exclut les tentatives de connexion au moyen d’une méthode sociale ou de l’URL de la tuile.

Flowchart of ChatGPT login paths for personal accounts, password sign-in, workspace picker, and SSO redirection

Flux de connexion à API Platform

Remarque : ce diagramme exclut les tentatives de connexion au moyen d’une méthode sociale ou de l’URL de la tuile.

Flowchart for platform login and SSO outcomes based on verified domain and IdP access group membership

Prochaines étapes

Maintenant que vous avez une idée de votre implémentation idéale, vous pouvez suivre la documentation appropriée pour activer SCIM ou l’authentification unique (SSO) :

Cet article vous a-t-il été utile?