OpenAI

आपके आदर्श यूज़र मैनेजमेंट सेटअप को समझने की प्रक्रिया

यह दस्तावेज़ एडमिन को SSO और संभावित रूप से SCIM को इस तरह लागू करने में मदद करने के लिए है, जो उनके उपयोग के मामले के लिए सबसे उपयुक्त हो.

अपडेट किया गया: 2 hours ago

कृपया हमारे "SSO Overview" पेज की समीक्षा करें ताकि आप इस दस्तावेज़ में चर्चा की गई मुख्य अवधारणाओं से परिचित हो सकें.

अपने डोमेन को वेरिफाई करने से पहले, कुछ अलग-अलग सवालों पर विचार करना ज़रूरी है:

  • तुम नए यूज़र्स के लिए आमंत्रण कैसे देना चाहोगे?

  • आप मौजूदा कंज़्यूमर (personal/Plus/Pro) यूज़र्स को कैसे संभालना चाहेंगे?

  • आप चाहते हैं कि आपका उपयोगकर्ता लॉगिन प्रवाह कैसा दिखे?

हम इनमें से हर सवाल पर ज़्यादा विस्तार से नज़र डालेंगे, ताकि यह सुनिश्चित करने में मदद मिल सके कि तुम अपनी ज़रूरतों के हिसाब से सबसे उपयुक्त विकल्प चुन सको.

नए उपयोगकर्ताओं को आमंत्रित करें

हम वर्तमान में उपयोगकर्ताओं को आमंत्रण प्रावधान के लिए चार अलग-अलग तरीके प्रदान करते हैं:

  1. क्रॉस-डोमेन आइडेंटिटी मैनेजमेंट के लिए सिस्टम (SCIM)

  2. इन-ऐप से सीधे आमंत्रण

  3. [केवल ChatGPT] ऑटोमैटिक अकाउंट क्रिएशन (AAC)

  4. [केवल प्लेटफ़ॉर्म] API एंडपॉइंट

यह ध्यान देने योग्य है कि हम उन मामलों में अंतर करते हैं जहाँ आमंत्रण ईमेल सक्रिय रूप से भेजे जाते हैं:

  • एक नए यूज़र को पहली बार SCIM के माध्यम से आमंत्रित किया जाता है

  • या ऐप के भीतर से सीधे आमंत्रण

और ऐसे मामले जहाँ हमारे बैकएंड में किसी उपयोगकर्ता के ईमेल से आमंत्रण को बिना किसी सूचना के जोड़ा जाता है:

  • एक SCIM यूज़र को आपके IdP ग्रुप से हटाया गया था और फिर दोबारा जोड़ दिया गया था

  • स्वचालित अकाउंट निर्माण

बाद वाले मामले में, आपको अपने इनबॉक्स में आमंत्रण दिखाई नहीं देंगे, लेकिन जब आप लॉग इन करने की कोशिश करेंगे, तब भी आपको संबंधित वर्कस्पेस/संगठन पर सही तरीके से रीडायरेक्ट किया जाएगा.

SCIM

SCIM ChatGPT और API प्लेटफ़ॉर्म दोनों में उपलब्ध है. SCIM पहचान प्रदाताओं को अनुमति देता है (जैसे Okta, Entra ID आदि) को OpenAI के साथ यूज़र आइडेंटिटी डेटा का आदान-प्रदान करने की अनुमति देता है, जिससे संगठनात्मक परिवर्तनों के आधार पर आमंत्रणों की प्रॉवीज़निंग (और यूज़र अकाउंट्स की डीप्रॉवीज़निंग) स्वचालित हो सके.

हालाँकि, SCIM को भी आपके IdP के ज़रिए कॉन्फ़िगर किया जाता है, इसे SSO से स्वतंत्र रूप से सेट अप किया जा सकता है. इसलिए, डोमेन वेरिफ़िकेशन/SSO, SCIM के लिए आवश्यक नहीं है.

अगर आप SCIM और SSO दोनों का इस्तेमाल करने का फ़ैसला करते हैं, तो यह ज़रूरी है कि आप एक महत्वपूर्ण अंतर को समझें:

  • SCIM केवल आमंत्रणों का प्रावधान करता है

  • SSO प्रमाणीकरण और यूज़र क्रिएशन करता है

हम SCIM को समग्र उपयोगकर्ता प्रबंधन के लिए सबसे मजबूत और स्केलेबल समाधान मानते हैं. आपके आदर्श कार्यान्वयन के आधार पर, यदि आप ChatGPT और API प्लेटफ़ॉर्म दोनों पर डिप्लॉय कर रहे हैं, तो हम आम तौर पर सर्वोत्तम अभ्यास के रूप में निम्नलिखित संरचना की अनुशंसा करते हैं:

IdP setup diagram comparing one shared SAML app versus separate SCIM apps for ChatGPT and API Platform users

इस सेटअप के साथ, आप आमंत्रणों और एक्सेस (ChatGPT और API प्लेटफ़ॉर्म के लिए) को आसानी से अलग-अलग प्रबंधित कर सकते हैं. इस सेटअप का अतिरिक्त लाभ यह है कि कोई भी आवश्यक बदलाव आपकी प्रशासनिक टीमें सीधे आपके IdP में केंद्रीय रूप से कर सकती हैं.

अगर आप कई ऐप्लिकेशन में SCIM लागू कर रहे हैं (i.e. ChatGPT बनाम API प्लेटफ़ॉर्म बनाम अन्य खाते), आपके SCIM एप्लिकेशन विशिष्ट होने चाहिए. भले ही आपका लक्षित यूज़र-बेस समान हो, यह पुरज़ोर अनुशंसा की जाती है कि हर SCIM इम्प्लीमेंटेशन आपके IDP में एक अलग एप्लिकेशन से जुड़ा हो.

अगर आप इस आवश्यकता को पूरा नहीं करते हैं, तो इससे असंगति की समस्याएँ हो सकती हैं, जो अंततः अमान्य सदस्यताओं का कारण बन सकती हैं.

ChatGPT या API प्लेटफ़ॉर्म से सीधे निमंत्रण

एडमिन संबंधित ChatGPT और प्लेटफ़ॉर्म "मेंबर" पेजों से सीधे ईमेल द्वारा उपयोगकर्ताओं को निमंत्रण भेज सकते हैं. ChatGPT में, यह तरीका अपलोड की गई CSV फ़ाइल के ज़रिए एक साथ कई निमंत्रणों को भी सपोर्ट करता है:

Workspace invite modal with CSV upload, email entry, and Resend emails for existing invites selected

हालांकि, यह आम तौर पर स्केलेबल नहीं होता, लेकिन जब आप किसी नए वर्कस्पेस/संगठन में शुरुआत कर रहे होते हैं, तो हम अक्सर डायरेक्ट आमंत्रणों का उपयोग करने की सलाह देते हैं. SCIM के विपरीत, निमंत्रणों के यूज़र इनबॉक्स तक पहुँचने में कोई संभावित देरी नहीं होती है, इसलिए यह त्वरित एक्सेस प्रदान करने, अनुमतियाँ संशोधित करने और सामान्य परीक्षण के लिए सबसे प्रभावी विकल्प है.

इसके अलावा, आप बाद में कभी भी SCIM को सक्षम कर सकते हैं और अपने मौजूदा यूज़र्स को SCIM ऐप्लिकेशन के अंतर्गत रख सकते हैं. इसलिए, इस बात की कोई चिंता नहीं है कि सीधे आमंत्रित किए गए यूज़र्स को भविष्य के ऑटोमेशन से बाहर रखा जाएगा, जब तक कि ऐसा करना इच्छित न हो.

ऑटोमैटिक अकाउंट क्रिएशन (AAC)

अन्य विकल्पों के विपरीत, AAC केवल ChatGPT के पहचान पृष्ठ पर उपलब्ध है और इसके लिए SSO का पहले से इनेबल होना आवश्यक है:

Automatic account creation setting for verified-domain users turned off

जैसा कि ऊपर दिखाया गया है, AAC यह सुनिश्चित करता है कि सत्यापित ईमेल डोमेन से साइन अप या लॉग इन करने वाले यूज़र स्वचालित रूप से आपके Enterprise वर्कस्पेस में जोड़ दिए जाएँगे. यूज़र्स को ईमेल निमंत्रण नहीं मिलेगा, और प्रक्रिया पूरी तरह से स्वचालित है. इसके अपने फायदे और नुकसान हैं.

अगर आपकी नीति आपके सत्यापित डोमेन वाले किसी भी यूज़र को ओपन-डोर एक्सेस देने की है, तो AAC एक बेहतरीन विकल्प है जो SCIM ऐप्लिकेशन को कॉन्फ़िगर और मैनेज करने के अतिरिक्त ओवरहेड से बचाता है.

हालांकि, यदि आपको यूज़र ऐक्सेस के लिए अधिक सख्ती से नियंत्रित, अनुमोदन-आधारित दृष्टिकोण की आवश्यकता है, तो AAC आदर्श नहीं है.

⚠️ चेतावनी ⚠️

ध्यान रखें कि AAC सक्षम करने से आपके डोमेन के अंतर्गत आने वाले सभी consumer (personal/Plus/Pro) users प्रभावी रूप से आपके Enterprise वर्कस्पेस में मर्ज हो जाएंगे. इस बारे में अधिक जानकारी नीचे "मौजूदा यूज़र्स को हैंडल करना" सेक्शन में मिल सकती है।

ध्यान दें कि, इस परिदृश्य में, भले ही यूज़र आपके IdP एक्सेस ग्रुप के सदस्य न हों और SSO लागू होने पर वर्कस्पेस को सफलतापूर्वक एक्सेस न कर पाएं, वे फिर भी आपके Enterprise अकाउंट में एक सीट लेते हैं.

इस कारण से, ज़्यादातर मामलों में हम आम तौर पर AAC के बजाय SCIM या सीधे आमंत्रणों का इस्तेमाल करने की सलाह देते हैं. और संभावित भ्रम से बचने में मदद के लिए, अगर आप SCIM का इस्तेमाल करने की योजना बना रहे हैं, तो हम AAC को बंद ही रखने की सलाह देते हैं.

API प्लेटफ़ॉर्म एडमिन इनवाइट्स एंडपॉइंट

हमारा API प्लेटफ़ॉर्म एक Invites एंडपॉइंट को सपोर्ट करता है, जो आपको प्रोग्रामेटिक रूप से अपने API संगठन में उपयोगकर्ताओं को आमंत्रित करने की अनुमति देता है.

SCIM की तुलना में, एंडपॉइंट का मुख्य लाभ यह है कि यह आपको यह निर्दिष्ट करने की अनुमति देता है कि आमंत्रित उपयोगकर्ता किस प्रोजेक्ट/प्रोजेक्ट्स का हिस्सा होना चाहिए:

Image

यह व्यक्तिगत डायरेक्ट निमंत्रण भेजने के मैनुअल काम की आवश्यकता के बिना, सूक्ष्मता और नियंत्रण की एक अतिरिक्त परत प्रदान करता है.

मौजूदा कंज्यूमर यूज़र्स को संभालना

हम उपभोक्ता उपयोगकर्ताओं को उन लोगों के रूप में परिभाषित करते हैं जिनके पास व्यक्तिगत, Plus या Pro सब्सक्रिप्शन है. अक्सर ऐसा होता है कि आपके वेरिफ़ाई किए गए डोमेन वाले ऐसे मौजूदा कंज़्यूमर यूज़र होंगे जिनके अकाउंट आपके एंटरप्राइज़ अनुबंध से पहले से थे. चूँकि, आपके डोमेन को वेरिफ़ाई करने और SSO सक्षम करने से इन कंज़्यूमर यूज़र पर डाउनस्ट्रीम प्रभाव पड़ सकता है, इसलिए पहले से इच्छित परिणाम निर्धारित करना ज़रूरी है.

ChatGPT उपभोक्ताओं पर प्रभाव

ChatGPT की ओर से, उपभोक्ताओं पर प्रभाव मुख्य रूप से दो कारकों पर निर्भर करता है:

  1. क्या उन्हें एंटरप्राइज वर्कस्पेस में आमंत्रित किया जाएगा?

    1. अगर AAC इनेबल है, तो यह डिफ़ॉल्ट रूप से "हाँ" होता है

  2. क्या आप SSO लागू करना चाहेंगे?

परिणामी व्यवहार नीचे देखा जा सकता है:

लंबित निमंत्रण?SSO लागू है?परिणाम
Consumer यूज़र अकाउंट को Enterprise में मर्ज करने के लिए बाध्य किया जाएगा, और वे केवल SSO से लॉग इन कर सकेंगे
कंज़्यूमर उपयोगकर्ता खातों को एंटरप्राइज में मर्ज करने के लिए बाध्य किया जाएगा, उपयोगकर्ता SSO या सोशल ऑथेंटिकेशन का उपयोग करके प्रमाणित कर सकते हैं.
कोई प्रभाव नहीं: Consumer यूज़र पासवर्ड या सोशल प्रमाणीकरण के माध्यम से अपने व्यक्तिगत वर्कस्पेस का एक्सेस बनाए रखते हैं
कोई प्रभाव नहीं: Consumer यूज़र पासवर्ड या सोशल प्रमाणीकरण के माध्यम से अपने व्यक्तिगत वर्कस्पेस का एक्सेस बनाए रखते हैं

अगर आपका लक्ष्य अंततः किसी भी कंज्यूमर अकाउंट को रोकना है, तो संभावित विकल्पों पर चर्चा करने के लिए कृपया अपने अकाउंट डायरेक्टर से संपर्क करें.

अकाउंट मिलाएँ

कंज़्यूमर अकाउंट को एंटरप्राइज़ अकाउंट में स्वचालित रूप से मर्ज करने के लिए आवश्यक शर्तें इस प्रकार हैं:

  1. यूज़र का डोमेन सत्यापित किया गया है

  2. उपयोगकर्ता को एंटरप्राइज़ वर्कस्पेस के लिए निमंत्रण प्राप्त हुआ है, जहाँ उनका डोमेन सत्यापित है

    1. ⚠️ याद रखें कि अगर आपने AAC इनेबल किया है, तो यह शर्त आपके सत्यापित डोमेन वाले किसी भी यूज़र के लिए हमेशा true रहेगी.

जब ये शर्तें पूरी हो जाती हैं, तो अगली बार जब उपयोगकर्ता ChatGPT में लॉग इन करता है या ChatGPT को रिफ़्रेश करता है, तो उन्हें निम्नलिखित मोडल दिखाई देना चाहिए:

ChatGPT Enterprise invite flow with options to transfer chat history and GPTs or export and delete the old workspace

जैसा कि इमेज में हाइलाइट किया गया है, हम मर्ज से पहले किसी भी मौजूदा Plus या Pro सब्सक्रिप्शन का रिफंड अपने-आप कर देंगे. यूज़र्स के पास अपनी मौजूदा चैट हिस्ट्री और GPTs को ट्रांसफ़र करने का विकल्प होगा, या वे अपनी चैट हिस्टरी ईमेल के ज़रिए एक्सपोर्ट करके अपने Enterprise वर्कस्पेस को "बिल्कुल नई शुरुआत" के रूप में शुरू कर सकेंगे.

एक बार कंज़्यूमर अकाउंट मर्ज हो जाने के बाद, उसे रिस्टोर करने का कोई तरीका नहीं है. अगर आपके यूज़र्स ने "मौजूदा चैट हिस्ट्री और GPTs ट्रांसफ़र करें" ऑप्शन चुना था, लेकिन उन्हें यह अपने एंटरप्राइज वर्कस्पेस में दिखाई नहीं दिया, तो कृपया सपोर्ट से संपर्क करें.

API प्लेटफ़ॉर्म उपभोक्ता उपयोगकर्ताओं पर प्रभाव

क्योंकि प्लेटफ़ॉर्म पर SSO अभी भी डोमेन-आधारित है (ChatGPT के विपरीत, जहाँ SSO उस वर्कस्पेस के लिए विशिष्ट होता है जहाँ इसे सक्षम किया गया है), आपके उपभोक्ता उपयोगकर्ताओं पर प्रभाव पड़ेगा जैसे ही आप अपना डोमेन सत्यापित करते हैं और किसी भी संगठन पर SSO सक्षम करते हैं.

कंज़्यूमर यूज़र पासवर्ड से प्रमाणित करने की क्षमता खो देंगे, क्योंकि हम डोमेन मिलान की पहचान करके उन्हें आपके IdP पर अग्रेषित कर देंगे. अगर वे आपके IdP के सदस्य हैं, तो वे सफलतापूर्वक प्रमाणीकरण कर सकते हैं. वैकल्पिक रूप से, यदि उनके लिए सोशल OAuth विकल्प उपलब्ध हो, तो वे उसके माध्यम से लॉगिन कर सकते हैं. अगर ऐसा नहीं है, तो आपने प्रभावी रूप से उन्हें उनके Consumer अकाउंट से बाहर कर दिया है.

इस वर्कफ़्लो की अधिक विस्तृत गाइड के लिए यूज़र लॉगिन सेक्शन के फ़्लो देखें.

अनुशंसित आइडेंटिटी और प्रॉवीज़निंग पैटर्न

अब जबकि हमने अपनी आइडेंटिटी प्रमाणीकरण और आमंत्रणों की प्रॉवीज़ननिंग से जुड़े मूलभूत व्यवहार को स्पष्ट कर दिया है, Enterprise यूज़र्स के लिए उपलब्ध कुछ अधिक सामान्य इम्प्लीमेंटेशन पैटर्न की समीक्षा करना उपयोगी हो सकता है:

Comparison table of four Enterprise user management setups by provisioning, authentication, and user experience

यूज़र लॉग इन प्रक्रिया

हमने पहले ही लंबित आमंत्रणों और SSO लागू करने के प्रभाव पर चर्चा की है. यह सेक्शन उस अपेक्षित फ्लो और चेक्स को विज़ुअलाइज़ करने में मदद करता है, जो हम तब करते हैं जब कोई उपयोगकर्ता लॉगिन करने के लिए अपना ईमेल एड्रेस टाइप करता है.

ChatGPT लॉगिन प्रक्रिया

ध्यान दें: इस डायग्राम में सोशल विधि या Tile URL के माध्यम से किए गए लॉगिन प्रयास शामिल नहीं हैं.

Flowchart of ChatGPT login paths for personal accounts, password sign-in, workspace picker, and SSO redirection

API प्लेटफ़ॉर्म लॉगिन फ़्लो

ध्यान दें: इस डायग्राम में सोशल विधि या Tile URL के माध्यम से किए गए लॉगिन प्रयास शामिल नहीं हैं.

Flowchart for platform login and SSO outcomes based on verified domain and IdP access group membership

आगे कदम

अब जब आपको अपने आदर्श कार्यान्वयन का अंदाज़ा हो गया है, तो आप SCIM या SSO को सक्षम करने के लिए संबंधित दस्तावेज़ का अनुसरण कर सकते हैं:

क्या यह लेख मददगार था?