OpenAI
Ova je stranica strojno prevedena. Pogledajte izvorni članak na engleskom jeziku.

Razumijevanje idealnog načina upravljanja korisnicima

Ovaj dokument administratorima pomaže u implementaciji jedinstvene prijave, a po potrebi i SCIM-a, na način koji najbolje odgovara njihovu slučaju upotrebe.

Ažurirano: 9 days ago

Pregledajte našu stranicu „Pregled jedinstvene prijave” kako biste se upoznali s ključnim pojmovima o kojima se govori u ovom dokumentu.

Prije provjere domena važno je razmotriti nekoliko pitanja:

  • Kako želite dodjeljivati pozivnice novim korisnicima?

  • Kako želite postupati s postojećim korisnicima potrošačkih računa (osobnih/Plus/Pro)?

  • Kako želite da izgleda tijek prijave korisnika?

Detaljnije ćemo razmotriti svako od tih pitanja kako bismo vam pomogli da odaberete opciju koja najbolje odgovara vašim potrebama.

Pozivanje novih korisnika

Trenutačno nudimo četiri različita načina dodjele pozivnica korisnicima:

  1. Sustav za upravljanje identitetima među domenama (SCIM)

  2. Izravne pozivnice iz ChatGPT-a ili API Platforme

  3. Samo ChatGPT: automatsko stvaranje računa (AAC)

  4. Samo Platforma: Endpoint za administratorske pozivnice na API Platformi

Vrijedi napomenuti da razlikujemo slučajeve u kojima se poruke e-pošte s pozivnicama aktivno šalju od slučajeva u kojima se pozivnica tiho povezuje s korisnikovom adresom e-pošte u našoj pozadini.

Poruke e-pošte s pozivnicama aktivno se šalju kada:

  • Novi korisnik prvi je put pozvan putem SCIM-a.

  • Korisnik je izravno pozvan iz ChatGPT-a ili API Platforme.

Pozivnice se tiho povezuju kada:

  • Korisnik SCIM-a uklonjen je iz vaše IdP grupe, a zatim ponovno dodan.

  • Primjenjuje se automatsko stvaranje računa.

U potonjem slučaju korisnici neće vidjeti pozivnice u svojem pretincu, ali će i dalje biti pravilno usmjereni na odgovarajući radni prostor/organizaciju kada se pokušaju prijaviti.

SCIM

SCIM je dostupan i u ChatGPT-u i na API Platformi. SCIM omogućuje pružateljima identiteta (npr. Okta, Entra ID itd.) razmjenu podataka o identitetu korisnika s OpenAI-jem, čime se automatizira dodjela pozivnica (i ukidanje dodjele korisničkih računa) na temelju organizacijskih promjena.

Iako se SCIM također konfigurira putem vašeg IdP-a, može se postaviti neovisno o jedinstvenoj prijavi. Stoga provjera domene i jedinstvena prijava nisu preduvjeti za SCIM.

Ako odlučite upotrebljavati i SCIM i jedinstvenu prijavu, važno je razlikovati sljedeće:

  • SCIM samo dodjeljuje pozivnice

  • Jedinstvena prijava obrađuje autentikaciju i stvaranje korisnika

SCIM smatramo najrobusnijim i najskalabilnijim rješenjem za cjelokupno upravljanje korisnicima. Ovisno o vašoj idealnoj implementaciji, općenito preporučujemo sljedeću arhitekturu kao najbolju praksu ako implementirate i ChatGPT i API Platformu:

IdP setup diagram comparing one shared SAML app versus separate SCIM apps for ChatGPT and API Platform users

S ovom postavkom možete jednostavno zasebno upravljati i pozivnicama i pristupom (ChatGPT-u i API Platformi). Dodatna je prednost ove postavke to što vaše administracijske ekipe sve potrebne promjene mogu provoditi centralno, izravno u vašem IdP-u.

Ako SCIM implementirate u više aplikacija (npr. ChatGPT, API Platforma ili drugi računi), vaše SCIM aplikacije trebale bi biti jedinstvene. Čak i ako je ciljana korisnička baza identična, preporučujemo da svaka implementacija SCIM-a upućuje na jedinstvenu aplikaciju u vašem IdP-u.

Ako ne ispunite taj zahtjev, mogu se pojaviti nedosljednosti koje u konačnici dovode do nevažećih članstava.

Izravne pozivnice iz ChatGPT-a ili API Platforme

Administratori mogu izravno pozivati korisnike e-poštom s odgovarajućih stranica ChatGPT i Platform „Članovi”. U ChatGPT-u ova metoda podržava i skupno slanje pozivnica putem učitanog CSV-a:

Workspace invite modal with CSV upload, email entry, and Resend emails for existing invites selected

Iako obično nije skalabilno, često preporučujemo upotrebu izravnih pozivnica kada tek započinjete s novim radnim prostorom/organizacijom. Za razliku od SCIM-a, nema mogućeg kašnjenja u isporuci pozivnica u korisničke pretince, pa je to najučinkovitija opcija za brz pristup, izmjenu dozvola i općenito testiranje.

Osim toga, SCIM uvijek možete omogućiti naknadno i postojeće korisnike staviti pod SCIM aplikaciju. Stoga nema razloga za brigu da bi izravno pozvani korisnici bili isključeni iz buduće automatizacije, osim ako to ne želite.

Automatsko stvaranje računa (AAC)

Za razliku od drugih opcija, AAC je dostupan samo na stranici Identitet u ChatGPT-u i zahtijeva da jedinstvena prijava najprije bude omogućena:

Automatic account creation setting for verified-domain users turned off

Kao što je prikazano gore, AAC jamči da će korisnici koji se registriraju ili prijavljuju s potvrđenom domenom e-pošte automatski biti dodani u vaš radni prostor Enterprise. Korisnici neće primiti poruku e-pošte s pozivnicom, a postupak je u potpunosti automatiziran. To ima svoje prednosti i nedostatke.

Ako je vaša pravila dopustiti otvoren pristup svakom korisniku s vašom potvrđenom domenom, AAC je odlična opcija koja izbjegava dodatni rad oko konfiguriranja i upravljanja SCIM aplikacijom.

Međutim, AAC nije idealan ako vam je potreban strože ograničen pristup korisnika koji se temelji na odobrenju.

⚠️ UPOZORENJE ⚠️

Važno je imati na umu da će omogućavanje AAC-a zapravo prisilno spojiti sve korisnike potrošačkih računa (osobnih/Plus/Pro) pod vašom domenom u vaš radni prostor Enterprise. Više o tome možete pronaći u nastavku, u odjeljku „Postupanje s postojećim korisnicima”.

Imajte na umu da, čak i ako korisnici nisu članovi pristupne grupe vašeg IdP-a i ne mogu uspješno pristupiti radnom prostoru kada je jedinstvena prijava obvezna, u ovom scenariju i dalje zauzimaju mjesto na vašem Enterprise računu.

Zbog toga u većini slučajeva općenito preporučujemo SCIM ili izravne pozivnice umjesto AAC-a. A kako biste izbjegli moguće nedoumice, preporučujemo da AAC ostavite isključenim ako planirate upotrebljavati SCIM.

Endpoint za administratorske pozivnice na API Platformi

Naša API Platforma podržava Invites Endpoint, koji vam omogućuje programsko pozivanje korisnika u vašu API organizaciju.

U usporedbi sa SCIM-om, glavna je prednost endpointa to što vam omogućuje da navedete projekte kojima bi pozvani korisnik trebao pripadati:

Image

Time dobivate dodatnu razinu granularnosti i kontrole, bez potrebe za ručnim radom pojedinačnih izravnih pozivnica.

Postupanje s postojećim korisnicima potrošačkih računa

Korisnicima potrošačkih računa smatramo one koji imaju osobnu, Plus ili Pro pretplatu. Često postoje korisnici potrošačkih računa s vašom potvrđenom domenom koji su imali račune i prije vašeg Enterprise ugovora. Budući da provjera domene i omogućavanje jedinstvene prijave mogu imati posljedičan utjecaj na te korisnike potrošačkih računa, važno je unaprijed odrediti željeni ishod.

Utjecaj na korisnike potrošačkih računa za ChatGPT

Na strani ChatGPT-a utjecaj na potrošače uglavnom određuju dva čimbenika:

  1. Hoće li biti pozvani u radni prostor Enterprise?

  2. Hoćete li zahtijevati jedinstvenu prijavu?

Rezultat takvog ponašanja prikazan je u nastavku:

Pozivnica na čekanju?Jedinstvena prijava obvezna?Rezultat
DaDaRačuni korisnika potrošačkih računa bit će prisilno spojeni s Enterpriseom, a prijava je moguća samo putem jedinstvene prijave.
DaNeRačuni korisnika potrošačkih računa bit će prisilno spojeni s Enterpriseom, a korisnici se mogu autentificirati putem jedinstvene prijave ili društvene prijave.
NeDaNema utjecaja: korisnici potrošačkih računa zadržavaju pristup svojim osobnim radnim prostorima putem lozinke ili društvene autentikacije.
NeNeNema utjecaja: korisnici potrošačkih računa zadržavaju pristup svojim osobnim radnim prostorima putem lozinke ili društvene autentikacije.

Ako vam je cilj u konačnici spriječiti postojanje potrošačkih računa, obratite se svojem direktoru za korisnički račun kako biste razgovarali o mogućim opcijama.

Spajanje računa

Preduvjeti za pokretanje automatskog spajanja osobnog računa s Enterprise računom su sljedeći:

  1. Domena korisnika je potvrđena.

  2. Korisnik je primio pozivnicu za radni prostor Enterprise u kojem je njegova domena potvrđena.

    • Napomena: ako ste omogućili AAC, ovaj će uvjet uvijek biti ispunjen za svakog korisnika s vašom potvrđenom domenom.

Kad su ti uvjeti ispunjeni, sljedeći put kada se korisnik prijavi u ChatGPT ili ga osvježi, trebao bi vidjeti sljedeći modalni prozor:

ChatGPT Enterprise invite flow with options to transfer chat history and GPTs or export and delete the old workspace

Kao što je istaknuto na slici, automatski ćemo izvršiti povrat za sve postojeće pretplate Plus ili Pro prije spajanja. Korisnici će moći prenijeti postojeću povijest razgovora i GPT-ove ili izvesti povijest razgovora putem e-pošte i započeti rad u radnom prostoru Enterprise „od nule”.

  • Napomena: ako je u odredišnom radnom prostoru Enterprise ili Edu omogućena rezidentnost podataka, podaci iz osobnog radnog prostora ne mogu se prenijeti. Korisnici mogu samo izvesti svoje razgovore i izbrisati osobni radni prostor. Za pojedinosti pogledajte Pozivnice e-poštom i migracije računa.

Nakon što se osobni račun spoji, nije ga moguće vratiti. Ako su vaši korisnici odabrali opciju „Prenesi postojeću povijest razgovora i GPT-ove”, ali to nisu vidjeli u svojem radnom prostoru Enterprise, obratite se podršci.

Utjecaj na korisnike potrošačkih računa na API Platformi

Budući da se jedinstvena prijava na Platformi i dalje temelji na domeni (za razliku od ChatGPT-a, gdje je jedinstvena prijava vezana uz radni prostor u kojem je omogućena), vaši korisnici potrošačkih računa bit će pogođeni čim potvrdite domenu i omogućite jedinstvenu prijavu u bilo kojoj organizaciji.

Korisnici potrošačkih računa izgubit će mogućnost autentikacije lozinkama jer ćemo prepoznati podudaranje domene i proslijediti ih vašem IdP-u. Ako su članovi vašeg IdP-a, mogu se uspješno autentificirati. Alternativno, mogu se prijaviti opcijom društvenog otvorenog ovlaštenja ako im je dostupna. Ako nisu, zapravo ste im onemogućili pristup njihovim potrošačkim računima.

Detaljnije upute za ovaj tijek rada potražite u odjeljku Tijek prijave korisnika.

Preporučeni obrasci za identitet i dodjelu pristupa

Sada kada smo izložili osnovno ponašanje povezano s autentikacijom identiteta i dodjelom pozivnica, može biti korisno pregledati neke od češćih obrazaca implementacije dostupnih korisnicima Enterprisea:

Comparison table of four Enterprise user management setups by provisioning, authentication, and user experience

Tijek prijave korisnika

Već smo govorili o utjecaju pozivnica na čekanju i obvezne jedinstvene prijave, pa je cilj ovog odjeljka pomoći u vizualizaciji očekivanog tijeka/provjera koje provodimo kada korisnik unese svoju adresu e-pošte za prijavu.

Tijek prijave u ChatGPT

Napomena: ovaj dijagram ne uključuje pokušaje prijave društvenom metodom ni putem URL-a pločice.

Flowchart of ChatGPT login paths for personal accounts, password sign-in, workspace picker, and SSO redirection

Tijek prijave na API Platformu

Napomena: ovaj dijagram ne uključuje pokušaje prijave društvenom metodom ni putem URL-a pločice.

Flowchart for platform login and SSO outcomes based on verified domain and IdP access group membership

Sljedeći koraci

Sada kada imate predodžbu o idealnoj implementaciji, možete slijediti odgovarajuću dokumentaciju kako biste omogućili SCIM ili jedinstvenu prijavu:

Je li vam ovaj članak bio koristan?