Pregledajte našu stranicu „Pregled SSO-a” kako biste se upoznali s ključnim pojmovima o kojima se govori u ovom dokumentu.
Prije potvrde svojih domena, važno je razmotriti nekoliko različitih pitanja:
Kako želite dodjeljivati pozivnice novim korisnicima?
Kako želite postupati s postojećim potrošačkim (osobnim/Plus/Pro) korisnicima?
Kako želite da izgleda tijek prijave korisnika?
Detaljnije ćemo pogledati svako od ovih pitanja kako bismo vam pomogli osigurati da odaberete opciju koja najbolje odgovara vašim potrebama.
Pozivanje novih korisnika
Trenutačno nudimo četiri različite metode za dodjelu pozivnica korisnicima:
Vrijedi napomenuti da razlikujemo slučajeve u kojima se e-poruke s pozivnicama aktivno šalju:
Novi korisnik prvi se put poziva putem SCIM-a
ILI izravnim pozivnicama iz aplikacije
I slučajeve u kojima se pozivnica tiho povezuje s korisnikovom e-adresom u našoj pozadini sustava:
SCIM korisnik uklonjen je iz vaše IdP grupe, a zatim ponovno dodan
Automatsko stvaranje računa
U potonjem slučaju korisnici neće vidjeti pozivnice u svojoj pristigloj pošti, ali će i dalje biti ispravno usmjereni na odgovarajući radni prostor/organizaciju kada se pokušaju prijaviti.
SCIM
SCIM je dostupan i u ChatGPT-u i na API platformi. SCIM omogućuje davateljima identiteta (npr. Okta, Entra ID itd.) razmjenu podataka o identitetu korisnika s OpenAI-jem, automatizirajući dodjelu pozivnica (i uklanjanje dodjele korisničkih računa) na temelju organizacijskih promjena.
Iako se SCIM također konfigurira putem vašeg IdP-a, može se postaviti neovisno o jedinstvenoj prijavi. Stoga potvrda domene/jedinstvena prijava nisu preduvjeti za SCIM.
Ako odlučite koristiti i SCIM i jedinstvenu prijavu, važno je razlikovati sljedeće:
SCIM dodjeljuje samo pozivnice
jedinstvena prijava upravlja autentifikacijom i stvaranjem korisnika
SCIM smatramo najrobusnijim i najskalabilnijim rješenjem za cjelokupno upravljanje korisnicima. Ovisno o vašoj idealnoj implementaciji, općenito preporučujemo sljedeću arhitekturu kao najbolju praksu ako uvodite rješenje i u ChatGPT-u i na API platformi:
S ovom postavkom možete jednostavno zasebno upravljati i pozivnicama i pristupom (ChatGPT-u i API platformi). Dodatna je prednost ove postavke to što vaše administracijske ekipe mogu sve potrebne promjene obavljati centralno izravno u vašem IdP-u.
Ako implementirate SCIM u više aplikacija (npr. ChatGPT naspram API platforme naspram drugih računa), vaše SCIM aplikacije trebaju biti jedinstvene. Čak i ako je ciljana baza korisnika identična, snažno se preporučuje da svaka SCIM implementacija upućuje na jedinstvenu aplikaciju u vašem IdP-u.
Ako ne ispunite ovaj zahtjev, to može dovesti do problema s nedosljednošću koji u konačnici rezultiraju nevažećim članstvima.
Izravne pozivnice iz ChatGPT-a ili API platforme
Administratori mogu izravno pozivati korisnike e-poštom s odgovarajućih stranica ChatGPT i Platforma „Članovi”. U ChatGPT-u ova metoda podržava i skupne pozivnice putem prenesene CSV datoteke:
Iako obično nije skalabilno, često preporučujemo korištenje izravnih pozivnica kada tek počinjete u novom radnom prostoru/organizaciji. Za razliku od SCIM-a, nema mogućeg kašnjenja u dolasku pozivnica u korisničke sandučiće pa je to najučinkovitija opcija za brzo omogućavanje pristupa, izmjenu dozvola i opće testiranje.
Osim toga, SCIM uvijek možete uključiti kasnije i svoje postojeće korisnike svrstati pod SCIM aplikaciju. Stoga nema bojazni da će izravno pozvani korisnici biti isključeni iz buduće automatizacije, osim ako to ne želite.
Automatsko stvaranje računa (AAC)
Za razliku od drugih opcija, AAC je dostupan samo na stranici Identitet u ChatGPT-u i zahtijeva da je jedinstvena prijava prethodno omogućena:
Kao što je gore prikazano, AAC jamči da će korisnici koji se registriraju ili prijavljuju s potvrđenom domenom e-pošte automatski biti dodani u vaš Enterprise radni prostor. Korisnici neće primiti e-poruku s pozivnicom, a postupak je potpuno automatiziran. To ima svoje prednosti i nedostatke.
Ako je vaša politika omogućiti otvoreni pristup svakom korisniku s vašom potvrđenom domenom, AAC je odlična opcija koja izbjegava dodatno opterećenje konfiguriranja i upravljanja SCIM aplikacijom.
Međutim, AAC nije idealan ako trebate strože kontroliran pristup korisnika koji se temelji na odobrenju.
⚠️ UPOZORENJE ⚠️
Važno je imati na umu da će omogućavanje AAC-a praktično prisilno spojiti sve potrošačke (osobne/Plus/Pro) korisnike pod vašom domenom u vaš Enterprise radni prostor. Više o tome možete pronaći niže u odjeljku „Postupanje s postojećim korisnicima”.
Imajte na umu da, čak i ako korisnici nisu članovi vaše IdP pristupne grupe i ne mogu uspješno pristupiti radnom prostoru ako je jedinstvena prijava prisilno uključena, u ovom scenariju oni i dalje zauzimaju mjesto na vašem Enterprise računu.
Iz tog razloga u većini slučajeva općenito preporučujemo SCIM ili izravne pozivnice umjesto AAC-a. A kako bismo pomogli izbjeći moguće zabune, preporučujemo da AAC ostavite isključenim ako planirate koristiti SCIM.
Krajnja točka za administratorske pozivnice API platforme
Naša API platforma podržava krajnju točku Invites, koja vam omogućuje da programski pozivate korisnike u svoju API organizaciju.
U usporedbi sa SCIM-om, glavna prednost krajnje točke jest to što vam omogućuje da odredite projekt(e) kojima bi pozvani korisnik trebao pripadati:
To pruža dodatnu razinu granularnosti i kontrole, bez potrebe za ručnim radom pojedinačnih izravnih pozivnica.
Postupanje s postojećim potrošačkim korisnicima
Potrošačkim korisnicima smatramo one koji imaju osobnu, Plus ili Pro pretplatu. Često postoje postojeći potrošački korisnici s vašom potvrđenom domenom koji su imali račune prije vašeg Enterprise ugovora. Budući da potvrda domene i omogućavanje jedinstvene prijave mogu naknadno utjecati na te potrošačke korisnike, važno je unaprijed odrediti željeni ishod.
Utjecaj na ChatGPT potrošačke korisnike
Na strani ChatGPT-a utjecaj na potrošače uglavnom određuju dva čimbenika:
Hoće li biti pozvani u Enterprise radni prostor?
Ako je AAC omogućen, tada je to prema zadanim postavkama „Da”
Hoćete li primjenjivati jedinstvenu prijavu?
Dobiveno ponašanje možete vidjeti u nastavku:
| Pozivnica na čekanju? | Jedinstvena prijava prisilno uključena? | Rezultat |
| ✅ | ✅ | Potrošački korisnički računi bit će prisilno spojeni u Enterprise i prijava će biti moguća samo putem jedinstvene prijave |
| ✅ | ❌ | Potrošački korisnički računi bit će prisilno spojeni u Enterprise, korisnici se mogu autentificirati putem jedinstvene prijave ili društvene prijave |
| ❌ | ✅ | Nema utjecaja: potrošački korisnici zadržavaju pristup svojim osobnim radnim prostorima putem lozinke ili društvene prijave |
| ❌ | ❌ | Nema utjecaja: potrošački korisnici zadržavaju pristup svojim osobnim radnim prostorima putem lozinke ili društvene prijave |
Ako vam je cilj u konačnici spriječiti sve potrošačke račune, obratite se svojem Account Directoru kako biste razgovarali o mogućim opcijama.
Spajanje računa
Preduvjeti za pokretanje automatskog spajanja potrošačkog računa u Enterprise račun su sljedeći:
Korisnikova je domena potvrđena
Korisnik je primio pozivnicu za Enterprise radni prostor u kojem je njegova domena potvrđena
⚠️ Imajte na umu da će, ako ste omogućili AAC, ovaj uvjet uvijek biti istinit za svakog korisnika s vašom potvrđenom domenom.
Kada su ti uvjeti ispunjeni, sljedeći put kada se korisnik prijavi u ChatGPT ili ga osvježi, trebao bi vidjeti sljedeći modalni prozor:
Kao što slika ističe, automatski ćemo vratiti novac za sve postojeće Plus ili Pro pretplate prije spajanja. Korisnici će imati mogućnost prenijeti svoju postojeću povijest razgovora i GPT-ove ili izvesti povijest razgovora putem e-pošte i započeti svoj Enterprise radni prostor kao „čistu ploču”.
Nakon što se potrošački račun spoji, ne postoji način da se vrati. Ako su vaši korisnici odabrali opciju „Prenesi postojeću povijest razgovora i GPT-ove”, ali to nisu vidjeli u svom Enterprise radnom prostoru, obratite se Podršci.
Utjecaj na potrošačke korisnike API platforme
Budući da je jedinstvena prijava na Platformi i dalje vezana uz domenu (za razliku od ChatGPT-a, gdje je jedinstvena prijava specifična za radni prostor u kojem je omogućena), vaši će potrošački korisnici biti pogođeni čim potvrdite svoju domenu i omogućite jedinstvenu prijavu u bilo kojoj organizaciji.
Potrošački korisnici izgubit će mogućnost autentifikacije lozinkama jer prepoznajemo podudaranje domene i prosljeđujemo ih vašem IdP-u. Ako su članovi vašeg IdP-a, mogu se uspješno autentificirati. Alternativno, mogu se prijaviti putem opcije Social Oauth ako im je dostupna. Ako nije, tada ste ih učinkovito zaključali iz njihovih potrošačkih računa.
Pogledajte tijekove u odjeljku Prijava korisnika za detaljniji vodič kroz taj tijek rada.
Preporučeni obrasci identiteta i dodjele
Sada kada smo izložili temeljno ponašanje povezano s našom autentifikacijom identiteta i dodjelom pozivnica, moglo bi biti korisno pregledati neke od češćih obrazaca implementacije dostupnih Enterprise korisnicima:
Tijek prijave korisnika
Već smo raspravili utjecaj pozivnica na čekanju i primjene jedinstvene prijave, pa je ovaj odjeljak namijenjen tome da vam pomogne vizualizirati očekivani tijek/provjere koje obavljamo kada korisnik upiše svoju e-adresu za prijavu.
Tijek prijave u ChatGPT
Napomena: Ovaj dijagram isključuje pokušaje prijave putem društvene metode ili putem URL-a pločice.
Tijek prijave na API platformu
Napomena: Ovaj dijagram isključuje pokušaje prijave putem društvene metode ili putem URL-a pločice.
Sljedeći koraci
Sada kada imate predodžbu o svojoj idealnoj implementaciji, možete slijediti odgovarajuću dokumentaciju kako biste omogućili SCIM ili jedinstvenu prijavu: