OpenAI
Ez az oldal gépi fordítással készült. Tekintsd meg az eredeti angol nyelvű cikket.

Az ideális felhasználókezelési beállítás megértése

Ez a dokumentum azt segíti, hogy a rendszergazdák az egyszeri bejelentkezést és esetleg a SCIM-et a használati esetüknek legmegfelelőbb módon vezessék be.

Frissítve: 13 days ago

Kérjük, tekintse át az „SSO áttekintése” oldalunkat, hogy megismerkedjen a dokumentumban tárgyalt kulcsfogalmakkal.

A domainek ellenőrzése előtt fontos átgondolni néhány kérdést:

  • Hogyan szeretné új felhasználók meghívását kiosztani?

  • Hogyan szeretné kezelni a meglévő fogyasztói (személyes/Plus/Pro) felhasználókat?

  • Milyennek szeretné a felhasználói bejelentkezési folyamatot?

Az alábbiakban mindegyik kérdést részletesebben megvizsgáljuk, hogy segítsünk az igényeinek leginkább megfelelő lehetőség kiválasztásában.

Új felhasználók meghívása

Jelenleg négy különböző módszert kínálunk a felhasználói meghívások kiosztására:

  1. System for Cross-domain Identity Management (SCIM)

  2. Közvetlen, alkalmazáson belüli meghívások

  3. [Csak ChatGPT] Automatikus fióklétrehozás (AAC)

  4. [Csak Platform] API-végpont

Érdemes megjegyezni, hogy különbséget teszünk azon esetek között, amikor a meghívó e-mailek ténylegesen elküldésre kerülnek:

  • Egy új felhasználót először hívnak meg SCIM-en keresztül

  • VAGY közvetlen, alkalmazáson belüli meghívásokkal

És azon esetek között, amikor egy meghívás csendben társításra kerül a felhasználó e-mail-címéhez a háttérrendszerünkben:

  • Egy SCIM-felhasználót eltávolítottak az IdP-csoportjából, majd újra hozzáadták

  • Automatikus fióklétrehozás

Ez utóbbi esetben a felhasználók nem látják a meghívásokat a bejövő üzeneteik között, de bejelentkezéskor továbbra is megfelelően a megfelelő munkaterületre/szervezethez lesznek irányítva.

SCIM

A SCIM a ChatGPT-ben és az API Platformon is elérhető. A SCIM lehetővé teszi, hogy az identitásszolgáltatók (pl. Okta, Entra ID stb.) felhasználói identitásadatokat cseréljenek az OpenAI-jal, automatizálva a meghívások kiosztását (és a felhasználói fiókok megszüntetését) a szervezeti változások alapján.

Bár a SCIM szintén az Ön IdP-jén keresztül konfigurálható, az egyszeri bejelentkezéstől függetlenül is beállítható. Ezért a domainhitelesítés/SSO nem feltétele a SCIM-nek.

Ha úgy dönt, hogy a SCIM-et és az SSO-t is használja, a fontos különbség a következő:

  • A SCIM csak a meghívásokat biztosítja

  • Az SSO kezeli a hitelesítést és a felhasználók létrehozását

A SCIM-et összességében a legstabilabb és legjobban skálázható megoldásnak tartjuk a felhasználókezeléshez. Az ideális megvalósítástól függően, ha egyszerre vezeti be a ChatGPT-ben és az API Platformon, általában az alábbi architektúrát javasoljuk bevált gyakorlatként:

IdP setup diagram comparing one shared SAML app versus separate SCIM apps for ChatGPT and API Platform users

Ezzel a beállítással könnyedén külön kezelheti mind a meghívásokat, mind a hozzáférést (a ChatGPT-hez és az API Platformhoz). Ennek a beállításnak további előnye, hogy minden szükséges módosítást központilag, közvetlenül az IdP-ben végezhetnek el az adminisztrációs csapatok.

Ha több alkalmazásban vezet be SCIM-et (pl. ChatGPT, API Platform vagy más fiókok), a SCIM-alkalmazásoknak egyedieknek kell lenniük. Még ha a célzott felhasználói kör azonos is, erősen ajánlott, hogy minden SCIM-megvalósítás egy egyedi alkalmazásra hivatkozzon az Ön IdP-jében.

Ha ez a követelmény nem teljesül, az inkonzisztenciákhoz vezethet, amelyek végül érvénytelen tagságokat eredményeznek.

Közvetlen meghívások a ChatGPT-ből vagy az API Platformról

A rendszergazdák közvetlenül e-mailben hívhatnak meg felhasználókat a megfelelő ChatGPT és Platform „Tagok” oldalairól. A ChatGPT-ben ez a módszer a feltöltött CSV-n keresztüli tömeges meghívást is támogatja:

Workspace invite modal with CSV upload, email entry, and Resend emails for existing invites selected

Bár jellemzően nem skálázható, gyakran javasoljuk a közvetlen meghívások használatát, amikor új munkaterületen/szervezetben indul el. A SCIM-mel ellentétben itt nincs lehetséges késedelem abban, hogy a meghívások eljussanak a felhasználók postafiókjába, ezért ez a leghatékonyabb megoldás gyors hozzáférés biztosítására, jogosultságok módosítására és általános tesztelésre.

Ezenkívül később bármikor engedélyezheti a SCIM-et, és a meglévő felhasználóit a SCIM-alkalmazás alá rendezheti. Így nem kell attól tartania, hogy a közvetlenül meghívott felhasználók kimaradnak a jövőbeli automatizálásból, hacsak ezt nem szeretné.

Automatikus fióklétrehozás (AAC)

A többi lehetőséggel ellentétben az AAC csak a ChatGPT Identity oldalán érhető el, és előfeltétele, hogy az egyszeri bejelentkezés már engedélyezve legyen:

Automatic account creation setting for verified-domain users turned off

Ahogy fent látható, az AAC biztosítja, hogy a hitelesített e-mail-doménnel regisztráló vagy bejelentkező felhasználók automatikusan hozzáadódjanak az Ön Enterprise munkaterületéhez. A felhasználók nem kapnak meghívó e-mailt, és a folyamat teljesen automatizált. Ennek vannak előnyei és hátrányai.

Ha az a szabályzata, hogy bármely, hitelesített domainjével rendelkező felhasználó nyitott hozzáférést kapjon, az AAC kiváló lehetőség, amely elkerüli a SCIM-alkalmazás konfigurálásának és kezelésének többletterhét.

Az AAC azonban nem ideális, ha a felhasználói hozzáféréshez szigorúbban korlátozott, jóváhagyásalapú megközelítésre van szüksége.

⚠️ FIGYELMEZTETÉS ⚠️

Fontos szem előtt tartani, hogy az AAC engedélyezése gyakorlatilag kikényszeríti a domainje alá tartozó összes fogyasztói (személyes/Plus/Pro) felhasználó összevonását az Enterprise munkaterületére. Erről bővebben alább, a „Meglévő felhasználók kezelése” szakaszban olvashat.

Vegye figyelembe, hogy ebben a helyzetben még akkor is foglalnak helyet az Enterprise-fiókjában, ha a felhasználók nem tagjai az IdP-hozzáférési csoportnak, és az SSO kikényszerítése esetén nem tudnak sikeresen hozzáférni a munkaterülethez.

Ezért általában a legtöbb esetben a SCIM-et vagy a közvetlen meghívásokat javasoljuk az AAC helyett. A félreértések lehetséges forrásainak elkerülése érdekében pedig azt javasoljuk, hogy hagyja kikapcsolva az AAC-t, ha SCIM-et tervez használni.

API Platform adminisztrátori meghívási végpont

Az API Platform támogat egy Invites Endpoint végpontot, amely lehetővé teszi, hogy programozott módon hívjon meg felhasználókat az API-szervezetébe.

A SCIM-hez képest a végpont legfőbb előnye, hogy megadhatja, mely projektekhez tartozzon a meghívott felhasználó:

Image

Ez további részletezettséget és kontrollt biztosít anélkül, hogy egyedi közvetlen meghívások manuális munkájára lenne szükség.

Meglévő fogyasztói felhasználók kezelése

Fogyasztói felhasználóknak azokat nevezzük, akik személyes, Plus vagy Pro előfizetéssel rendelkeznek. Gyakori, hogy a hitelesített domainjén már vannak meglévő fogyasztói felhasználók, akik még az Enterprise-szerződése előtt rendelkeztek fiókkal. Mivel a domain hitelesítése és az egyszeri bejelentkezés engedélyezése tovagyűrűző hatással lehet ezekre a fogyasztói felhasználókra, fontos előre meghatározni a kívánt eredményt.

Hatás a ChatGPT fogyasztói felhasználóira

A ChatGPT oldalán a fogyasztókra gyakorolt hatást nagyrészt két tényező határozza meg:

  1. Kapnak-e meghívást az Enterprise munkaterületre?

    1. Ha az AAC engedélyezve van, akkor ez alapértelmezetten „Igen”

  2. Kötelezővé teszi-e az egyszeri bejelentkezést?

Az ebből eredő működés alább látható:

Függőben lévő meghívás?SSO kötelező?Eredmény
A fogyasztói felhasználói fiókok kényszerítve lesznek az Enterprise-ba történő összevonásra, és csak SSO-val tudnak bejelentkezni
A fogyasztói felhasználói fiókok kényszerítve lesznek az Enterprise-ba történő összevonásra, a felhasználók SSO-val vagy közösségi hitelesítéssel tudnak belépni
Nincs hatás: a fogyasztói felhasználók jelszavas vagy közösségi hitelesítéssel megőrzik hozzáférésüket személyes munkaterületeikhez
Nincs hatás: a fogyasztói felhasználók jelszavas vagy közösségi hitelesítéssel megőrzik hozzáférésüket személyes munkaterületeikhez

Ha az a célja, hogy végső soron megakadályozza bármilyen fogyasztói fiók meglétét, kérjük, vegye fel a kapcsolatot az Account Directorével a lehetséges opciók megbeszéléséhez.

Fiókösszevonás

A fogyasztói fiók Enterprise-fiókba történő automatikus összevonásának előfeltételei a következők:

  1. A felhasználó domainje hitelesítve van

  2. A felhasználó meghívást kapott arra az Enterprise munkaterületre, ahol a domainje hitelesítve van

    1. ⚠️ Ne feledje, hogy ha engedélyezte az AAC-t, akkor ez a feltétel mindig igaz lesz minden olyan felhasználóra, aki az Ön hitelesített domainjével rendelkezik.

Ha ezek a feltételek teljesülnek, akkor a felhasználónak a következő alkalommal, amikor bejelentkezik a ChatGPT-be vagy frissíti azt, a következő modális ablakot kell látnia:

ChatGPT Enterprise invite flow with options to transfer chat history and GPTs or export and delete the old workspace

Ahogy a kép kiemeli, az összevonás előtt automatikusan visszatérítjük a meglévő Plus vagy Pro előfizetéseket. A felhasználók dönthetnek úgy, hogy áthelyezik meglévő csevegési előzményeiket és GPT-jeiket, vagy e-mailben exportálják a csevegési előzményeiket, és „tiszta lappal” indítják el Enterprise munkaterületüket.

Miután a fogyasztói fiók összevonásra került, azt már nem lehet visszaállítani. Ha a felhasználói a „Meglévő csevegési előzmények és GPT-k átvitele” lehetőséget választották, de ezt nem látják viszont az Enterprise munkaterületükön, kérjük, forduljanak az ügyfélszolgálathoz.

Hatás az API Platform fogyasztói felhasználóira

Mivel a Platformon az egyszeri bejelentkezés továbbra is domainalapú (szemben a ChatGPT-vel, ahol az egyszeri bejelentkezés ahhoz a munkaterülethez kötődik, ahol engedélyezték), a fogyasztói felhasználóit azonnal érinti, amint hitelesíti a domainjét és bármely szervezetnél engedélyezi az egyszeri bejelentkezést.

A fogyasztói felhasználók elveszítik a jelszavas hitelesítés lehetőségét, mivel felismerjük a domain egyezését, és az IdP-jéhez irányítjuk őket. Ha tagjai az Ön IdP-jének, sikeresen hitelesíthetik magukat. Alternatívaként közösségi OAuth-bejelentkezési lehetőséget is használhatnak, ha az számukra elérhető. Ha nem, akkor gyakorlatilag kizárta őket a fogyasztói fiókjaikból.

A munkafolyamat részletesebb ismertetéséhez tekintse meg a Felhasználói bejelentkezés szakasz folyamatait.

Ajánlott identitás- és kiépítési minták

Most, hogy bemutattuk az identitáshitelesítésünkhöz és a meghívások kiosztásához kapcsolódó alapvető működést, hasznos lehet áttekinteni az Enterprise-felhasználók számára elérhető gyakoribb megvalósítási minták némelyikét:

Comparison table of four Enterprise user management setups by provisioning, authentication, and user experience

Felhasználói bejelentkezési folyamat

Már tárgyaltuk a függőben lévő meghívások és az SSO kikényszerítésének hatását, ezért ez a szakasz azt hivatott szemléltetni, milyen folyamatra/ellenőrzésekre számíthat, amikor egy felhasználó beírja az e-mail-címét a bejelentkezéshez.

ChatGPT bejelentkezési folyamat

Megjegyzés: ez az ábra nem tartalmazza a közösségi módszerrel vagy a Tile URL-en keresztüli bejelentkezési kísérleteket.

Flowchart of ChatGPT login paths for personal accounts, password sign-in, workspace picker, and SSO redirection

API Platform bejelentkezési folyamat

Megjegyzés: ez az ábra nem tartalmazza a közösségi módszerrel vagy a Tile URL-en keresztüli bejelentkezési kísérleteket.

Flowchart for platform login and SSO outcomes based on verified domain and IdP access group membership

Következő lépések

Most, hogy már van elképzelése az ideális megvalósításról, a megfelelő dokumentáció alapján engedélyezheti a SCIM-et vagy az SSO-t:

Hasznos volt ez a cikk?