Kérjük, tekintse át az „Egyszeri bejelentkezés áttekintése” oldalt, hogy megismerje a dokumentumban tárgyalt fő fogalmakat.
A domainek ellenőrzése előtt érdemes átgondolni néhány kérdést:
Hogyan szeretné biztosítani a meghívókat az új felhasználóknak?
Hogyan szeretné kezelni a meglévő egyéni (személyes/Plus/Pro) felhasználókat?
Milyen felhasználói bejelentkezési folyamatot szeretne?
Mindegyik kérdést részletesebben is megvizsgáljuk, hogy biztosan az igényeinek leginkább megfelelő lehetőséget válassza.
Új felhasználók meghívása
Jelenleg négy különböző módszert kínálunk a felhasználói meghívók biztosítására:
Érdemes megjegyezni, hogy megkülönböztetjük azokat az eseteket, amikor a meghívó e-maileket aktívan elküldjük, és azokat, amikor egy meghívó csendben társul egy felhasználó e-mail-címéhez a háttérrendszerünkben.
A meghívó e-maileket aktívan elküldjük, ha:
Egy új felhasználót először hívnak meg SCIM-en keresztül.
Egy felhasználót közvetlenül a ChatGPT-ből vagy az API Platformról hívnak meg.
A meghívók csendben társulnak, ha:
Egy SCIM-felhasználót eltávolítottak az IdP-csoportból, majd újra hozzáadtak.
Az automatikus fióklétrehozás érvényesül.
Az utóbbi esetben a felhasználók nem fogják látni a meghívókat a postaládájukban, de bejelentkezéskor továbbra is megfelelően a kapcsolódó munkaterületre/szervezethez irányítjuk őket.
SCIM
A SCIM a ChatGPT-ben és az API Platformon is elérhető. A SCIM lehetővé teszi az identitásszolgáltatók (pl. Okta, Entra ID stb.) számára, hogy felhasználói identitásadatokat cseréljenek az OpenAI-jal, és a szervezeti változások alapján automatizálják a meghívók biztosítását (valamint a felhasználói fiókok megszüntetését).
Bár a SCIM-et is az IdP-n keresztül kell konfigurálni, az egyszeri bejelentkezéstől függetlenül is beállítható. Ezért a domainellenőrzés és az egyszeri bejelentkezés nem előfeltétele a SCIM-nek.
Ha a SCIM és az egyszeri bejelentkezés használata mellett is dönt, a fontos különbség a következő:
A SCIM csak a meghívók biztosítását végzi
Az egyszeri bejelentkezés kezeli a hitelesítést és a felhasználólétrehozást
A SCIM-et tartjuk a legmegbízhatóbb és leginkább skálázható megoldásnak az átfogó felhasználókezeléshez. Az ideális megvalósítástól függően általában az alábbi architektúrát javasoljuk bevált gyakorlatként, ha a ChatGPT-ben és az API Platformon is bevezetést végez:
Ezzel a beállítással könnyedén, külön-külön kezelheti a meghívókat és a hozzáférést (a ChatGPT-hez és az API Platformhoz). Ennek a beállításnak további előnye, hogy a szükséges módosításokat az adminisztrációs csapatok központilag, közvetlenül az IdP-ben végezhetik el.
Ha több alkalmazásban valósítja meg a SCIM-et (azaz ChatGPT, API Platform vagy más fiókok esetében), a SCIM-alkalmazásoknak egyedinek kell lenniük. Még ha a célzott felhasználói kör azonos is, erősen ajánlott, hogy minden SCIM-megvalósítás egyedi alkalmazásra hivatkozzon az IdP-ben.
Ha nem teljesíti ezt a követelményt, az inkonzisztenciákhoz vezethet, amelyek végül érvénytelen tagságokat eredményeznek.
Közvetlen meghívók a ChatGPT-ből vagy az API Platformról
A rendszergazdák e-mailben közvetlenül meghívhatnak felhasználókat a megfelelő ChatGPT és Platform „Tagok” oldalakról. A ChatGPT-ben ez a módszer CSV-fájl feltöltésével tömeges meghívókat is támogat:
Bár ez általában nem skálázható, új munkaterület/szervezet indításakor gyakran javasoljuk a közvetlen meghívók használatát. A SCIM-mel ellentétben itt nincs lehetséges késés abban, hogy a meghívók megérkezzenek a felhasználók postaládájába, ezért ez a leghatékonyabb megoldás gyors hozzáférés biztosításához, jogosultságok módosításához és általános teszteléshez.
Emellett később bármikor engedélyezheti a SCIM-et, és a meglévő felhasználókat a SCIM-alkalmazás alá sorolhatja. Így nem kell attól tartani, hogy a közvetlenül meghívott felhasználók kimaradnak a későbbi automatizálásból, hacsak nem ez a cél.
Automatikus fióklétrehozás (AAC)
A többi lehetőséggel ellentétben az AAC csak a ChatGPT Identitás oldalán érhető el, és előfeltétele, hogy az egyszeri bejelentkezés előbb engedélyezve legyen:
Ahogy fent látható, az AAC garantálja, hogy az ellenőrzött e-mail-domainnel regisztráló vagy bejelentkező felhasználók automatikusan hozzáadódjanak az Enterprise munkaterületéhez. A felhasználók nem kapnak meghívó e-mailt, és a folyamat teljesen automatizált. Ennek vannak előnyei és hátrányai.
Ha az irányelve szerint minden, ellenőrzött domainnel rendelkező felhasználónak nyílt hozzáférést szeretne biztosítani, az AAC kiváló lehetőség, amellyel elkerülhető a SCIM-alkalmazás konfigurálásának és kezelésének többletmunkája.
Az AAC azonban nem ideális, ha szigorúbb, jóváhagyásalapú megközelítést igényel a felhasználói hozzáféréshez.
⚠️ FIGYELMEZTETÉS ⚠️
Fontos szem előtt tartani, hogy az AAC engedélyezése ténylegesen kényszerítve egyesíti a domainje alá tartozó összes egyéni (személyes/Plus/Pro) felhasználót az Enterprise munkaterületébe. Erről bővebben alább, a „Meglévő felhasználók kezelése” szakaszban olvashat.
Vegye figyelembe, hogy ebben a forgatókönyvben a felhasználók akkor is helyet foglalnak az Enterprise-fiókjában, ha nem tagjai az IdP hozzáférési csoportjának, és az egyszeri bejelentkezés kötelezővé tétele esetén nem tudnak sikeresen hozzáférni a munkaterülethez.
Ezért a legtöbb esetben általában a SCIM-et vagy a közvetlen meghívókat javasoljuk az AAC helyett. A félreértések lehetséges forrásainak elkerülése érdekében azt javasoljuk, hogy hagyja kikapcsolva az AAC-t, ha SCIM-et tervez használni.
API Platform rendszergazdai meghívók Endpoint
Az API Platform támogat egy meghívási Endpoint megoldást, amely lehetővé teszi, hogy programozottan hívjon meg felhasználókat az API-szervezetébe.
A SCIM-hez képest az endpoint fő előnye, hogy megadhatja, mely projektekhez tartozzon a meghívott felhasználó:
Ez további részletezettséget és kontrollt biztosít anélkül, hogy egyenkénti közvetlen meghívók manuális munkájára lenne szükség.
Meglévő egyéni felhasználók kezelése
Egyéni felhasználóknak a személyes, Plus vagy Pro előfizetéssel rendelkező felhasználókat tekintjük. Gyakori, hogy az ellenőrzött domainnel már meglévő egyéni felhasználók rendelkeznek, akiknek már az Enterprise-szerződés előtt is volt fiókjuk. Mivel a domain ellenőrzése és az egyszeri bejelentkezés engedélyezése további hatással lehet ezekre az egyéni felhasználókra, fontos előre meghatározni a kívánt eredményt.
Hatás a ChatGPT egyéni felhasználóira
A ChatGPT esetében az egyéni felhasználókra gyakorolt hatást nagyrészt két tényező határozza meg:
Meghívják őket az Enterprise munkaterületre?
Kötelezővé teszi az egyszeri bejelentkezést?
Az ebből következő viselkedés alább látható:
| Függőben lévő meghívó? | Kötelező egyszeri bejelentkezés? | Eredmény |
|---|---|---|
| Igen | Igen | Az egyéni felhasználói fiókok kényszerítve egyesülnek az Enterprise-ba, és csak egyszeri bejelentkezéssel lehet bejelentkezni. |
| Igen | Nem | Az egyéni felhasználói fiókok kényszerítve egyesülnek az Enterprise-ba, a felhasználók pedig egyszeri bejelentkezéssel vagy közösségi bejelentkezéssel hitelesíthetik magukat. |
| Nem | Igen | Nincs hatás: az egyéni felhasználók jelszavas vagy közösségi hitelesítéssel továbbra is hozzáférnek személyes munkaterületeikhez. |
| Nem | Nem | Nincs hatás: az egyéni felhasználók jelszavas vagy közösségi hitelesítéssel továbbra is hozzáférnek személyes munkaterületeikhez. |
Ha a célja végső soron az, hogy ne legyenek egyéni fiókok, kérjük, forduljon az Account Directorhoz a lehetséges opciók megbeszéléséhez.
Fiókegyesítés
Az egyéni fiók Enterprise-fiókba történő automatikus egyesítésének előfeltételei a következők:
A felhasználó domainje ellenőrizve van.
A felhasználó meghívót kapott arra az Enterprise munkaterületre, ahol a domainje ellenőrizve van.
Megjegyzés: Ha engedélyezte az AAC-t, ez a feltétel minden, ellenőrzött domainnel rendelkező felhasználó esetében mindig igaz lesz.
Ha ezek a feltételek teljesülnek, a felhasználónak a következő bejelentkezéskor vagy a ChatGPT frissítésekor az alábbi modális ablakot kell látnia:
Ahogy a kép is kiemeli, az egyesítés előtt automatikusan visszatérítjük a meglévő Plus vagy Pro előfizetéseket. A felhasználók választhatnak, hogy átviszik meglévő csevegési előzményeiket és GPT-jeiket, vagy e-mailben exportálják csevegési előzményeiket, és „tiszta lappal” kezdik el használni Enterprise munkaterületüket.
Miután az egyéni fiókot egyesítették, nincs mód a visszaállítására. Ha a felhasználói az „Meglévő csevegési előzmények és GPT-k átvitele” lehetőséget választották, de ez nem jelent meg az Enterprise munkaterületükön, kérjük, forduljanak az ügyfélszolgálathoz.
Hatás az API Platform egyéni felhasználóira
Mivel a Platformon az egyszeri bejelentkezés továbbra is domainalapú (szemben a ChatGPT-vel, ahol az egyszeri bejelentkezés ahhoz a munkaterülethez kötődik, ahol engedélyezték), az egyéni felhasználókat azonnal érinti, amint ellenőrzi a domaint, és bármely szervezetben engedélyezi az egyszeri bejelentkezést.
Az egyéni felhasználók elveszítik a jelszavas hitelesítés lehetőségét, mivel felismerjük a domainegyezést, és továbbítjuk őket az IdP-hez. Ha tagjai az IdP-nek, sikeresen hitelesíthetik magukat. Alternatívaként közösségi OAuth-bejelentkezési lehetőséggel is bejelentkezhetnek, ha ez elérhető számukra. Ha nem, akkor gyakorlatilag kizárta őket az egyéni fiókjaikból.
A munkafolyamat részletesebb útmutatójához tekintse meg a Felhasználói bejelentkezési folyamat szakaszt.
Ajánlott identitás- és biztosítási minták
Most, hogy áttekintettük az identitáshitelesítéshez és a meghívók biztosításához kapcsolódó alapvető működést, hasznos lehet megvizsgálni néhány gyakoribb megvalósítási mintát, amely az Enterprise-felhasználók számára elérhető:
Felhasználói bejelentkezési folyamat
Már tárgyaltuk a függőben lévő meghívók és az egyszeri bejelentkezés kötelezővé tételének hatását, ezért ez a szakasz azt segít szemléltetni, milyen várható folyamatot/ellenőrzéseket végzünk, amikor egy felhasználó bejelentkezéskor beírja az e-mail-címét.
ChatGPT bejelentkezési folyamat
Megjegyzés: Ez az ábra nem tartalmazza a közösségi bejelentkezési módszerrel vagy a Tile URL-en keresztül történő bejelentkezési kísérleteket.
API Platform bejelentkezési folyamat
Megjegyzés: Ez az ábra nem tartalmazza a közösségi bejelentkezési módszerrel vagy a Tile URL-en keresztül történő bejelentkezési kísérleteket.
Következő lépések
Most, hogy már van elképzelése az ideális megvalósításról, a megfelelő dokumentációt követve engedélyezheti a SCIM-et vagy az egyszeri bejelentkezést: