OpenAI

Memahami Pengaturan Manajemen Pengguna Ideal Anda

Dokumen ini dimaksudkan untuk membantu admin menerapkan SSO, dan mungkin SCIM, dengan cara yang paling sesuai dengan contoh penggunaan mereka.

Diperbarui: 2 days ago

Harap tinjau halaman "Ringkasan SSO" kami agar Anda akrab dengan konsep-konsep utama yang dibahas dalam dokumen ini.

Sebelum memverifikasi domain Anda, penting untuk mempertimbangkan beberapa pertanyaan yang berbeda:

  • Bagaimana Anda ingin melakukan penyediaan undangan untuk pengguna baru?

  • Bagaimana Anda ingin menangani pengguna konsumen (pribadi/Plus/Pro) yang sudah ada?

  • Seperti apa Anda ingin alur login pengguna Anda terlihat?

Kami akan membahas setiap pertanyaan ini secara lebih mendetail guna membantu memastikan Anda memilih opsi yang paling sesuai dengan kebutuhan Anda.

Mengundang Pengguna Baru

Saat ini kami menawarkan empat metode berbeda untuk menyediakan undangan kepada pengguna:

  1. Sistem Manajemen Identitas Lintas Domain (SCIM)

  2. Undangan Langsung dari dalam aplikasi

  3. [Khusus ChatGPT] Pembuatan Akun Otomatis (AAC)

  4. [Khusus Platform] Endpoint API

Perlu dicatat bahwa kami memang membedakan antara berbagai kasus ketika email undangan dikirim secara aktif:

  • Seorang pengguna baru diundang untuk pertama kalinya melalui SCIM

  • ATAU undangan langsung dari dalam aplikasi

Dan kasus di mana undangan secara otomatis dikaitkan dengan email pengguna pada sistem backend kami:

  • Pengguna SCIM dihapus dari grup IdP Anda lalu ditambahkan kembali

  • Pembuatan Akun Otomatis

Dalam kasus yang terakhir, para pengguna tidak akan melihat undangan di kotak masuk mereka, tetapi undangan tetap akan diarahkan dengan benar ke workspace/organisasi yang sesuai saat mencoba masuk.

SCIM

SCIM tersedia baik di ChatGPT maupun di Platform API. SCIM memungkinkan penyedia identitas (misalnya, Okta, Entra ID, dll.) untuk bertukar data identitas pengguna dengan OpenAI, mengotomatisasi penyediaan undangan (dan penghapusan akun pengguna) berdasarkan perubahan organisasi.

Meskipun SCIM juga dikonfigurasi melalui IdP Anda, SCIM dapat diatur secara terpisah dari SSO. Oleh karena itu, verifikasi domain/SSO bukan merupakan persyaratan untuk SCIM.

Jika Anda memutuskan untuk menggunakan SCIM dan SSO sekaligus, perbedaan penting yang perlu diperhatikan adalah:

  • SCIM hanya melakukan penyediaan undangan

  • SSO menangani autentikasi dan pembuatan pengguna

Kami menganggap SCIM sebagai solusi yang paling tangguh dan dapat diskalakan untuk manajemen pengguna secara keseluruhan. Bergantung pada implementasi ideal Anda, secara umum kami merekomendasikan arsitektur berikut sebagai praktik terbaik jika Anda menerapkan di ChatGPT maupun Platform API:

IdP setup diagram comparing one shared SAML app versus separate SCIM apps for ChatGPT and API Platform users

Dengan pengaturan ini, Anda dapat dengan mudah mengelola undangan dan akses (ke ChatGPT dan Platform API) secara terpisah. Penyiapan ini memiliki manfaat tambahan bahwa setiap perubahan yang diperlukan dapat dilakukan secara terpusat oleh tim administrasi Anda langsung di IdP Anda.

Jika Anda menerapkan SCIM di beberapa aplikasi (yaitu ChatGPT vs. Platform API vs. akun lainnya), Aplikasi SCIM Anda harus unik. Meskipun basis pengguna target Anda identik, sangat disarankan agar setiap implementasi SCIM merujuk ke aplikasi yang unik di IdP Anda.

Jika Anda tidak memenuhi persyaratan ini, hal ini dapat menyebabkan masalah inkonsistensi yang pada akhirnya mengakibatkan keanggotaan tidak valid.

Undangan Langsung dari ChatGPT atau Platform API

Admin dapat langsung mengundang pengguna melalui email dari halaman "Anggota" masing-masing di ChatGPT dan Platform. Di ChatGPT, metode ini juga mendukung undangan massal melalui file CSV yang diunggah:

Workspace invite modal with CSV upload, email entry, and Resend emails for existing invites selected

Meskipun biasanya tidak dapat diskalakan, kami sering merekomendasikan penggunaan undangan langsung saat Anda mulai menggunakan workspace atau organisasi baru. Berbeda dengan SCIM, tidak ada kemungkinan keterlambatan undangan sampai ke kotak masuk pengguna, sehingga ini merupakan opsi paling efektif untuk memberikan akses cepat, mengubah izin, dan pengujian umum.

Selain itu, Anda selalu dapat mengaktifkan SCIM di masa mendatang dan mengelompokkan pengguna yang sudah ada di bawah aplikasi SCIM. Jadi, tidak ada kekhawatiran bahwa pengguna yang diundang secara langsung akan dikecualikan dari otomatisasi di masa depan, kecuali jika memang diinginkan.

Pembuatan Akun Otomatis (AAC)

Berbeda dengan opsi lainnya, AAC hanya tersedia di halaman Identitas di ChatGPT dan mengharuskan SSO sudah diaktifkan terlebih dahulu:

Automatic account creation setting for verified-domain users turned off

Seperti ditunjukkan di atas, AAC memastikan bahwa pengguna yang mendaftar atau masuk dengan domain email yang diverifikasi akan secara otomatis ditambahkan ke workspace Enterprise milik Anda. Para pengguna tidak akan menerima undangan email, dan prosesnya sepenuhnya otomatis. Hal ini memiliki kelebihan dan kekurangannya.

Jika kebijakan Anda adalah mengizinkan akses terbuka kepada pengguna mana pun dengan domain terverifikasi Anda, AAC adalah opsi yang sangat baik yang menghindari beban tambahan untuk mengonfigurasi dan mengelola aplikasi SCIM.

Namun, AAC bukan pilihan ideal jika Anda memerlukan pendekatan yang lebih ketat dan berbasis persetujuan untuk akses pengguna.

⚠️ PERINGATAN ⚠️

Penting untuk diingat bahwa mengaktifkan AAC secara efektif akan memaksa penggabungan semua pengguna konsumen (pribadi/Plus/Pro) di bawah kendali domain Anda ke dalam workspace Enterprise Anda. Informasi lebih lanjut tentang hal ini dapat ditemukan di bawah ini pada bagian "Mengelola Pengguna Lama".

Perhatikan bahwa, meskipun pengguna bukan anggota grup akses IdP Anda dan tidak dapat berhasil mengakses workspace jika SSO diberlakukan, mereka tetap menempati satu kursi di akun Enterprise Anda dalam skenario ini.

Karena alasan ini, kami umumnya merekomendasikan SCIM atau undangan langsung dalam sebagian besar kasus daripada AAC. Dan untuk membantu menghindari potensi kebingungan, kami menyarankan untuk membiarkan AAC tetap nonaktif jika Anda memang berencana menggunakan SCIM.

Endpoint Undangan Admin Platform API

Platform API kami mendukung Endpoint Undangan, yang memungkinkan Anda mengundang pengguna melalui program ke organisasi API Anda.

Dibandingkan dengan SCIM, manfaat utama endpoint ini adalah memungkinkan Anda menentukan satu atau beberapa proyek tempat bergabungnya pengguna yang diundang:

Image

Hal ini memberikan lapisan tambahan untuk granularitas dan kontrol, tanpa memerlukan pekerjaan manual guna mengirimkan undangan langsung secara individual.

Penanganan Pengguna Konsumen yang Sudah Ada

Kami mendefinisikan pengguna konsumen sebagai mereka yang memiliki langganan pribadi, Plus, atau Pro. Sering kali, akan ada pengguna konsumen yang sudah ada dengan domain Anda yang telah diverifikasi, yang telah memiliki akun sebelum kontrak Enterprise Anda. Karena memverifikasi domain Anda dan mengaktifkan SSO dapat menimbulkan dampak lanjutan terhadap pengguna konsumen ini, penting untuk menentukan hasil yang diinginkan sebelumnya.

Dampak terhadap Pengguna Konsumen ChatGPT

Di sisi ChatGPT, dampak terhadap konsumen sebagian besar ditentukan oleh dua faktor:

  1. Apakah mereka akan diundang ke workspace Enterprise?

    1. Jika AAC diaktifkan, maka ini secara default menjadi "Ya"

  2. Anda akan menegakkan SSO?

Perilaku yang dihasilkan dapat dilihat di bawah ini:

Undangan Tertunda?SSO Ditegakkan?Hasil
Akun pengguna konsumen akan diwajibkan untuk digabungkan ke Enterprise, dan hanya dapat masuk dengan SSO
Akun pengguna konsumen akan dipaksa untuk digabungkan ke Enterprise, dan pengguna dapat melakukan autentikasi melalui SSO atau akun Media Sosial
Tidak ada dampak: Pengguna konsumen tetap memiliki akses ke workspace pribadi mereka melalui autentikasi kata sandi atau akun media sosial
Tidak ada dampak: Pengguna konsumen tetap memiliki akses ke workspace pribadi mereka melalui autentikasi kata sandi atau akun media sosial

Jika tujuan Anda adalah untuk sepenuhnya mencegah adanya akun konsumen, silakan hubungi Direktur Akun Anda untuk mendiskusikan opsi yang tersedia.

Gabungan Akun

Prasyarat untuk memicu penggabungan akun otomatis dari akun konsumen ke akun Enterprise adalah sebagai berikut:

  1. Domain pengguna telah diverifikasi

  2. Pengguna telah menerima undangan ke workspace Enterprise tempat domain mereka diverifikasi

    1. ⚠️ Ingatlah bahwa jika Anda telah mengaktifkan AAC, kondisi ini akan selalu berlaku untuk pengguna mana pun dengan domain Anda yang telah diverifikasi.

Ketika kondisi ini terpenuhi, pada kali berikutnya pengguna masuk ke ChatGPT atau memuat ulang ChatGPT, mereka seharusnya melihat modal berikut:

ChatGPT Enterprise invite flow with options to transfer chat history and GPTs or export and delete the old workspace

Seperti yang disorot pada gambar, kami akan secara otomatis mengembalikan dana untuk langganan Plus atau Pro yang sudah ada sebelum penggabungan. Pengguna akan memiliki opsi untuk mentransfer riwayat chat dan GPT mereka yang sudah ada, atau mengekspor riwayat chat mereka melalui email dan memulai workspace Enterprise mereka sebagai "lembaran baru."

Setelah akun konsumen digabungkan, tidak ada cara untuk memulihkannya. Jika pengguna Anda memilih opsi "Transfer riwayat obrolan dan GPT yang sudah ada" tetapi tidak melihat hal ini tercermin di workspace Enterprise mereka, silakan hubungi Dukungan.

Dampak terhadap Pengguna Konsumen Platform API

Karena SSO di Platform masih berbasis domain (berbeda dengan ChatGPT, di mana SSO bersifat khusus untuk workspace tempat SSO diaktifkan), pengguna konsumen Anda akan terdampak segera setelah Anda memverifikasi domain Anda dan mengaktifkan SSO di organisasi mana pun.

Pengguna konsumen tidak lagi dapat melakukan autentikasi dengan kata sandi, karena kami mengidentifikasi kecocokan domain dan meneruskan mereka ke IdP Anda. Jika mereka adalah anggota IdP Anda, mereka dapat melakukan autentikasi. Sebagai alternatif, mereka dapat masuk dengan opsi OAuth Sosial jika opsi tersebut tersedia bagi mereka. Jika tidak, Anda secara efektif telah mengunci mereka dari akun Konsumen mereka.

Lihat alur di bagian Login Pengguna untuk panduan yang lebih mendalam tentang alur kerja ini.

Pola Identitas dan Penyediaan yang Direkomendasikan

Setelah kami menjabarkan perilaku dasar yang terkait dengan autentikasi identitas dan penyediaan undangan, ada baiknya meninjau beberapa pola implementasi yang lebih umum yang tersedia bagi pengguna Enterprise:

Comparison table of four Enterprise user management setups by provisioning, authentication, and user experience

Alur Login Pengguna

Kita telah membahas dampak dari undangan yang tertunda dan penerapan SSO, jadi bagian ini ditujukan untuk membantu memvisualisasikan alur/pemeriksaan yang diharapkan yang kami lakukan ketika pengguna mengetikkan alamat email mereka untuk masuk.

Alur Login ChatGPT

Catatan: Diagram ini mengecualikan upaya masuk melalui metode sosial atau melalui URL Tile.

Flowchart of ChatGPT login paths for personal accounts, password sign-in, workspace picker, and SSO redirection

Alur Login Platform API

Catatan: Diagram ini mengecualikan upaya masuk melalui metode sosial atau melalui URL Tile.

Flowchart for platform login and SSO outcomes based on verified domain and IdP access group membership

Langkah Selanjutnya

Sekarang setelah Anda memiliki gambaran mengenai penerapan yang ideal, Anda dapat mengikuti dokumentasi terkait untuk mengaktifkan SCIM atau SSO:

Apakah artikel ini membantu?