OpenAI

Comprendere la configurazione ideale per la gestione degli utenti

Questo documento ha lo scopo di aiutare gli amministratori a implementare l'SSO e, potenzialmente SCIM, nel modo più adatto al loro caso d'uso.

Aggiornato: 13 days ago

Consulta la nostra pagina “Sommario SSO” per conoscere i concetti chiave trattati in questo documento.

Prima di verificare i tuoi domini, è importante considerare alcune domande diverse:

  • Come desideri gestire l'invio degli inviti ai nuovi utenti?

  • Come vorresti gestire gli utenti consumatori esistenti (personale/Plus/Pro)?

  • Come vuoi che si presenti il flusso di accesso degli utenti?

Esamineremo ciascuna di queste domande più nel dettaglio per assicurarci che tu scelga l'opzione più adatta alle tue esigenze.

Invitare nuovi utenti

Attualmente offriamo quattro metodi diversi per fornire inviti agli utenti:

  1. System for Cross-domain Identity Management (SCIM)

  2. Inviti diretti dall'app

  3. [Solo ChatGPT] Creazione automatica di account (AAC)

  4. [Solo piattaforma] Endpoint API

Vale la pena notare che facciamo effettivamente distinzione tra i casi in cui le e-mail di invito vengono inviate attivamente:

  • Un nuovo utente viene invitato per la prima volta tramite SCIM

  • Oppure inviti diretti dall'app

E i casi in cui un invito viene associato in modo silente all'e-mail di un utente nel nostro backend:

  • Un utente SCIM è stato rimosso dal tuo gruppo IdP e poi aggiunto nuovamente

  • Creazione automatica di un account

In quest'ultimo caso, gli utenti non vedranno gli inviti nella propria casella di posta, ma verranno comunque indirizzati correttamente all'area di lavoro/organizzazione corrispondente quando proveranno ad accedere.

SCIM

SCIM è disponibile sia in ChatGPT sia nella piattaforma API. SCIM consente ai provider di identità (ad esempio Okta, Entra ID, ecc.) di scambiare i dati relativi all'identità degli utenti con OpenAI, automatizzando il provisioning degli inviti (e il deprovisioning degli account utente) in base ai cambiamenti organizzativi.

Sebbene anche SCIM venga configurato tramite il tuo IdP, può essere configurato indipendentemente dall'SSO. Pertanto, né la verifica del dominio né l'SSO sono requisiti per SCIM.

Se decidi di utilizzare sia SCIM sia SSO, la distinzione importante da fare è la seguente:

  • SCIM gestisce la fornitura solo di inviti

  • SSO gestisce l'autenticazione e la creazione degli utenti

Riteniamo che SCIM sia la soluzione più robusta e scalabile per la gestione complessiva degli utenti. A seconda dell'implementazione ideale per il tuo caso d'uso, in genere consigliamo la seguente architettura come best practice se stai distribuendo la soluzione sia su ChatGPT sia sulla piattaforma API:

IdP setup diagram comparing one shared SAML app versus separate SCIM apps for ChatGPT and API Platform users

Con questa configurazione, puoi gestire facilmente sia gli inviti sia l'accesso (a ChatGPT e alla piattaforma API) separatamente. Questa configurazione offre inoltre il vantaggio che eventuali modifiche necessarie possono essere eseguite centralmente dai tuoi team di amministrazione direttamente nel tuo IdP.

Se implementi SCIM in più applicazioni (ossia ChatGPT, piattaforma API o altri account), le applicazioni SCIM devono essere univoche. Anche se la tua base di utenti di destinazione è identica, è vivamente consigliato che ogni implementazione SCIM faccia riferimento a un'applicazione univoca nel tuo IdP.

Se non soddisfi questo requisito, si possono verificare problemi di incoerenza che, alla fine, portano a iscrizioni non valide.

Inviti diretti da ChatGPT o dalla piattaforma API

Gli amministratori possono invitare direttamente gli utenti tramite e-mail dalle rispettive pagine “Membri” di ChatGPT
e della piattaforma. In ChatGPT, questo metodo supporta anche gli inviti in blocco tramite un file CSV caricato:

Workspace invite modal with CSV upload, email entry, and Resend emails for existing invites selected

Sebbene in genere non siano scalabili, spesso consigliamo di utilizzare gli inviti diretti quando inizi a lavorare in una nuova area di lavoro/organizzazione. A differenza di SCIM, non vi è alcun potenziale ritardo nell'arrivo degli inviti nelle caselle di posta degli utenti, quindi è l'opzione più efficace per fornire un accesso rapido, modificare le autorizzazioni ed eseguire test generali.

Inoltre, puoi sempre abilitare SCIM in un secondo momento e raggruppare i tuoi utenti esistenti sotto l'applicazione SCIM. Quindi non c'è il rischio che gli utenti invitati direttamente vengano esclusi dalle automazioni future, a meno che non lo si desideri.

Creazione automatica di account (AAC)

A differenza delle altre opzioni, l'AAC è disponibile solo nella pagina Identità di ChatGPT e richiede che l'SSO sia stato abilitato in precedenza:

Automatic account creation setting for verified-domain users turned off

Come mostrato sopra, l'AAC garantisce che gli utenti che si registrano o accedono con un dominio e-mail verificato vengano aggiunti automaticamente alla tua area di lavoro Enterprise. Gli utenti non riceveranno un invito via e-mail e il processo è interamente automatizzato. Questo ha i suoi pro e contro.

Se la tua politica è consentire l'accesso aperto a qualsiasi utente con il tuo dominio verificato, l'AAC è un'ottima opzione che evita la complessità aggiuntiva di configurare e gestire un'applicazione SCIM.

Tuttavia, l'AAC non è ideale se hai bisogno di un approccio più restrittivo e basato su approvazioni per l'accesso degli utenti.

⚠️ ATTENZIONE ⚠️

È importante tenere presente che abilitare l'AAC comporterà di fatto l'unione forzata di tutti gli utenti consumatori (personale/Plus/Pro) appartenenti al tuo dominio nell'area di lavoro Enterprise. Ulteriori informazioni al riguardo sono disponibili qui sotto nella sezione “Gestione degli utenti esistenti”.

Tieni presente che, anche se gli utenti non fanno parte del tuo gruppo di accesso IdP e non possono accedere correttamente all'area di lavoro se l'SSO è obbligatorio, occupano comunque un posto nel tuo account Enterprise in questo scenario.

Per questo motivo, nella maggior parte dei casi consigliamo in genere SCIM o inviti diretti anziché l'AAC. E, per evitare possibili fonti di confusione, ti consigliamo di lasciare l'AAC disattivata se hai intenzione di utilizzare SCIM.

Endpoint per gli inviti amministrativi della piattaforma API

La nostra piattaforma API supporta un endpoint di inviti, che consente di invitare utenti alla tua organizzazione API in modo automatico.

Rispetto a SCIM, il principale vantaggio dell'endpoint è che consente di specificare i progetti a cui l'utente invitato deve appartenere:

Image

Questo offre un ulteriore livello di granularità e controllo, senza richiedere il lavoro manuale necessario per inviare inviti diretti individuali.

Gestione degli utenti consumatori esistenti

Gli utenti consumatori sono quelli con un abbonamento personale, Plus o Pro. Spesso ci sono utenti consumatori esistenti con il tuo dominio verificato che avevano un account prima del tuo contratto Enterprise. Poiché la verifica del dominio e l'abilitazione dell'SSO possono avere un impatto a valle su questi utenti consumatori, è importante determinare in anticipo il risultato desiderato.

Impatto sugli utenti consumatori di ChatGPT

Per ChatGPT, l'impatto sui consumatori è determinato in gran parte da due fattori:

  1. Saranno invitati all'area di lavoro Enterprise?

    1. Se l'AAC è abilitata, “Sì” per impostazione predefinita

  2. Applicherai l'SSO?

Il comportamento risultante è mostrato di seguito:

Invito in sospesoSSO applicato?Risultato
Gli account utente consumatori verranno forzatamente uniti a Enterprise e potranno accedere solo con SSO
Gli account utente consumatori dovranno essere uniti a Enterprise: gli utenti potranno autenticarsi con SSO o tramite social network
Nessun impatto: gli utenti consumatori mantengono l'accesso alle loro aree di lavoro personali tramite autenticazione con password o social
Nessun impatto: gli utenti consumatori mantengono l'accesso alle loro aree di lavoro personali tramite autenticazione con password o social

Se il tuo obiettivo è impedire la creazione di account da parte dei consumatori, contatta il tuo Account Director per discutere delle opzioni disponibili.

Unione di più account

Le condizioni preliminari per attivare la fusione automatica dell'account consumatore in un account Enterprise sono le seguenti:

  1. Il dominio dell'utente è verificato

  2. L'utente ha ricevuto un invito all'area di lavoro Enterprise in cui il suo dominio è stato verificato

    1. ⚠️ Ricorda che se hai abilitato AAC, questa condizione sarà sempre vera per qualsiasi utente con il tuo dominio verificato.

Quando queste condizioni sono soddisfatte, la volta successiva in cui l’utente accede a ChatGPT o lo ricarica, dovrebbe visualizzare la seguente finestra modale:

ChatGPT Enterprise invite flow with options to transfer chat history and GPTs or export and delete the old workspace

Come evidenziato nell'immagine, rimborseremo automaticamente eventuali abbonamenti Plus o Pro esistenti prima dell'unione. Gli utenti avranno la possibilità di trasferire la cronologia chat e i GPT esistenti oppure di esportare la cronologia chat tramite e-mail e avviare la propria area di lavoro Enterprise come “tabula rasa”.

Una volta che l'account consumatore è stato unito, non sarà possibile ripristinarlo. Se i tuoi utenti hanno scelto l'opzione “Trasferisci la cronologia chat e i GPT esistenti” ma non vedono questa modifica nella loro area di lavoro Enterprise, contatta il supporto.

Impatto sugli utenti consumatori della piattaforma API

Poiché l'SSO sulla piattaforma è ancora basato sul dominio (a differenza di ChatGPT, dove l'SSO è specifico per l'area di lavoro in cui è stato abilitato), i tuoi utenti finali subiranno un impatto non appena verifichi il tuo dominio e abiliti l'SSO su qualsiasi organizzazione.

Gli utenti consumatori non potranno più autenticarsi tramite password, poiché rileveremo la corrispondenza del dominio e li reindirizzeremo al tuo IdP. Se sono membri del tuo IdP, possono autenticarsi correttamente. In alternativa, possono accedere con un'opzione OAuth social, se disponibile. In caso contrario, hai di fatto impedito loro di accedere ai propri account consumatori.

Consulta i flussi della sezione Accesso dell'utente per una guida più approfondita a questo flusso di lavoro.

Modelli consigliati per identità e provisioning

Ora che abbiamo delineato il comportamento fondamentale legato alla nostra autenticazione dell'identità e alla fornitura degli inviti, può essere utile esaminare alcuni dei modelli di implementazione più comuni disponibili per gli utenti Enterprise:

Comparison table of four Enterprise user management setups by provisioning, authentication, and user experience

Flusso di accesso dell'utente

Abbiamo già discusso dell'impatto degli inviti in sospeso e dell'applicazione dell'SSO, quindi questa sezione ha lo scopo di aiutare a visualizzare il flusso e i controlli previsti che eseguiamo quando un utente digita il proprio indirizzo e-mail per accedere.

Flusso di accesso a ChatGPT

Nota: questo diagramma esclude i tentativi di accesso tramite un metodo social o tramite l'URL del riquadro.

Flowchart of ChatGPT login paths for personal accounts, password sign-in, workspace picker, and SSO redirection

Flusso di accesso alla piattaforma API

Nota: questo diagramma esclude i tentativi di accesso tramite un metodo social o tramite l'URL del riquadro.

Flowchart for platform login and SSO outcomes based on verified domain and IdP access group membership

Passi successivi

Ora che hai un'idea della tua implementazione ideale, puoi seguire la documentazione pertinente per abilitare SCIM o SSO:

Questo articolo è stato utile?