Per consentire a un utente di accedere a un'area di lavoro ChatGPT Enterprise o Edu, devono essere soddisfatte due condizioni:
L'utente deve essere configurato tramite provisioning nell'area di lavoro
L'utente deve autenticare la propria identità con OpenAI
Verifica del dominio
Prima di configurare opzioni aggiuntive di provisioning e autenticazione, devi verificare la proprietà di uno o più domini email nella pagina Identità e provisioning. Questa operazione associa il dominio email alla tua area di lavoro ChatGPT Enterprise. Scopri di più sulla verifica del dominio per ChatGPT Enterprise ed Edu.
Provisioning
Per impostazione predefinita, i proprietari e gli amministratori dell'area di lavoro eseguono il provisioning degli utenti invitandoli tramite la pagina Membri dell'area di lavoro ChatGPT.
Per automatizzare il processo di provisioning, i proprietari dell'area di lavoro possono configurare le seguenti opzioni nella pagina Identità e provisioning:
Creazione automatica dell'account: concede automaticamente agli utenti l’accesso a un’area di lavoro in base al loro dominio e-mail quando tentano di effettuare l’accesso. Scopri di più sulla Creazione automatica dell'account.
Sincronizzazione della directory tramite SCIM: invita automaticamente gli utenti nell’area di lavoro in base alla loro appartenenza ai gruppi specificati del provider di identità. Scopri di più sul provisioning SCIM.
Controlla se i gruppi gestiti tramite SCIM sono visibili nei flussi di condivisione, come GPT e progetti. Consulta: FAQ sull'integrazione SCIM.
I proprietari dell'area di lavoro possono facoltativamente disabilitare gli inviti da domini esterni per limitare i nuovi inviti agli utenti i cui indirizzi e-mail corrispondono ai domini verificati. Questa restrizione si applica solo ai nuovi inviti e non blocca retroattivamente gli utenti esistenti o gli inviti già inviati.
Nota: queste funzionalità non sono attualmente disponibili per gli utenti di ChatGPT per gli insegnanti.
Inviti via e-mail e migrazioni degli account
Quando un utente viene invitato nella tua area di lavoro ChatGPT, manualmente o tramite provisioning SCIM, OpenAI invierà un'e-mail di invito per impostazione predefinita (consulta questo articolo per i casi in cui l’email non verrà inviata). Se l'utente ha un indirizzo e-mail che corrisponde a un dominio verificato, sarà aggiunto automaticamente all'area di lavoro, sia che accetti il link di invito contenuto nell'e-mail sia che acceda tramite chatgpt.com.
Se un utente invitato con un indirizzo e-mail corrispondente a un dominio verificato dispone già di un account ChatGPT, verrà invitato a migrare il proprio account all'area di lavoro Enterprise al momento dell'accettazione dell'invito. Gli utenti possono scegliere di trasferire i propri dati esistenti nell'area di lavoro aziendale oppure di esportare ed eliminare i propri dati. Gli abbonamenti personali a pagamento vengono annullati automaticamente nell'ambito del processo di migrazione.
Nota: quando un utente trasferisce la propria area di lavoro personale in un’area di lavoro ChatGPT Enterprise o Edu, i GPT personali che erano già stati condivisi o pubblicati, inclusi i GPT condivisi tramite link, vengono convertiti in GPT visibili nell’area di lavoro di destinazione. I GPT che erano privati prima del trasferimento restano privati. I proprietari dell’area di lavoro possono controllare e aggiornare la visibilità dei GPT trasferiti dopo la migrazione.
Se un utente invitato ha un account ChatGPT esistente associato a un indirizzo e-mail che non corrisponde a un dominio verificato, non sarà invitato a migrare il proprio account e potrà mantenere sia il proprio account personale sia l'accesso all'area di lavoro Enterprise.
Flusso di lavoro di migrazione dell'account mostrato agli utenti nell'interfaccia utente di ChatGPT Enterprise.
Nota: per i piani ChatGPT Business che passano a un piano Enterprise:
Agli utenti che appartengono all'area di lavoro di ChatGPT Business non sarà richiesto di migrare la propria area di lavoro Business nell'area di lavoro Enterprise, ma sarà richiesto di migrare la propria area di lavoro personale.
Autenticazione
Per impostazione predefinita, gli utenti si autenticano su OpenAI utilizzando un indirizzo e-mail e una password oppure tramite l'accesso social (Google, Microsoft o Apple).
Per rendere più sicuro il processo di autenticazione, i proprietari dell'area di lavoro possono configurare il seguente Single Sign-On (SSO) nella pagina Identità e provisioning:
Abilita SSO – Gli utenti per cui è stato effettuato il provisioning nell'area di lavoro e che dispongono di un indirizzo e-mail associato a un dominio verificato possono autenticarsi tramite l'Identity Provider (IdP) integrato. Quando l'SSO è abilitato ma non obbligatorio, gli utenti possono comunque scegliere di autenticarsi con il proprio nome utente e password oppure tramite autenticazione social con Google, Microsoft e Apple.
Applica SSO – Ha l'effetto aggiuntivo di disabilitare l'accesso tramite social per gli utenti che sono stati configurati nell'area di lavoro e che hanno un indirizzo e-mail associato a un dominio verificato.
Di per sé, l'abilitazione o l'applicazione dell'SSO non influisce sull'esperienza dei seguenti tipi di utenti:
Utenti di ChatGPT con un'e-mail associata a un dominio verificato che non sono stati aggiunti all'area di lavoro. Questi utenti possono continuare ad accedere ai propri account personali di ChatGPT dopo la configurazione dell'SSO.
Utenti di ChatGPT con un dominio e-mail che non corrisponde a un dominio e-mail verificato ma di cui è stato effettuato il provisioning nell'area di lavoro. Questi utenti possono continuare ad accedere all'area di lavoro ChatGPT Enterprise tramite metodi di accesso basati su password o social.
Scopri di più sulla configurazione dell'SSO.
Configurazione dell'SSO nei prodotti OpenAI
La tua area di lavoro ChatGPT Enterprise e le organizzazioni della piattaforma API OpenAI condividono un'unica connessione SSO con il tuo IdP. Di conseguenza, le verifiche del dominio e le impostazioni SSO SAML sono condivise tra i prodotti. Se hai già configurato l'SSO nella tua organizzazione della piattaforma API, i domini verificati e le impostazioni SSO SAML saranno precompilati in ChatGPT. È vero anche il contrario.
SSO deve essere abilitato separatamente su ChatGPT e sulla piattaforma API. Tuttavia, una volta configurato su uno, la “configurazione“ dell'altro consiste principalmente in un semplice passaggio e nell'aggiunta di un'app segnalibro nel tuo IdP, se lo desideri.
| SSO della piattaforma API abilitato | SSO della piattaforma API disabilitato | |
| SSO di ChatGPT abilitato | ✅ | ✅ |
| SSO di ChatGPT disabilitato | ✅ | ✅ |
Scopri di più sulla configurazione dell'SSO della piattaforma API.
Modelli consigliati per identità e provisioning
ChatGPT Enterprise ti offre la flessibilità di combinare liberamente le opzioni di identità e provisioning. Gli schemi più comuni sono forniti a titolo di riferimento.
| Provisioning | Autenticazione | Esperienza utente | |
| Accesso opt-in Qualsiasi utente che si autentica con un indirizzo e-mail associato a un dominio verificato sarà automaticamente configurato nella tua area di lavoro. | Creazione automatica di un account | Password o social | Al momento della registrazione o dell'accesso a un account personale, agli utenti verrà chiesto di migrare il proprio account personale all'area di lavoro Enterprise. |
| SSO con inviti manuali Gli utenti invitati manualmente nell'area di lavoro possono autenticarsi tramite SSO. | Manuale | SSO abilitato o imposto | Gli utenti possono continuare a registrarsi o accedere ai propri account personali. Dopo essere stati invitati nell'area di lavoro Enterprise, agli utenti verrà chiesto di migrare il proprio account personale esistente. |
| SSO con creazione automatica degli account Qualsiasi utente che si autentica con un indirizzo e-mail associato a un dominio verificato verrà automaticamente sottoposto a provisioning nella tua area di lavoro e potrà successivamente autenticarsi tramite SSO. | Creazione automatica di un account | SSO abilitato o imposto | Al momento della registrazione o dell'accesso al proprio account personale, agli utenti verrà chiesto di migrare il proprio account personale all'area di lavoro Enterprise. Nota: gli utenti che non possono autenticarsi tramite l'IdP saranno impossibilitati ad accedere a ChatGPT dopo la migrazione all'area di lavoro Enterprise. |
| SSO con SCIM Gli utenti che sono membri di un gruppo IdP specificato vengono invitati automaticamente nell'area di lavoro e possono successivamente autenticarsi con SSO. | SCIM | SSO abilitato o imposto | Gli utenti possono continuare a registrare account personali o ad accedervi. Una volta aggiunti ai gruppi IdP specificati, gli utenti ricevono un invito via e-mail e vengono invitati a migrare il proprio account personale esistente. |