OpenAI

理想的なユーザー管理の設定を理解する

このドキュメントは、管理者がユースケースに最適な形で SSO や、必要に応じて SCIM を導入できるよう支援することを目的としています。

更新日: 58 minutes ago

このドキュメントで説明する主要な概念を理解していただくために、「SSO の概要」ページをご確認ください。

ドメインを検証する前に、以下のいくつかの疑問点を検討しておくことが重要です。

  • 新しいユーザーへの招待をどのようにプロビジョニングしますか?

  • 既存の個人向け(個人向け/Plus/Pro)ユーザーにどのように対応しますか?

  • ユーザーのログインフローをどのように設計したいですか?

自分のニーズに最も合った選択肢を選べるよう、それぞれの質問について詳しく見ていきましょう。

新規ユーザーの招待

現在、ユーザーへの招待のプロビジョニング方法を4つ提供しています。

  1. クロスドメイン ID 管理システム(SCIM)

  2. アプリ内からの直接招待

  3. [ChatGPT のみ]自動アカウント作成(AAC)

  4. [プラットフォームのみ]API エンドポイント

なお、招待メールが積極的に送信されるケースについては、明確に区別しています。

  • 新規ユーザーが SCIM 経由で初めて招待される場合

  • またはアプリ内から直接招待される場合

また、招待が当社のバックエンドでユーザーのメールアドレスに密かに関連付けられる場合もあります。

  • SCIM ユーザーが、お使いの IdP グループから削除された後、再度追加される場合

  • 自動アカウント作成

後者の場合、ユーザーの受信トレイには招待が表示されませんが、ログインを試みると、対応するワークスペース/組織に適切に誘導されます。

SCIM

SCIM は ChatGPTAPI プラットフォームの両方で利用できます。SCIM により、ID プロバイダー(Okta、Entra ID など)が OpenAI とユーザーの ID データを交換し、組織の変更に基づいて招待のプロビジョニング(およびユーザーアカウントのデプロビジョニング)を自動化します。

SCIM もお使いの IdP を通じて設定できますが、SSO とは独立してセットアップすることも可能です。したがって、ドメイン検証/SSO は SCIM の要件ではありません。

SCIM と SSO の両方を使用することにした場合、区別しておくべき重要な点は次のとおりです。

  • SCIM は招待のみをプロビジョニングする

  • SSO は認証とユーザー作成を処理する

当社では、ユーザー管理全般において、SCIM は最も堅牢でスケーラブルなソリューションであると考えています。ご希望の実装方法に応じて、ChatGPT と API プラットフォームの両方にわたって展開する場合は、一般的にベストプラクティスとして以下のアーキテクチャを推奨します。

IdP setup diagram comparing one shared SAML app versus separate SCIM apps for ChatGPT and API Platform users

この設定により、招待(ChatGPT と API Platform への)アクセスの両方を簡単に個別に管理できます。この設定にはさらに、必要な変更を管理チームが IdP 内で直接一元的に実施できるという利点もあります。

複数のアプリケーション(ChatGPT、API プラットフォーム、その他のアカウントなど)にわたって SCIM を実装している場合、SCIM アプリケーションはそれぞれ一意である必要があります。対象ユーザーベースが同一であっても、各 SCIM 実装では IdP 側の一意のアプリケーションを参照することを強く推奨します。

この要件を満たしていない場合、不整合の問題が発生し、最終的に無効なメンバーシップにつながる可能性があります。

ChatGPT または API プラットフォームからの直接招待

管理者は、ChatGPTプラットフォームのそれぞれの「メンバー」ページから、ユーザーをメールで直接招待できます。ChatGPT では、この方法は CSV のアップロードによる一括招待にも対応しています。

Workspace invite modal with CSV upload, email entry, and Resend emails for existing invites selected

通常、拡張性はありませんが、新しいワークスペースや組織で使い始める際には、直接招待を使用することをお勧めします。SCIM とは異なり、ユーザーの受信トレイに招待が届くまでに遅延が発生する可能性がないため、迅速なアクセスの提供、権限の変更、一般的なテストに最も効果的な選択肢です。

さらに、後からいつでも SCIM を有効にして、既存のユーザーを SCIM アプリケーション配下に割り当てることができます。そのため、意図的にそう設定しない限り、直接招待されたユーザーが今後の自動化の対象から除外される心配はありません。

自動アカウント作成(AAC)

他のオプションとは異なり、AAC は ChatGPT Identity ページでのみ利用でき、事前に SSO が有効化されている必要があります。

Automatic account creation setting for verified-domain users turned off

上記のとおり、AAC では、検証済みメールドメインでサインアップまたはログインしたユーザーが自動的にお客様の Enterprise ワークスペースに追加されます。ユーザーに招待メールは送信されず、プロセスは完全に自動化されています。これにはメリットとデメリットがあります。

認証済みドメインのすべてのユーザーに制限なくアクセスを許可する方針であれば、AAC は SCIM アプリケーションの設定と管理に伴う追加の手間を回避できる優れた選択肢です。

しかし、ユーザーアクセスに対して、より厳格な制限と承認ベースのアプローチが必要な場合、AAC は理想的ではありません。

⚠️ 警告 ⚠️

AAC を有効にすると、お客様のドメイン配下にあるすべての個人(個人向け/Plus/Pro)ユーザーが、実質的に Enterprise ワークスペースに強制的にマージされる点に注意してください。これについての詳細は、以下の 「既存ユーザーへの対応」セクションをご参照ください。

なお、このシナリオでは、ユーザーが IdP アクセスグループのメンバーではなく、SSO が適用されている場合にワークスペースに正常にアクセスできないとしても、そのユーザーは Enterprise アカウント上では引き続きシートを消費します。

このため、通常、ほとんどの場合は AAC ではなく、SCIM または直接招待をお勧めします。混乱を避けるため、SCIM を使用する予定がある場合は、AAC をオフのままにしておくことをお勧めします。

API プラットフォーム管理者招待エンドポイント

当社の API プラットフォームは、Invites エンドポイントをサポートしており、このエンドポイントを使用することで API 組織にユーザーをプログラムで招待できます。

SCIM と比較すると、このエンドポイントの主な利点は、招待されたユーザーが所属するプロジェクトを指定できる点です。

Image

これにより、個別の直接招待を手動で行う必要なく、さらにきめ細かい制御が可能になります。

既存の消費者ユーザーへの対応

個人向け、Plus、Pro のいずれかのサブスクリプションを利用しているユーザーを個人ユーザーと定義します。Enterprise 契約を締結する前から、検証済みドメインに一致するメールアドレスでアカウントを持つ既存の個人ユーザーがいることはよくあります。ドメインの検証と SSO の有効化は、これらの個人ユーザーに影響を与える可能性があるため、事前に望ましい結果を明確にしておくことが重要です。

ChatGPT の個人ユーザーへの影響

ChatGPT 側では、個人ユーザーへの影響は主に次の2つの要因によって決まります。

  1. Enterprise ワークスペースに招待されますか?

    1. AAC が有効になっている場合、既定値は「はい」になります。

  2. SSO を有効にしますか?

結果として生じる動作は以下のとおりです。

招待待ちですか?SSO は適用されていますか?結果
個人ユーザーアカウントは強制的に Enterprise に統合され、ログイン方法は SSO のみになります
個人ユーザーアカウントは強制的に Enterprise に統合され、ユーザーは SSO またはソーシャル認証で認証できます
影響なし:個人ユーザーは、パスワードまたはソーシャル認証によって個人用ワークスペースに引き続きアクセスできます
影響なし:個人ユーザーは、パスワードまたはソーシャル認証によって個人用ワークスペースに引き続きアクセスできます

最終的に個人アカウントを一切許可しないことが目的の場合は、考えられるオプションについてご相談いただくため、担当のアカウントディレクターまでお問い合わせください。

アカウントマージ

個人アカウントを Enterprise アカウントに自動的に統合するための前提条件は、以下のとおりです。

  1. ユーザーのドメインは検証済みです。

  2. ユーザーは、自身のドメインが検証済みである Enterprise ワークスペースへの招待状を受け取りました

    1. ⚠️ AAC を有効にしている場合、この条件は、検証済みドメインを持つすべてのユーザーに対して常に「真」になります。

これらの条件が満たされると、ユーザーが次回 ChatGPT にログインするか、ChatGPT を更新したときに、次のモーダルが表示されます。

ChatGPT Enterprise invite flow with options to transfer chat history and GPTs or export and delete the old workspace

画像で示されているように、統合前に既存の Plus または Pro サブスクリプションについては自動的に返金されます。ユーザーは、既存のチャット履歴と GPT を移行するか、またはチャット履歴をメールでエクスポートして、Enterprise ワークスペースを「白紙の状態」で開始するかを選択できます。

個人アカウントは一度統合されると、復元できません。ユーザーが「既存のチャット履歴と GPT を移行する」オプションを選択したにもかかわらず、その内容が Enterprise ワークスペースに反映されていない場合は、サポートまでお問い合わせください。

API プラットフォームの個人ユーザーへの影響

プラットフォーム上の SSO は引き続きドメインベースであるため(SSO が有効化されているワークスペースに限定される ChatGPT とは異なり)、ドメインを検証していずれかの組織で SSO を有効にした時点で、個人ユーザーは影響を受けます。

ドメインの一致が検出され、ユーザーがお客様の IdP にリダイレクトされるため、個人ユーザーはパスワードで認証できなくなります。ご利用の IdP のメンバーであれば、正常に認証できます。または、利用可能な場合はソーシャル OAuth オプションを使用してログインできます。そうでない場合、ユーザーは事実上、自分の個人用アカウントにログインできなくなります。

このワークフローの詳細なガイドについては、「ユーザーログイン」セクションのフローをご覧ください。

ID とプロビジョニングに関する推奨パターン

ID 認証と招待のプロビジョニングに関する基本的な動作について説明しましたので、次に Enterprise ユーザーが利用できる、より一般的な実装パターンをいくつか確認してみましょう。

Comparison table of four Enterprise user management setups by provisioning, authentication, and user experience

ユーザーのログインフロー

保留中の招待と SSO の強制が及ぼす影響についてはすでに説明しました。このセクションでは、ユーザーがログインする際にメールアドレスを入力したときに実行される想定フローやチェックを視覚的に把握できるようサポートします。

ChatGPT ログインフロー

注:この図には、ソーシャルログインまたは Tile URL 経由でのログイン試行は含まれていません。

Flowchart of ChatGPT login paths for personal accounts, password sign-in, workspace picker, and SSO redirection

API プラットフォームのログインフロー

注:この図には、ソーシャルログインまたは Tile URL 経由でのログイン試行は含まれていません。

Flowchart for platform login and SSO outcomes based on verified domain and IdP access group membership

次のステップ

理想的な実装についてイメージができたら、それぞれのドキュメントに従って SCIM または SSO を有効にしてください。

この記事は役に立ちましたか?