이 문서에서 다루는 핵심 개념을 이해하기 위해 'SSO 개요' 페이지를 먼저 검토하세요.

도메인을 검증하기 전에 몇 가지 사항을 고려하는 것이 중요합니다.

• 신규 사용자에게 초대를 어떤 방식으로 제공하시겠어요?

• 기존 개인용(개인/Plus/Pro) 사용자를 어떻게 처리하고 싶으신가요?

• 사용자 로그인 흐름을 어떻게 구성하고 싶으신가요?

각 질문을 자세히 살펴보며 요구사항에 가장 적합한 옵션을 선택할 수 있도록 도와드리겠습니다.

신규 사용자 초대

현재 사용자 초대를 제공하는 네 가지 방법을 제공하고 있습니다.

1. 도메인 간 ID 관리 시스템(SCIM)

2. 앱 내 직접 초대

3. [ChatGPT 전용] 자동 계정 생성(AAC)

4. [플랫폼 전용] API 엔드포인트

초대 이메일이 실제로 발송되는 경우와 다음과 같은 경우는 구분됩니다.

• SCIM을 통해 신규 사용자가 처음 초대된 경우

• 또는 앱 내 직접 초대를 통해 초대된 경우

그리고 다음과 같이 초대가 백엔드에서 사용자 이메일에 조용히 연결되는 경우가 있습니다.

• SCIM 사용자가 IdP 그룹에서 제거된 후 다시 추가된 경우

• 자동 계정 생성

이 경우 사용자는 받은 편지함에서 초대 이메일을 확인할 수 없지만, 로그인 시 해당 워크스페이스 또는 조직으로 정상적으로 안내됩니다.

SCIM

SCIM은 ChatGPT 및 API Platform 모두에서 사용할 수 있습니다. SCIM은 Okta, Entra ID 등의 ID 공급자가 OpenAI와 사용자 ID 데이터를 교환할 수 있도록 하여, 조직 변경에 따라 사용자 초대 생성 및 계정 해제 처리를 자동화합니다.

SCIM은 전반적인 사용자 관리에 있어 가장 안정적이고 확장성이 뛰어난 솔루션으로 간주됩니다. 이상적인 구현 방식에 따라 다르지만, ChatGPT와 API Platform을 모두 사용하는 경우 일반적으로 다음과 같은 아키텍처를 모범 사례로 권장합니다.

이 구성을 사용하면 초대와 접근 권한(ChatGPT 및 API Platform)을 각각 독립적으로 쉽게 관리할 수 있습니다. 또한 필요한 변경 사항을 관리자가 IdP에서 중앙에서 직접 수행할 수 있다는 장점이 있습니다.

ChatGPT 또는 API Platform에서 직접 초대

관리자는 각 ChatGPT 및 플랫폼의 '멤버' 페이지에서 이메일을 통해 사용자를 직접 초대할 수 있습니다. ChatGPT에서는 CSV 업로드를 통한 대량 초대도 지원합니다.

일반적으로 확장성이 높은 방법은 아니지만, 새로운 워크스페이스 또는 조직을 시작할 때는 직접 초대를 사용하는 것이 좋습니다. SCIM과 달리 초대 이메일 전달 지연이 없기 때문에, 이는 빠른 접근 제공, 권한 수정, 테스트 등에 가장 효과적인 방법입니다.

또한 이후에 SCIM을 활성화하여 기존 사용자를 SCIM 애플리케이션 아래로 구성할 수 있습니다. 따라서 의도하지 않는 한 직접 초대한 사용자가 이후 자동화에서 제외될 우려는 없습니다.

자동 계정 생성(AAC)

다른 옵션과 달리 AAC는 ChatGPT의 아이덴티티 페이지에서만 사용할 수 있으며, 먼저 SSO가 활성화되어 있어야 합니다.

위와 같이 AAC를 사용하면 검증된 이메일 도메인으로 가입하거나 로그인하는 사용자가 자동으로 Enterprise 워크스페이스에 추가됩니다. 사용자는 초대 이메일을 받지 않으며, 해당 과정은 완전히 자동으로 진행됩니다. 이 방식에는 장단점이 있습니다.

검증된 도메인을 가진 모든 사용자에게 자유롭게 접근을 허용하는 정책이라면, AAC는 SCIM 애플리케이션을 구성하고 관리하는 추가적인 부담을 줄일 수 있는 좋은 선택입니다.

하지만 사용자 접근을 보다 제한적으로, 승인 기반으로 관리해야 하는 경우에는 AAC는 적합하지 않습니다.

이러한 이유로 대부분의 경우 AAC보다는 SCIM 또는 직접 초대를 사용하는 것이 좋습니다. 또한 혼란을 방지하기 위해 SCIM을 사용할 계획이라면 AAC는 비활성화 상태로 유지하는 것을 권장합니다.

API Platform 관리자 초대 엔드포인트

API Platform은 초대 엔드포인트를 지원하며, 이를 통해 API 조직에 사용자를 프로그래밍 방식으로 초대할 수 있습니다.

SCIM과 비교했을 때, 이 엔드포인트의 주요 장점은 초대된 사용자가 속할 프로젝트를 지정할 수 있다는 점입니다.

이를 통해 개별적으로 직접 초대하는 수작업 없이도 보다 세밀한 제어와 관리가 가능합니다.

기존 개인용 사용자 처리

개인용 사용자는 개인, Plus 또는 Pro 구독을 사용하는 사용자로 정의합니다. Enterprise 계약 이전에 이미 계정을 보유한, 검증된 도메인의 기존 개인용 사용자가 존재하는 경우가 많습니다. 도메인 검증 및 SSO 활성화는 이러한 개인용 사용자에게 영향을 미칠 수 있으므로, 사전에 원하는 결과를 결정하는 것이 중요합니다.

ChatGPT 개인용 사용자에 대한 영향

ChatGPT에서는 개인용 사용자에 대한 영향이 주로 다음 두 가지 요소에 의해 결정됩니다.

1. 해당 사용자가 Enterprise 워크스페이스에 초대되나요?

   1. AAC가 활성화된 경우 기본값은 '예'입니다.

2. SSO를 강제 적용할 건가요?

그 결과로 나타나는 동작은 아래에서 확인할 수 있습니다.

개인용 계정을 완전히 제한하는 것이 목표라면 계정 담당자에게 문의하여 가능한 옵션을 논의하세요.

계정 통합

개인용 계정을 Enterprise 계정으로 자동 병합하기 위한 조건은 다음과 같습니다.

1. 사용자의 도메인이 검증되어 있음

2. 사용자가 도메인이 검증된 Enterprise 워크스페이스에 초대를 받았음

   1. ⚠️ AAC를 활성화한 경우, 검증된 도메인을 가진 모든 사용자에 대해 이 조건은 항상 충족됩니다.

이 조건이 충족되면 사용자가 다음에 ChatGPT에 로그인하거나 새로고침할 때 다음과 같은 모달이 표시됩니다.

이미지에 표시된 것처럼 병합 전에 기존 Plus 또는 Pro 구독은 자동으로 환불됩니다. 사용자는 기존 채팅 기록 및 GPT를 이전하거나, 채팅 기록을 이메일로 내보내고 Enterprise 워크스페이스를 '새로운 상태'로 시작할 수 있습니다.

개인용 계정이 병합되면 복원할 수 없습니다. 사용자가 '기존 채팅 기록 및 GPT 이전' 옵션을 선택했지만 Enterprise 워크스페이스에 반영되지 않는 경우 지원팀에 문의하세요.

API Platform 개인용 사용자에 대한 영향

Platform의 SSO는 여전히 도메인 기반이므로(ChatGPT는 워크스페이스 기반), 도메인을 검증하고 어떤 조직에서든 SSO를 활성화하는 즉시 개인용 사용자에게 영향이 발생합니다.

개인용 사용자는 도메인 일치가 확인되면 IdP로 리디렉션되므로 비밀번호로 인증할 수 없게 됩니다. IdP에 등록된 사용자라면 정상적으로 인증할 수 있습니다. 또는 소셜 OAuth 옵션이 있는 경우 이를 통해 로그인할 수 있습니다. 그렇지 않으면 해당 사용자는 개인용 계정에 접근할 수 없게 됩니다.

이 워크플로에 대한 더 자세한 가이드는 사용자 로그인 섹션을 참조하세요.

권장 아이덴티티 및 프로비저닝 패턴

ID 인증 및 초대 프로비저닝과 관련된 기본 동작을 설명했으므로, Enterprise 사용자에게 제공되는 일반적인 구현 패턴을 검토하는 것이 도움이 될 수 있습니다.

사용자 로그인 흐름

이미 초대 대기 상태 및 SSO 강제 적용의 영향을 설명했으므로, 이 섹션에서는 사용자가 로그인 시 이메일 주소를 입력할 때 수행되는 흐름과 검증 과정을 시각적으로 이해할 수 있도록 합니다.

ChatGPT 로그인 흐름

참고: 이 다이어그램에는 소셜 로그인 또는 타일 URL을 통한 로그인 시도는 포함되어 있지 않습니다.

API Platform 로그인 흐름

참고: 이 다이어그램에는 소셜 로그인 또는 타일 URL을 통한 로그인 시도는 포함되어 있지 않습니다.

다음 단계

이상적인 구현 방안을 이해했다면, 관련 문서를 참고하여 SCIM 또는 SSO를 활성화할 수 있습니다.

• ChatGPT SCIM 통합

• API Platform SCIM 통합

• ChatGPT에서 SSO 활성화

• API Platform에서 SSO 활성화하기