OpenAI
Šis puslapis buvo išverstas mašininiu būdu. Peržiūrėti originalų straipsnį anglų kalba.

Kaip suprasti idealų naudotojų valdymo nustatymą

Šis dokumentas skirtas padėti administratoriams įdiegti SSO ir galbūt SCIM taip, kad tai geriausiai atitiktų jų naudojimo atvejį.

Atnaujinta: 6 days ago

Peržiūrėkite mūsų puslapį „SSO apžvalga“, kad susipažintumėte su pagrindinėmis šiame dokumente aptariamomis sąvokomis.

Prieš patvirtinant domenus svarbu apsvarstyti kelis klausimus:

  • Kaip norėtumėte teikti kvietimus naujiems naudotojams?

  • Kaip norėtumėte tvarkyti esamus vartotojų (asmeninių / Plus / Pro) paskyrų naudotojus?

  • Kokia turėtų būti naudotojo prisijungimo eiga?

Kiekvieną iš šių klausimų aptarsime išsamiau, kad padėtume pasirinkti jūsų poreikiams tinkamiausią parinktį.

Naujų naudotojų kvietimas

Šiuo metu siūlome keturis skirtingus būdus teikti kvietimus naudotojams:

  1. Kryžminių domenų tapatybės valdymo sistema (SCIM)

  2. Tiesioginiai kvietimai iš ChatGPT arba API platformos

  3. Tik ChatGPT: automatinis paskyrų kūrimas (AAC)

  4. Tik platformoje: API platformos administratoriaus kvietimų Endpoint

Verta pažymėti, kad skiriame atvejus, kai kvietimų el. laiškai aktyviai siunčiami, ir atvejus, kai kvietimas tyliai susiejamas su naudotojo el. paštu mūsų vidinėje sistemoje.

Kvietimų el. laiškai aktyviai siunčiami, kai:

  • Naujas naudotojas pirmą kartą pakviečiamas per SCIM.

  • Naudotojas pakviečiamas tiesiogiai iš ChatGPT arba API platformos.

Kvietimai tyliai susiejami, kai:

  • SCIM naudotojas buvo pašalintas iš jūsų IdP grupės ir vėliau vėl pridėtas.

  • Taikomas automatinis paskyrų kūrimas.

Pastaruoju atveju naudotojai nematys kvietimų savo gautuosiuose, bet bandydami prisijungti vis tiek bus tinkamai nukreipti į atitinkamą darbo erdvę ar organizaciją.

SCIM

SCIM pasiekiamas ir ChatGPT, ir API platformoje. SCIM leidžia tapatybės teikėjams (pvz., Okta, Entra ID ir kt.) keistis naudotojų tapatybės duomenimis su OpenAI, automatizuojant kvietimų teikimą (ir naudotojų paskyrų teikimo panaikinimą) pagal organizacinius pokyčius.

Nors SCIM taip pat konfigūruojamas per jūsų IdP, jį galima nustatyti nepriklausomai nuo SSO. Todėl domeno patvirtinimas ir SSO nėra SCIM reikalavimai.

Jei nuspręsite naudoti ir SCIM, ir SSO, svarbu atskirti:

  • SCIM tik teikia kvietimus

  • SSO tvarko autentifikavimą ir naudotojų kūrimą

SCIM laikome patikimiausiu ir lengviausiai plečiamu sprendimu bendram naudotojų valdymui. Atsižvelgdami į jūsų idealų diegimą, diegiant ir ChatGPT, ir API platformoje paprastai rekomenduojame šią gerosios praktikos architektūrą:

IdP setup diagram comparing one shared SAML app versus separate SCIM apps for ChatGPT and API Platform users

Naudodami šią sąranką galite lengvai atskirai valdyti tiek kvietimus, tiek prieigą (prie ChatGPT ir API platformos). Papildomas šios sąrankos pranašumas – visus būtinus pakeitimus jūsų administravimo komandos gali atlikti centralizuotai, tiesiogiai jūsų IdP.

Jei SCIM diegiate keliose programose (t. y. ChatGPT, API platformoje ar kitose paskyrose), jūsų SCIM programos turėtų būti unikalios. Net jei tikslinė naudotojų bazė yra ta pati, primygtinai rekomenduojame, kad kiekvienas SCIM diegimas jūsų IdP nurodytų unikalią programą.

Jei šio reikalavimo nesilaikysite, gali kilti neatitikimų, dėl kurių galiausiai narystės taps negaliojančios.

Tiesioginiai kvietimai iš ChatGPT arba API platformos

Administratoriai gali tiesiogiai pakviesti naudotojus el. paštu iš atitinkamų ChatGPT ir platformos puslapių „Nariai“. ChatGPT šis metodas taip pat palaiko masinį kvietimų siuntimą įkėlus CSV:

Workspace invite modal with CSV upload, email entry, and Resend emails for existing invites selected

Nors paprastai tai nėra lengvai plečiama, pradedant darbą naujoje darbo erdvėje ar organizacijoje dažnai rekomenduojame naudoti tiesioginius kvietimus. Kitaip nei naudojant SCIM, nėra galimos delsos, kol kvietimai pasiekia naudotojų gautuosius, todėl tai veiksmingiausia parinktis greitai prieigai suteikti, leidimams keisti ir bendram testavimui.

Be to, vėliau visada galite įjungti SCIM ir priskirti esamus naudotojus SCIM programai. Todėl nereikia nerimauti, kad tiesiogiai pakviesti naudotojai ateityje bus neįtraukti į automatizavimą, nebent to pageidautumėte.

Automatinis paskyrų kūrimas (AAC)

Priešingai nei kitos parinktys, AAC pasiekiamas tik ChatGPT tapatybės puslapyje ir reikalauja, kad pirmiausia būtų įjungtas SSO:

Automatic account creation setting for verified-domain users turned off

Kaip parodyta pirmiau, AAC užtikrina, kad naudotojai, registruodamiesi arba prisijungdami su patvirtintu el. pašto domenu, automatiškai bus įtraukti į jūsų Enterprise darbo erdvę. Naudotojai negaus kvietimo el. laiško, o procesas yra visiškai automatizuotas. Tai turi privalumų ir trūkumų.

Jei jūsų politika yra leisti atvirą prieigą bet kuriam naudotojui su jūsų patvirtintu domenu, AAC yra puiki parinktis, leidžianti išvengti papildomo SCIM programos konfigūravimo ir valdymo darbo.

Tačiau AAC nėra idealus, jei jums reikia labiau apriboto, patvirtinimu grindžiamo požiūrio į naudotojų prieigą.

⚠️ ĮSPĖJIMAS ⚠️

Svarbu nepamiršti, kad įjungus AAC visi jūsų domeno vartotojų (asmeninių / Plus / Pro) paskyrų naudotojai faktiškai bus priverstinai sujungti su jūsų Enterprise darbo erdve. Daugiau apie tai rasite toliau, skiltyje „Esamų naudotojų tvarkymas“.

Atminkite, kad net jei naudotojai nėra jūsų IdP prieigos grupės nariai ir, taikant SSO, negali sėkmingai pasiekti darbo erdvės, šiame scenarijuje jie vis tiek užima vietą jūsų Enterprise paskyroje.

Dėl šios priežasties daugeliu atvejų paprastai rekomenduojame SCIM arba tiesioginius kvietimus, o ne AAC. O kad išvengtumėte galimos painiavos, rekomenduojame palikti AAC išjungtą, jei planuojate naudoti SCIM.

API platformos administratoriaus kvietimų Endpoint

Mūsų API platforma palaiko kvietimų Endpoint, kuris leidžia programiškai pakviesti naudotojus į jūsų API organizaciją.

Palyginti su SCIM, pagrindinis endpoint pranašumas yra tai, kad galite nurodyti projektą (-us), kuriam (-iems) pakviestas naudotojas turėtų priklausyti:

Image

Tai suteikia papildomą detalumo ir kontrolės lygį, nereikalaujant rankiniu būdu siųsti atskirų tiesioginių kvietimų.

Esamų vartotojų paskyrų naudotojų tvarkymas

Vartotojų paskyrų naudotojais laikome tuos, kurie turi asmeninę, Plus arba Pro prenumeratą. Dažnai pasitaiko, kad jūsų patvirtintame domene jau yra esamų vartotojų paskyrų naudotojų, kurie paskyras turėjo dar iki jūsų Enterprise sutarties. Kadangi domeno patvirtinimas ir SSO įjungimas gali turėti tolesnį poveikį šiems vartotojų paskyrų naudotojams, svarbu iš anksto nuspręsti, kokio rezultato siekiate.

Poveikis ChatGPT vartotojų paskyrų naudotojams

ChatGPT atveju poveikį vartotojams daugiausia lemia du veiksniai:

  1. Ar jie bus pakviesti į Enterprise darbo erdvę?

  2. Ar taikysite SSO?

Toliau pateikiama, kokia elgsena bus taikoma:

Laukiantis kvietimas?SSO taikomas?Rezultatas
TaipTaipVartotojų paskyrų naudotojų paskyros bus priverstinai sujungtos su Enterprise, o prisijungti bus galima tik naudojant SSO.
TaipNeVartotojų paskyrų naudotojų paskyros bus priverstinai sujungtos su Enterprise, o naudotojai galės autentifikuotis naudodami SSO arba socialinį prisijungimą.
NeTaipPoveikio nėra: vartotojų paskyrų naudotojai išlaiko prieigą prie savo asmeninių darbo erdvių naudodami slaptažodį arba socialinį autentifikavimą.
NeNePoveikio nėra: vartotojų paskyrų naudotojai išlaiko prieigą prie savo asmeninių darbo erdvių naudodami slaptažodį arba socialinį autentifikavimą.

Jei jūsų tikslas – galiausiai neleisti jokių vartotojų paskyrų, susisiekite su savo paskyros direktoriumi ir aptarkite galimas parinktis.

Paskyrų sujungimas

Norint automatiškai sujungti vartotojo paskyrą su „Enterprise“ paskyra, turi būti įvykdytos šios sąlygos:

  1. Naudotojo domenas patvirtintas.

  2. Naudotojas gavo kvietimą į „Enterprise“ darbo erdvę, kurioje jo domenas yra patvirtintas.

    • Pastaba: jei įjungėte AAC, ši sąlyga visada bus įvykdyta bet kuriam naudotojui, turinčiam jūsų patvirtintą domeną.

Kai šios sąlygos įvykdytos, kitą kartą naudotojui prisijungus prie „ChatGPT“ arba jį atnaujinus turėtų būti parodytas šis modalinis langas:

ChatGPT Enterprise invite flow with options to transfer chat history and GPTs or export and delete the old workspace

Kaip parodyta paveikslėlyje, prieš sujungimą automatiškai grąžinsime lėšas už visas esamas „Plus“ arba „Pro“ prenumeratas. Naudotojai galės perkelti esamą pokalbių istoriją ir GPT arba eksportuoti pokalbių istoriją el. paštu ir pradėti naudoti „Enterprise“ darbo erdvę nuo „švaraus lapo“.

  • Pastaba: jei paskirties „Enterprise“ arba „Edu“ darbo erdvėje įjungta duomenų saugojimo vieta, asmeninės darbo erdvės duomenų perkelti negalima. Naudotojai gali tik eksportuoti savo pokalbius ir ištrinti asmeninę darbo erdvę. Išsamiau žr. El. pašto kvietimai ir paskyrų perkėlimas.

Sujungus vartotojo paskyrą, jos atkurti neįmanoma. Jei jūsų naudotojai pasirinko parinktį „Perkelti esamą pokalbių istoriją ir GPT“, bet nemato šių duomenų savo „Enterprise“ darbo erdvėje, kreipkitės į palaikymo komandą.

Poveikis API platformos vartotojų paskyrų naudotojams

Kadangi SSO platformoje vis dar grindžiamas domenu (skirtingai nei ChatGPT, kur SSO taikomas konkrečiai darbo erdvei, kurioje jis įjungtas), jūsų vartotojų paskyrų naudotojai bus paveikti vos patvirtinus domeną ir įjungus SSO bet kurioje organizacijoje.

Vartotojų paskyrų naudotojai neteks galimybės autentifikuotis slaptažodžiais, nes nustatysime domeno atitiktį ir nukreipsime juos į jūsų IdP. Jei jie yra jūsų IdP nariai, jie gali sėkmingai autentifikuotis. Arba jie gali prisijungti naudodami socialinio OAuth parinktį, jei ji jiems prieinama. Jei ne, jūs faktiškai užblokavote jiems prieigą prie jų vartotojų paskyrų.

Išsamesnį šios eigos vadovą rasite skiltyje „Naudotojo prisijungimo eiga“.

Rekomenduojami tapatybės ir teikimo modeliai

Dabar, kai apžvelgėme pagrindinę elgseną, susijusią su mūsų tapatybės autentifikavimu ir kvietimų teikimu, gali būti naudinga peržiūrėti kelis dažniausius Enterprise naudotojams prieinamus diegimo modelius:

Comparison table of four Enterprise user management setups by provisioning, authentication, and user experience

Naudotojo prisijungimo eiga

Jau aptarėme laukiančių kvietimų ir SSO taikymo poveikį, todėl ši dalis skirta padėti įsivaizduoti numatomą eigą ir patikras, kurias atliekame naudotojui įvedus el. pašto adresą prisijungimui.

ChatGPT prisijungimo eiga

Pastaba: šioje diagramoje neįtraukti prisijungimo bandymai naudojant socialinį metodą arba plytelės URL.

Flowchart of ChatGPT login paths for personal accounts, password sign-in, workspace picker, and SSO redirection

API platformos prisijungimo eiga

Pastaba: šioje diagramoje neįtraukti prisijungimo bandymai naudojant socialinį metodą arba plytelės URL.

Flowchart for platform login and SSO outcomes based on verified domain and IdP access group membership

Tolesni veiksmai

Dabar, kai jau suprantate, koks diegimas jums būtų idealus, galite vadovautis atitinkama dokumentacija, kad įjungtumėte SCIM arba SSO:

Ar šis straipsnis buvo naudingas?