Peržiūrėkite mūsų puslapį „SSO apžvalga“, kad susipažintumėte su pagrindinėmis šiame dokumente aptariamomis sąvokomis.
Prieš patvirtinant domenus svarbu apsvarstyti kelis klausimus:
Kaip norėtumėte teikti kvietimus naujiems naudotojams?
Kaip norėtumėte tvarkyti esamus vartotojų (asmeninių / Plus / Pro) paskyrų naudotojus?
Kokia turėtų būti naudotojo prisijungimo eiga?
Kiekvieną iš šių klausimų aptarsime išsamiau, kad padėtume pasirinkti jūsų poreikiams tinkamiausią parinktį.
Naujų naudotojų kvietimas
Šiuo metu siūlome keturis skirtingus būdus teikti kvietimus naudotojams:
Verta pažymėti, kad skiriame atvejus, kai kvietimų el. laiškai aktyviai siunčiami, ir atvejus, kai kvietimas tyliai susiejamas su naudotojo el. paštu mūsų vidinėje sistemoje.
Kvietimų el. laiškai aktyviai siunčiami, kai:
Naujas naudotojas pirmą kartą pakviečiamas per SCIM.
Naudotojas pakviečiamas tiesiogiai iš ChatGPT arba API platformos.
Kvietimai tyliai susiejami, kai:
SCIM naudotojas buvo pašalintas iš jūsų IdP grupės ir vėliau vėl pridėtas.
Taikomas automatinis paskyrų kūrimas.
Pastaruoju atveju naudotojai nematys kvietimų savo gautuosiuose, bet bandydami prisijungti vis tiek bus tinkamai nukreipti į atitinkamą darbo erdvę ar organizaciją.
SCIM
SCIM pasiekiamas ir ChatGPT, ir API platformoje. SCIM leidžia tapatybės teikėjams (pvz., Okta, Entra ID ir kt.) keistis naudotojų tapatybės duomenimis su OpenAI, automatizuojant kvietimų teikimą (ir naudotojų paskyrų teikimo panaikinimą) pagal organizacinius pokyčius.
Nors SCIM taip pat konfigūruojamas per jūsų IdP, jį galima nustatyti nepriklausomai nuo SSO. Todėl domeno patvirtinimas ir SSO nėra SCIM reikalavimai.
Jei nuspręsite naudoti ir SCIM, ir SSO, svarbu atskirti:
SCIM tik teikia kvietimus
SSO tvarko autentifikavimą ir naudotojų kūrimą
SCIM laikome patikimiausiu ir lengviausiai plečiamu sprendimu bendram naudotojų valdymui. Atsižvelgdami į jūsų idealų diegimą, diegiant ir ChatGPT, ir API platformoje paprastai rekomenduojame šią gerosios praktikos architektūrą:

Naudodami šią sąranką galite lengvai atskirai valdyti tiek kvietimus, tiek prieigą (prie ChatGPT ir API platformos). Papildomas šios sąrankos pranašumas – visus būtinus pakeitimus jūsų administravimo komandos gali atlikti centralizuotai, tiesiogiai jūsų IdP.
Jei SCIM diegiate keliose programose (t. y. ChatGPT, API platformoje ar kitose paskyrose), jūsų SCIM programos turėtų būti unikalios. Net jei tikslinė naudotojų bazė yra ta pati, primygtinai rekomenduojame, kad kiekvienas SCIM diegimas jūsų IdP nurodytų unikalią programą.
Jei šio reikalavimo nesilaikysite, gali kilti neatitikimų, dėl kurių galiausiai narystės taps negaliojančios.
Tiesioginiai kvietimai iš ChatGPT arba API platformos
Administratoriai gali tiesiogiai pakviesti naudotojus el. paštu iš atitinkamų ChatGPT ir platformos puslapių „Nariai“. ChatGPT šis metodas taip pat palaiko masinį kvietimų siuntimą įkėlus CSV:

Nors paprastai tai nėra lengvai plečiama, pradedant darbą naujoje darbo erdvėje ar organizacijoje dažnai rekomenduojame naudoti tiesioginius kvietimus. Kitaip nei naudojant SCIM, nėra galimos delsos, kol kvietimai pasiekia naudotojų gautuosius, todėl tai veiksmingiausia parinktis greitai prieigai suteikti, leidimams keisti ir bendram testavimui.
Be to, vėliau visada galite įjungti SCIM ir priskirti esamus naudotojus SCIM programai. Todėl nereikia nerimauti, kad tiesiogiai pakviesti naudotojai ateityje bus neįtraukti į automatizavimą, nebent to pageidautumėte.
Automatinis paskyrų kūrimas (AAC)
Priešingai nei kitos parinktys, AAC pasiekiamas tik ChatGPT tapatybės puslapyje ir reikalauja, kad pirmiausia būtų įjungtas SSO:

Kaip parodyta pirmiau, AAC užtikrina, kad naudotojai, registruodamiesi arba prisijungdami su patvirtintu el. pašto domenu, automatiškai bus įtraukti į jūsų Enterprise darbo erdvę. Naudotojai negaus kvietimo el. laiško, o procesas yra visiškai automatizuotas. Tai turi privalumų ir trūkumų.
Jei jūsų politika yra leisti atvirą prieigą bet kuriam naudotojui su jūsų patvirtintu domenu, AAC yra puiki parinktis, leidžianti išvengti papildomo SCIM programos konfigūravimo ir valdymo darbo.
Tačiau AAC nėra idealus, jei jums reikia labiau apriboto, patvirtinimu grindžiamo požiūrio į naudotojų prieigą.
⚠️ ĮSPĖJIMAS ⚠️
Svarbu nepamiršti, kad įjungus AAC visi jūsų domeno vartotojų (asmeninių / Plus / Pro) paskyrų naudotojai faktiškai bus priverstinai sujungti su jūsų Enterprise darbo erdve. Daugiau apie tai rasite toliau, skiltyje „Esamų naudotojų tvarkymas“.
Atminkite, kad net jei naudotojai nėra jūsų IdP prieigos grupės nariai ir, taikant SSO, negali sėkmingai pasiekti darbo erdvės, šiame scenarijuje jie vis tiek užima vietą jūsų Enterprise paskyroje.
Dėl šios priežasties daugeliu atvejų paprastai rekomenduojame SCIM arba tiesioginius kvietimus, o ne AAC. O kad išvengtumėte galimos painiavos, rekomenduojame palikti AAC išjungtą, jei planuojate naudoti SCIM.
API platformos administratoriaus kvietimų Endpoint
Mūsų API platforma palaiko kvietimų Endpoint, kuris leidžia programiškai pakviesti naudotojus į jūsų API organizaciją.
Palyginti su SCIM, pagrindinis endpoint pranašumas yra tai, kad galite nurodyti projektą (-us), kuriam (-iems) pakviestas naudotojas turėtų priklausyti:

Tai suteikia papildomą detalumo ir kontrolės lygį, nereikalaujant rankiniu būdu siųsti atskirų tiesioginių kvietimų.
Esamų vartotojų paskyrų naudotojų tvarkymas
Vartotojų paskyrų naudotojais laikome tuos, kurie turi asmeninę, Plus arba Pro prenumeratą. Dažnai pasitaiko, kad jūsų patvirtintame domene jau yra esamų vartotojų paskyrų naudotojų, kurie paskyras turėjo dar iki jūsų Enterprise sutarties. Kadangi domeno patvirtinimas ir SSO įjungimas gali turėti tolesnį poveikį šiems vartotojų paskyrų naudotojams, svarbu iš anksto nuspręsti, kokio rezultato siekiate.
Poveikis ChatGPT vartotojų paskyrų naudotojams
ChatGPT atveju poveikį vartotojams daugiausia lemia du veiksniai:
Ar jie bus pakviesti į Enterprise darbo erdvę?
Ar taikysite SSO?
Toliau pateikiama, kokia elgsena bus taikoma:
| Laukiantis kvietimas? | SSO taikomas? | Rezultatas |
|---|---|---|
| Taip | Taip | Vartotojų paskyrų naudotojų paskyros bus priverstinai sujungtos su Enterprise, o prisijungti bus galima tik naudojant SSO. |
| Taip | Ne | Vartotojų paskyrų naudotojų paskyros bus priverstinai sujungtos su Enterprise, o naudotojai galės autentifikuotis naudodami SSO arba socialinį prisijungimą. |
| Ne | Taip | Poveikio nėra: vartotojų paskyrų naudotojai išlaiko prieigą prie savo asmeninių darbo erdvių naudodami slaptažodį arba socialinį autentifikavimą. |
| Ne | Ne | Poveikio nėra: vartotojų paskyrų naudotojai išlaiko prieigą prie savo asmeninių darbo erdvių naudodami slaptažodį arba socialinį autentifikavimą. |
Jei jūsų tikslas – galiausiai neleisti jokių vartotojų paskyrų, susisiekite su savo paskyros direktoriumi ir aptarkite galimas parinktis.
Paskyrų sujungimas
Norint automatiškai sujungti vartotojo paskyrą su „Enterprise“ paskyra, turi būti įvykdytos šios sąlygos:
Naudotojo domenas patvirtintas.
Naudotojas gavo kvietimą į „Enterprise“ darbo erdvę, kurioje jo domenas yra patvirtintas.
Pastaba: jei įjungėte AAC, ši sąlyga visada bus įvykdyta bet kuriam naudotojui, turinčiam jūsų patvirtintą domeną.
Kai šios sąlygos įvykdytos, kitą kartą naudotojui prisijungus prie „ChatGPT“ arba jį atnaujinus turėtų būti parodytas šis modalinis langas:

Kaip parodyta paveikslėlyje, prieš sujungimą automatiškai grąžinsime lėšas už visas esamas „Plus“ arba „Pro“ prenumeratas. Naudotojai galės perkelti esamą pokalbių istoriją ir GPT arba eksportuoti pokalbių istoriją el. paštu ir pradėti naudoti „Enterprise“ darbo erdvę nuo „švaraus lapo“.
Pastaba: jei paskirties „Enterprise“ arba „Edu“ darbo erdvėje įjungta duomenų saugojimo vieta, asmeninės darbo erdvės duomenų perkelti negalima. Naudotojai gali tik eksportuoti savo pokalbius ir ištrinti asmeninę darbo erdvę. Išsamiau žr. El. pašto kvietimai ir paskyrų perkėlimas.
Sujungus vartotojo paskyrą, jos atkurti neįmanoma. Jei jūsų naudotojai pasirinko parinktį „Perkelti esamą pokalbių istoriją ir GPT“, bet nemato šių duomenų savo „Enterprise“ darbo erdvėje, kreipkitės į palaikymo komandą.
Poveikis API platformos vartotojų paskyrų naudotojams
Kadangi SSO platformoje vis dar grindžiamas domenu (skirtingai nei ChatGPT, kur SSO taikomas konkrečiai darbo erdvei, kurioje jis įjungtas), jūsų vartotojų paskyrų naudotojai bus paveikti vos patvirtinus domeną ir įjungus SSO bet kurioje organizacijoje.
Vartotojų paskyrų naudotojai neteks galimybės autentifikuotis slaptažodžiais, nes nustatysime domeno atitiktį ir nukreipsime juos į jūsų IdP. Jei jie yra jūsų IdP nariai, jie gali sėkmingai autentifikuotis. Arba jie gali prisijungti naudodami socialinio OAuth parinktį, jei ji jiems prieinama. Jei ne, jūs faktiškai užblokavote jiems prieigą prie jų vartotojų paskyrų.
Išsamesnį šios eigos vadovą rasite skiltyje „Naudotojo prisijungimo eiga“.
Rekomenduojami tapatybės ir teikimo modeliai
Dabar, kai apžvelgėme pagrindinę elgseną, susijusią su mūsų tapatybės autentifikavimu ir kvietimų teikimu, gali būti naudinga peržiūrėti kelis dažniausius Enterprise naudotojams prieinamus diegimo modelius:

Naudotojo prisijungimo eiga
Jau aptarėme laukiančių kvietimų ir SSO taikymo poveikį, todėl ši dalis skirta padėti įsivaizduoti numatomą eigą ir patikras, kurias atliekame naudotojui įvedus el. pašto adresą prisijungimui.
ChatGPT prisijungimo eiga
Pastaba: šioje diagramoje neįtraukti prisijungimo bandymai naudojant socialinį metodą arba plytelės URL.

API platformos prisijungimo eiga
Pastaba: šioje diagramoje neįtraukti prisijungimo bandymai naudojant socialinį metodą arba plytelės URL.

Tolesni veiksmai
Dabar, kai jau suprantate, koks diegimas jums būtų idealus, galite vadovautis atitinkama dokumentacija, kad įjungtumėte SCIM arba SSO:
