OpenAI
Deze pagina is automatisch vertaald. Bekijk het oorspronkelijke Engelstalige artikel.

Inzicht in uw ideale configuratie voor gebruikersbeheer

Dit document is bedoeld om beheerders te helpen SSO, en mogelijk SCIM, te implementeren op een manier die het best past bij hun use-case.

Bijgewerkt: 2 hours ago

Bekijk onze pagina ‘SSO-overzicht’ om vertrouwd te raken met de kernconcepten die in dit document worden besproken.

Voordat u uw domeinen verifieert, is het belangrijk om een paar verschillende vragen te overwegen:

  • Hoe wilt u uitnodigingen voor nieuwe gebruikers provisionen?

  • Hoe wilt u omgaan met bestaande consumentenusers (persoonlijk/Plus/Pro)?

  • Hoe wilt u dat uw inlogstroom voor gebruikers eruitziet?

We bekijken elk van deze vragen in meer detail om ervoor te zorgen dat u de optie kiest die het beste bij uw behoeften past.

Nieuwe gebruikers uitnodigen

We bieden momenteel vier verschillende methoden om uitnodigingen voor gebruikers te provisionen:

  1. System for Cross-domain Identity Management (SCIM)

  2. Directe uitnodigingen vanuit de app

  3. [Alleen ChatGPT] Automatic Account Creation (AAC)

  4. [Alleen Platform] API-endpoint

Het is goed om te weten dat we onderscheid maken tussen gevallen waarin uitnodigingsmails actief worden verzonden:

  • Een nieuwe gebruiker wordt voor het eerst uitgenodigd via SCIM

  • OF via directe uitnodigingen vanuit de app

En gevallen waarin een uitnodiging stilzwijgend wordt gekoppeld aan het e-mailadres van een gebruiker in onze backend:

  • Een SCIM-gebruiker is uit uw IdP-groep verwijderd en daarna opnieuw toegevoegd

  • Automatic Account Creation

In het laatste geval zien gebruikers de uitnodigingen niet in hun inbox, maar worden ze nog steeds correct doorgestuurd naar de bijbehorende werkruimte/organisatie wanneer ze proberen in te loggen.

SCIM

SCIM is beschikbaar in zowel ChatGPT als het API Platform. SCIM stelt identiteitsproviders (bijv. Okta, Entra ID, enz.) in staat om identiteitsgegevens van gebruikers uit te wisselen met OpenAI, waarmee het provisionen van uitnodigingen (en het deprovisionen van gebruikersaccounts) op basis van organisatorische wijzigingen wordt geautomatiseerd.

Hoewel SCIM ook via uw IdP wordt geconfigureerd, kan het onafhankelijk van SSO worden ingesteld. Daarom zijn domeinverificatie/SSO geen vereisten voor SCIM.

Als u besluit zowel SCIM als SSO te gebruiken, is het belangrijke onderscheid:

  • SCIM provisioneert alleen uitnodigingen

  • SSO verzorgt de authenticatie en het aanmaken van gebruikers

Wij beschouwen SCIM als de meest robuuste en schaalbare oplossing voor algemeen gebruikersbeheer. Afhankelijk van uw ideale implementatie raden we over het algemeen de volgende architectuur als best practice aan als u zowel ChatGPT als het API Platform implementeert:

IdP setup diagram comparing one shared SAML app versus separate SCIM apps for ChatGPT and API Platform users

Met deze configuratie kunt u zowel uitnodigingen als toegang (tot ChatGPT en het API Platform) eenvoudig afzonderlijk beheren. Deze configuratie heeft als extra voordeel dat alle noodzakelijke wijzigingen centraal door uw beheerteams rechtstreeks in uw IdP kunnen worden uitgevoerd.

Als u SCIM in meerdere applicaties implementeert (d.w.z. ChatGPT vs. API Platform vs. andere accounts), moeten uw SCIM-applicaties uniek zijn. Zelfs als uw beoogde gebruikersgroep identiek is, raden we sterk aan dat elke SCIM-implementatie verwijst naar een unieke applicatie in uw IdP.

Als u niet aan deze vereiste voldoet, kan dit leiden tot inconsistenties die uiteindelijk ongeldige lidmaatschappen veroorzaken.

Directe uitnodigingen vanuit ChatGPT of API Platform

Beheerders kunnen gebruikers rechtstreeks per e-mail uitnodigen vanaf de respectieve ChatGPT- en Platform-pagina’s ‘Leden’. In ChatGPT ondersteunt deze methode ook bulkuitnodigingen via een geüpload CSV-bestand:

Workspace invite modal with CSV upload, email entry, and Resend emails for existing invites selected

Hoewel dit doorgaans niet schaalbaar is, raden we vaak aan om directe uitnodigingen te gebruiken wanneer u begint in een nieuwe werkruimte/organisatie. In tegenstelling tot SCIM is er geen mogelijke vertraging voordat de uitnodigingen de inbox van gebruikers bereiken, dus dit is de meest effectieve optie om snel toegang te verlenen, machtigingen aan te passen en algemeen te testen.

Daarnaast kunt u later altijd SCIM inschakelen en uw bestaande gebruikers onder de SCIM-applicatie onderbrengen. Er is dus geen risico dat rechtstreeks uitgenodigde gebruikers worden uitgesloten van toekomstige automatisering, tenzij dat gewenst is.

Automatic Account Creation (AAC)

In tegenstelling tot de andere opties is AAC alleen beschikbaar op de Identity-pagina van ChatGPT en vereist het dat SSO eerst is ingeschakeld:

Automatic account creation setting for verified-domain users turned off

Zoals hierboven getoond, garandeert AAC dat gebruikers die zich registreren of inloggen met een geverifieerd e-maildomein automatisch aan uw Enterprise-werkruimte worden toegevoegd. De gebruikers ontvangen geen uitnodigingsmail en het proces verloopt volledig geautomatiseerd. Dat heeft voor- en nadelen.

Als uw beleid is om open toegang toe te staan voor elke gebruiker met uw geverifieerde domein, is AAC een uitstekende optie die de extra overhead van het configureren en beheren van een SCIM-applicatie vermijdt.

AAC is echter niet ideaal als u een meer afgeschermde, op goedkeuring gebaseerde aanpak voor gebruikerstoegang nodig hebt.

⚠️ WAARSCHUWING ⚠️

Het is belangrijk om in gedachten te houden dat het inschakelen van AAC effectief alle consumentenusers (persoonlijk/Plus/Pro) onder uw domein gedwongen zal samenvoegen met uw Enterprise-werkruimte. Meer hierover vindt u hieronder in het gedeelte ‘Omgaan met bestaande gebruikers’.

Houd er rekening mee dat deze gebruikers in dit scenario nog steeds een seat in uw Enterprise-account innemen, zelfs als ze geen lid zijn van uw IdP-toegangsgroep en geen succesvolle toegang tot de werkruimte hebben als SSO wordt afgedwongen.

Om deze reden raden we in de meeste gevallen SCIM of directe uitnodigingen aan in plaats van AAC. En om mogelijke verwarring te helpen voorkomen, raden we aan AAC uitgeschakeld te laten als u van plan bent SCIM te gebruiken.

API Platform Admin Invites endpoint

Ons API Platform ondersteunt een Invites endpoint, waarmee u programmatisch gebruikers kunt uitnodigen voor uw API-organisatie.

Vergeleken met SCIM is het grote voordeel van het endpoint dat u hiermee kunt specificeren bij welke project(en) de uitgenodigde gebruiker moet horen:

Image

Dit biedt een extra laag granulariteit en controle, zonder het handmatige werk van afzonderlijke directe uitnodigingen te vereisen.

Omgaan met bestaande consumentenusers

Wij definiëren consumentenusers als gebruikers met een persoonlijk, Plus- of Pro-abonnement. Het komt vaak voor dat er bestaande consumentenusers met uw geverifieerde domein zijn die al accounts hadden vóór uw Enterprise-contract. Omdat het verifiëren van uw domein en het inschakelen van SSO downstream gevolgen kan hebben voor deze consumentenusers, is het belangrijk om vooraf het gewenste resultaat te bepalen.

Impact op ChatGPT-consumentengebruikers

Aan de ChatGPT-kant wordt de impact op consumenten grotendeels bepaald door twee factoren:

  1. Worden ze uitgenodigd voor de Enterprise-werkruimte?

    1. Als AAC is ingeschakeld, is dit standaard ‘Ja’

  2. Gaat u SSO afdwingen?

Het resulterende gedrag is hieronder te zien:

Uitnodiging in behandeling?SSO afgedwongen?Resultaat
Accounts van consumentengebruikers worden gedwongen samengevoegd met Enterprise en kunnen alleen met SSO inloggen
Accounts van consumentengebruikers worden gedwongen samengevoegd met Enterprise, gebruikers kunnen zich authenticeren met SSO of Social
Geen impact: consumentengebruikers behouden toegang tot hun persoonlijke werkruimtes via wachtwoord- of Social-authenticatie
Geen impact: consumentengebruikers behouden toegang tot hun persoonlijke werkruimtes via wachtwoord- of Social-authenticatie

Als het uw doel is om uiteindelijk geen consumentenaccounts toe te staan, neem dan contact op met uw Account Director om mogelijke opties te bespreken.

Accounts samenvoegen

De voorwaarden om een automatische samenvoeging van het consumentenaccount met een Enterprise-account te activeren, zijn als volgt:

  1. Het domein van de gebruiker is geverifieerd

  2. De gebruiker heeft een uitnodiging ontvangen voor de Enterprise-werkruimte waarin diens domein is geverifieerd

    1. ⚠️ Houd er rekening mee dat als u AAC hebt ingeschakeld, deze voorwaarde altijd waar is voor elke gebruiker met uw geverifieerde domein.

Wanneer aan deze voorwaarden is voldaan, zou de gebruiker de volgende modal moeten zien de volgende keer dat die ChatGPT opent of vernieuwt:

ChatGPT Enterprise invite flow with options to transfer chat history and GPTs or export and delete the old workspace

Zoals de afbeelding benadrukt, betalen we bestaande Plus- of Pro-abonnementen automatisch terug vóór de samenvoeging. Gebruikers hebben de optie om hun bestaande chatgeschiedenis en GPT’s over te zetten, of hun chatgeschiedenis per e-mail te exporteren en hun Enterprise-werkruimte als een ‘schone lei’ te starten.

Zodra het consumentenaccount is samengevoegd, is er geen manier om het te herstellen. Als uw gebruikers kozen voor de optie ‘Bestaande chatgeschiedenis en GPT’s overzetten’, maar dit niet terugzagen in hun Enterprise-werkruimte, neem dan contact op met Support.

Impact op API Platform-consumentengebruikers

Omdat SSO op het Platform nog steeds domeingebaseerd is (in tegenstelling tot ChatGPT, waar SSO specifiek is voor de werkruimte waarin het is ingeschakeld), zullen uw consumentengebruikers worden beïnvloed zodra u uw domein verifieert en SSO inschakelt op enige organisatie.

De consumentengebruikers verliezen de mogelijkheid om zich met wachtwoorden te authenticeren, omdat we de domeinovereenkomst herkennen en ze doorsturen naar uw IdP. Als ze lid zijn van uw IdP, kunnen ze zich succesvol authenticeren. Als alternatief kunnen ze inloggen met een Social Oauth-optie als die voor hen beschikbaar is. Zo niet, dan hebt u ze feitelijk buitengesloten van hun consumentenaccounts.

Zie de stroomdiagrammen in het gedeelte Gebruikerslogin voor een uitgebreidere handleiding van deze workflow.

Aanbevolen patronen voor identiteit en provisioning

Nu we het fundamentele gedrag van onze identiteitsauthenticatie en uitnodigingsprovisioning hebben uiteengezet, kan het nuttig zijn om enkele van de meest voorkomende implementatiepatronen voor Enterprise-gebruikers te bekijken:

Comparison table of four Enterprise user management setups by provisioning, authentication, and user experience

Gebruikersloginstroom

We hebben de impact van uitnodigingen in behandeling en het afdwingen van SSO al besproken, dus dit gedeelte is bedoeld om de verwachte stroom/controles te visualiseren die we uitvoeren wanneer een gebruiker diens e-mailadres invoert om in te loggen.

ChatGPT-inlogstroom

Opmerking: dit diagram sluit inlogpogingen via een Social-methode of via de Tile URL uit.

Flowchart of ChatGPT login paths for personal accounts, password sign-in, workspace picker, and SSO redirection

API Platform-inlogstroom

Opmerking: dit diagram sluit inlogpogingen via een Social-methode of via de Tile URL uit.

Flowchart for platform login and SSO outcomes based on verified domain and IdP access group membership

Volgende stappen

Nu u een idee hebt van uw ideale implementatie, kunt u de respectieve documentatie volgen om SCIM of SSO in te schakelen:

Was dit artikel nuttig?