Bekijk onze pagina ‘SSO-overzicht’ om vertrouwd te raken met de belangrijkste concepten die in dit document worden besproken.
Voordat je je domeinen verifieert, is het belangrijk om een paar vragen te overwegen:
Hoe wil je uitnodigingen voor nieuwe gebruikers inrichten?
Hoe wil je omgaan met bestaande gebruikers met een consumentenaccount (personal/Plus/Pro)?
Hoe moet de inlogstroom voor je gebruikers eruitzien?
We bekijken elk van deze vragen uitgebreider, zodat je de optie kunt kiezen die het beste bij je behoeften past.
Nieuwe gebruikers uitnodigen
We bieden momenteel vier verschillende methoden om uitnodigingen voor gebruikers in te richten:
Het is goed om te weten dat we onderscheid maken tussen gevallen waarin uitnodigingsmails actief worden verzonden en gevallen waarin een uitnodiging stilzwijgend aan het e-mailadres van een gebruiker in onze backend wordt gekoppeld.
Uitnodigingsmails worden actief verzonden wanneer:
Een nieuwe gebruiker voor het eerst via SCIM wordt uitgenodigd.
Een gebruiker rechtstreeks vanuit ChatGPT of het API Platform wordt uitgenodigd.
Uitnodigingen worden stilzwijgend gekoppeld wanneer:
Een SCIM-gebruiker uit je IdP-groep is verwijderd en vervolgens opnieuw is toegevoegd.
Automatisch accounts aanmaken van toepassing is.
In dat laatste geval zien gebruikers de uitnodigingen niet in hun inbox, maar worden ze nog steeds correct doorgestuurd naar de bijbehorende werkruimte of organisatie wanneer ze proberen in te loggen.
SCIM
SCIM is beschikbaar in zowel ChatGPT als het API Platform. Met SCIM kunnen identiteitsproviders (bijv. Okta, Entra ID, enz.) gebruikersidentiteitsgegevens uitwisselen met OpenAI, zodat het inrichten van uitnodigingen (en het deprovisionen van gebruikersaccounts) wordt geautomatiseerd op basis van organisatorische wijzigingen.
Hoewel SCIM ook via je IdP wordt geconfigureerd, kan het onafhankelijk van SSO worden ingesteld. Domeinverificatie en SSO zijn daarom geen vereisten voor SCIM.
Als je besluit zowel SCIM als SSO te gebruiken, is dit het belangrijke onderscheid:
SCIM richt alleen uitnodigingen in
SSO regelt de authenticatie en het aanmaken van gebruikers
Wij beschouwen SCIM als de meest robuuste en schaalbare oplossing voor algemeen gebruikersbeheer. Afhankelijk van je ideale implementatie raden we doorgaans de volgende architectuur aan als best practice wanneer je zowel ChatGPT als het API Platform implementeert:

Met deze configuratie kun je eenvoudig zowel uitnodigingen als toegang (tot ChatGPT en het API Platform) afzonderlijk beheren. Deze configuratie heeft als extra voordeel dat je beheerteams alle noodzakelijke wijzigingen centraal en rechtstreeks in je IdP kunnen uitvoeren.
Als je SCIM implementeert voor meerdere applicaties (bijv. ChatGPT, API Platform of andere accounts), moeten je SCIM-applicaties uniek zijn. Zelfs als je doelgroep exact hetzelfde is, raden we sterk aan dat elke SCIM-implementatie verwijst naar een unieke applicatie in je IdP.
Als je niet aan deze vereiste voldoet, kan dit leiden tot inconsistenties die uiteindelijk resulteren in ongeldige lidmaatschappen.
Directe uitnodigingen vanuit ChatGPT of API Platform
Beheerders kunnen gebruikers rechtstreeks per e-mail uitnodigen vanaf de betreffende pagina’s ChatGPT en Platform ‘Leden’. In ChatGPT ondersteunt deze methode ook bulkuitnodigingen via een geüploade CSV:

Hoewel dit meestal niet schaalbaar is, raden we vaak aan directe uitnodigingen te gebruiken wanneer je begint in een nieuwe werkruimte of organisatie. In tegenstelling tot SCIM is er geen mogelijke vertraging voordat de uitnodigingen in de inbox van gebruikers terechtkomen. Daarom is dit de meest effectieve optie voor snelle toegang, het aanpassen van rechten en algemene tests.
Daarnaast kun je SCIM later altijd inschakelen en je bestaande gebruikers onder de SCIM-applicatie plaatsen. Je hoeft dus niet bang te zijn dat direct uitgenodigde gebruikers van toekomstige automatisering worden uitgesloten, tenzij dat de bedoeling is.
Automatisch accounts aanmaken (AAC)
In tegenstelling tot de andere opties is AAC alleen beschikbaar op de Identity-pagina van ChatGPT en moet SSO eerst zijn ingeschakeld:

Zoals hierboven weergegeven, garandeert AAC dat gebruikers die zich aanmelden of inloggen met een geverifieerd e-maildomein automatisch worden toegevoegd aan je Enterprise-werkruimte. Gebruikers ontvangen geen uitnodigingsmail en het proces is volledig geautomatiseerd. Dit heeft voor- en nadelen.
Als je beleid is om open toegang toe te staan voor elke gebruiker met je geverifieerde domein, is AAC een goede optie waarmee je de extra overhead van het configureren en beheren van een SCIM-applicatie vermijdt.
AAC is echter niet ideaal als je een meer afgeschermde, op goedkeuring gebaseerde aanpak voor gebruikerstoegang nodig hebt.
⚠️ WAARSCHUWING ⚠️
Houd er rekening mee dat het inschakelen van AAC alle gebruikers met een consumentenaccount (personal/Plus/Pro) onder je domein feitelijk gedwongen samenvoegt in je Enterprise-werkruimte. Meer hierover vind je hieronder in de sectie ‘Omgaan met bestaande gebruikers’.
Let op: zelfs als de gebruikers geen lid zijn van je IdP-toegangsgroep en de werkruimte niet kunnen openen wanneer SSO wordt afgedwongen, nemen ze in dit scenario nog steeds een seat in je Enterprise-account in.
Om die reden raden we in de meeste gevallen meestal SCIM of directe uitnodigingen aan in plaats van AAC. En om mogelijke verwarring te voorkomen, raden we aan AAC uitgeschakeld te laten als je van plan bent SCIM te gebruiken.
Admin Invites Endpoint van het API Platform
Ons API Platform ondersteunt een Invites Endpoint, waarmee je gebruikers programmatisch kunt uitnodigen voor je API-organisatie.
Vergeleken met SCIM is het belangrijkste voordeel van de endpoint dat je kunt opgeven bij welk(e) project(en) de uitgenodigde gebruiker moet horen:

Dit biedt een extra laag granulariteit en controle, zonder het handmatige werk van afzonderlijke directe uitnodigingen.
Omgaan met bestaande gebruikers met consumentenaccounts
We definiëren gebruikers met consumentenaccounts als gebruikers met een Personal-, Plus- of Pro-abonnement. Vaak zijn er bestaande gebruikers met consumentenaccounts binnen je geverifieerde domein die al een account hadden vóór je Enterprise-contract. Omdat het verifiëren van je domein en het inschakelen van SSO verdere impact kan hebben op deze gebruikers met consumentenaccounts, is het belangrijk om vooraf het gewenste resultaat te bepalen.
Impact op ChatGPT-gebruikers met consumentenaccounts
Aan de ChatGPT-kant wordt de impact op gebruikers met consumentenaccounts grotendeels bepaald door twee factoren:
Worden ze uitgenodigd voor de Enterprise-werkruimte?
Ga je SSO afdwingen?
Het resulterende gedrag zie je hieronder:
| Openstaande uitnodiging? | SSO afgedwongen? | Resultaat |
|---|---|---|
| Ja | Ja | Consumentenaccounts van gebruikers worden gedwongen samengevoegd met Enterprise, en gebruikers kunnen alleen inloggen met SSO. |
| Ja | Nee | Consumentenaccounts van gebruikers worden gedwongen samengevoegd met Enterprise, en gebruikers kunnen zich authenticeren met SSO of sociaal inloggen. |
| Nee | Ja | Geen impact: gebruikers met consumentenaccounts behouden toegang tot hun persoonlijke werkruimten via wachtwoord- of sociale authenticatie. |
| Nee | Nee | Geen impact: gebruikers met consumentenaccounts behouden toegang tot hun persoonlijke werkruimten via wachtwoord- of sociale authenticatie. |
Als je doel is om uiteindelijk alle consumentenaccounts te voorkomen, neem dan contact op met je Account Director om mogelijke opties te bespreken.
Accounts samenvoegen
De vereisten om een consumentenaccount automatisch samen te voegen met een Enterprise-account zijn als volgt:
Het domein van de gebruiker is geverifieerd.
De gebruiker heeft een uitnodiging ontvangen voor de Enterprise-werkruimte waarvoor het domein van de gebruiker is geverifieerd.
Opmerking: als je AAC hebt ingeschakeld, geldt deze voorwaarde altijd voor elke gebruiker met je geverifieerde domein.
Wanneer aan deze voorwaarden is voldaan, zou de gebruiker de volgende keer dat die inlogt bij ChatGPT of ChatGPT vernieuwt, het volgende dialoogvenster moeten zien:

Zoals in de afbeelding is gemarkeerd, betalen we bestaande Plus- of Pro-abonnementen automatisch terug voordat de accounts worden samengevoegd. Gebruikers krijgen de optie om hun bestaande chatgeschiedenis en GPT's over te zetten, of om hun chatgeschiedenis via e-mail te exporteren en hun Enterprise-werkruimte met een ‘schone lei’ te beginnen.
Opmerking: als gegevensresidentie is ingeschakeld voor de Enterprise- of Edu-werkruimte van bestemming, kunnen gegevens uit de persoonlijke werkruimte niet worden overgezet. Gebruikers kunnen alleen hun chats exporteren en de persoonlijke werkruimte verwijderen. Zie E-mailuitnodigingen en accountmigraties voor meer informatie.
Zodra het consumentenaccount is samengevoegd, kan het niet meer worden hersteld. Als je gebruikers de optie ‘Bestaande chatgeschiedenis en GPT's overzetten’ hebben gekozen, maar dit niet terugzagen in hun Enterprise-werkruimte, neem dan contact op met Support.
Impact op gebruikers met consumentenaccounts op het API Platform
Omdat SSO op het Platform nog steeds domeingebaseerd is (in tegenstelling tot ChatGPT, waar SSO specifiek is voor de werkruimte waarin het is ingeschakeld), worden je gebruikers met consumentenaccounts beïnvloed zodra je je domein verifieert en SSO inschakelt voor een organisatie.
Gebruikers met consumentenaccounts kunnen zich dan niet meer met wachtwoorden authenticeren, omdat we de domeinovereenkomst herkennen en hen doorsturen naar je IdP. Als ze lid zijn van je IdP, kunnen ze zich succesvol authenticeren. Als alternatief kunnen ze inloggen met een sociale OAuth-optie, als die voor hen beschikbaar is. Zo niet, dan heb je ze feitelijk buitengesloten van hun consumentenaccounts.
Zie de sectie Inlogstroom voor gebruikers voor een uitgebreidere uitleg van deze workflow.
Aanbevolen patronen voor identiteit en provisioning
Nu we het basisgedrag rond onze identiteitsauthenticatie en het inrichten van uitnodigingen hebben uiteengezet, kan het nuttig zijn enkele van de meest voorkomende implementatiepatronen voor Enterprise-gebruikers te bekijken:

Inlogstroom voor gebruikers
We hebben de impact van openstaande uitnodigingen en het afdwingen van SSO al besproken. Deze sectie helpt daarom de verwachte stroom en controles te visualiseren die we uitvoeren wanneer een gebruiker zijn e-mailadres invoert om in te loggen.
Inlogstroom voor ChatGPT
Opmerking: in dit diagram worden inlogpogingen via een sociale methode of via de tegel-URL niet meegenomen.

Inlogstroom voor het API Platform
Opmerking: in dit diagram worden inlogpogingen via een sociale methode of via de tegel-URL niet meegenomen.

Volgende stappen
Nu je een beeld hebt van je ideale implementatie, kun je de betreffende documentatie volgen om SCIM of SSO in te schakelen:
