Om toegang te krijgen tot een ChatGPT Enterprise- of Edu-werkruimte, moeten er twee dingen gebeuren:
De gebruiker moet in de werkruimte worden ingericht
De gebruiker moet zijn identiteit bij OpenAI verifiëren
Domeinverificatie
Voordat je aanvullende opties voor inrichting en verificatie instelt, moet je op de pagina Identity & Provisioning het eigendom van een of meer e-maildomeinen verifiëren. Hiermee wordt het e-maildomein gekoppeld aan je ChatGPT Enterprise-werkruimte. Meer informatie over domeinverificatie voor ChatGPT Enterprise en Edu.
Inrichting
Standaard richten eigenaren en beheerders van werkruimten gebruikers in door hen uit te nodigen via de ledenpagina van de ChatGPT-werkruimte.
Om het inrichtingsproces te automatiseren, kunnen eigenaren van werkruimten de volgende opties configureren op de pagina Identity & Provisioning:
Automatic Account Creation - geeft gebruikers automatisch toegang tot een werkruimte op basis van hun e-maildomein wanneer ze proberen in te loggen. Meer informatie over Automatic Account Creation.
Directory Sync via SCIM - nodigt gebruikers automatisch uit voor de werkruimte op basis van hun lidmaatschap van opgegeven Identity Provider-groepen. Meer informatie over inrichting via SCIM.
Bepaal of door SCIM beheerde groepen vindbaar zijn in deelstromen zoals GPT's en projecten; zie: SCIM Integration FAQ.
Eigenaren van werkruimten kunnen desgewenst uitnodigingen voor externe domeinen uitschakelen om nieuwe uitnodigingen te beperken tot gebruikers van wie het e-mailadres overeenkomt met geverifieerde domeinen. Deze beperking geldt alleen voor nieuwe uitnodigingen en blokkeert niet met terugwerkende kracht bestaande gebruikers of uitnodigingen die al zijn verzonden.
Opmerking: Deze functies zijn momenteel niet beschikbaar voor ChatGPT for Teachers-gebruikers.
E-mailuitnodigingen en accountmigraties
Wanneer een gebruiker wordt uitgenodigd voor je ChatGPT-werkruimte, handmatig of via inrichting met SCIM, stuurt OpenAI standaard een uitnodigingsmail (zie dit artikel voor gevallen waarin geen e-mail wordt verzonden). Als het e-mailadres van de gebruiker overeenkomt met een geverifieerd domein, wordt de gebruiker automatisch toegevoegd aan de werkruimte, of die nu de uitnodigingslink in de e-mail accepteert of inlogt via chatgpt.com
Als een uitgenodigde gebruiker met een e-mailadres dat overeenkomt met een geverifieerd domein al een bestaand ChatGPT-account heeft, wordt deze bij het accepteren van de uitnodiging gevraagd het account te migreren naar de Enterprise-werkruimte. Gebruikers kunnen ervoor kiezen hun bestaande gegevens over te zetten naar de Enterprise-werkruimte, of hun gegevens te exporteren en te verwijderen. Betaalde persoonlijke abonnementen worden automatisch geannuleerd als onderdeel van het migratieproces.
Opmerking: Wanneer een gebruiker zijn persoonlijke werkruimte overdraagt naar een ChatGPT Enterprise- of Edu-werkruimte, worden persoonlijke GPT's die al waren gedeeld of gepubliceerd, waaronder GPT's die via een link zijn gedeeld, omgezet in voor de werkruimte zichtbare GPT's in de doelwerkruimte. GPT's die vóór de overdracht privé waren, blijven privé. Eigenaren van werkruimten kunnen na de migratie de zichtbaarheid van overgedragen GPT's controleren en bijwerken.
Als een uitgenodigde gebruiker al een ChatGPT-account heeft dat is gekoppeld aan een e-mailadres dat niet overeenkomt met een geverifieerd domein, wordt deze niet gevraagd het account te migreren en kan diegene zowel het persoonlijke account als de toegang tot de Enterprise-werkruimte behouden.
Workflow voor accountmigratie zoals weergegeven aan gebruikers in de ChatGPT Enterprise-interface.
Opmerking: Voor ChatGPT Business-abonnementen die upgraden naar een Enterprise-abonnement:
Gebruikers die tot de ChatGPT Business-werkruimte behoren, worden niet gevraagd hun Business-werkruimte naar de Enterprise-werkruimte te migreren, maar wel hun persoonlijke werkruimte.
Authenticatie
Standaard authenticeren gebruikers zich bij OpenAI met een e-mailadres en wachtwoord, of via social login (Google, Microsoft of Apple).
Om het authenticatieproces verder te beveiligen, kunnen eigenaren van werkruimten de volgende Single Sign-On (SSO) configureren op de pagina Identity & Provisioning:
SSO inschakelen - Gebruikers die in de werkruimte zijn ingericht en een e-mailadres hebben dat is gekoppeld aan een geverifieerd domein, kunnen zich authenticeren via de geïntegreerde Identity Provider (IdP). Wanneer SSO is ingeschakeld maar niet afgedwongen, kunnen gebruikers er nog steeds voor kiezen zich te authenticeren met hun gebruikersnaam en wachtwoord of via social login met Google, Microsoft en Apple.
SSO afdwingen - Heeft daarnaast als effect dat social login wordt uitgeschakeld voor gebruikers die in de werkruimte zijn ingericht en een e-mailadres hebben dat is gekoppeld aan een geverifieerd domein.
Het inschakelen of afdwingen van SSO op zichzelf heeft geen invloed op de ervaring van de volgende typen gebruikers:
ChatGPT-gebruikers met een e-mailadres dat overeenkomt met een geverifieerd domein die niet in de werkruimte zijn ingericht. Deze gebruikers kunnen na het configureren van SSO gewoon toegang blijven houden tot hun persoonlijke ChatGPT-accounts.
ChatGPT-gebruikers met een e-maildomein dat niet overeenkomt met een geverifieerd e-maildomein, maar die wel in de werkruimte zijn ingericht. Deze gebruikers kunnen de ChatGPT Enterprise-werkruimte blijven gebruiken via wachtwoordgebaseerde of social login-methoden.
Meer informatie over het configureren van SSO.
SSO configureren voor OpenAI-producten
Je ChatGPT Enterprise-werkruimte en API Platform-organisaties van OpenAI delen één enkele SSO-verbinding met je IdP. Daardoor worden domeinverificaties en SAML SSO-instellingen tussen producten gedeeld. Als je SSO al hebt geconfigureerd in je API Platform-organisatie, worden geverifieerde domeinen en SAML SSO-instellingen vooraf ingevuld in ChatGPT. Het omgekeerde geldt ook.
SSO moet afzonderlijk worden ingeschakeld voor ChatGPT en voor het API Platform. Zodra je het echter op het ene hebt geconfigureerd, bestaat de ‘installatie’ van het andere grotendeels uit het omzetten van de schakelaar en desgewenst het toevoegen van een bookmark-app in je IdP.
| API Platform SSO ingeschakeld | API Platform SSO uitgeschakeld | |
| ChatGPT SSO ingeschakeld | ✅ | ✅ |
| ChatGPT SSO uitgeschakeld | ✅ | ✅ |
Meer informatie over de configuratie van API Platform SSO.
Aanbevolen patronen voor identiteit en inrichting
ChatGPT Enterprise biedt je de flexibiliteit om identiteits- en inrichtingsopties te combineren. De meest voorkomende patronen worden ter referentie gegeven.
| Inrichting | Authenticatie | Gebruikerservaring | |
| Toegang op basis van opt-in Elke gebruiker die zich authenticereert met een e-mailadres dat is gekoppeld aan een geverifieerd domein, wordt automatisch ingericht in je werkruimte. | Automatic Account Creation | Wachtwoord of social login | Bij het aanmaken van of inloggen op een persoonlijk account worden gebruikers gevraagd hun persoonlijke account te migreren naar de Enterprise-werkruimte. |
| SSO met handmatige uitnodigingen Gebruikers die handmatig voor de werkruimte zijn uitgenodigd, kunnen zich authenticeren met SSO. | Handmatig | SSO ingeschakeld of afgedwongen | Gebruikers kunnen zich blijven aanmelden voor of inloggen op hun persoonlijke accounts. Nadat ze zijn uitgenodigd voor de Enterprise-werkruimte, worden gebruikers gevraagd hun bestaande persoonlijke account te migreren. |
| SSO met Automated Account Creation Elke gebruiker die zich authenticereert met een e-mailadres dat is gekoppeld aan een geverifieerd domein, wordt automatisch ingericht in je werkruimte en kan zich vervolgens authenticeren met SSO. | Automatic Account Creation | SSO ingeschakeld of afgedwongen | Bij het aanmaken van of inloggen op hun persoonlijke account worden gebruikers gevraagd hun persoonlijke account te migreren naar de Enterprise-werkruimte. Opmerking: gebruikers zonder de mogelijkheid om zich via de IdP te authenticeren, kunnen niet inloggen bij ChatGPT nadat ze naar de Enterprise-werkruimte zijn gemigreerd. |
| SSO met SCIM Gebruikers die lid zijn van een opgegeven IdP-groep worden automatisch uitgenodigd voor de werkruimte en kunnen zich vervolgens authenticeren met SSO. | SCIM | SSO ingeschakeld of afgedwongen | Gebruikers kunnen zich blijven aanmelden voor of inloggen op persoonlijke accounts. Zodra gebruikers aan de opgegeven IdP-groepen worden toegevoegd, ontvangen ze een uitnodigingsmail en worden ze gevraagd hun bestaande persoonlijke account te migreren. |