OpenAI
Ta strona została przetłumaczona maszynowo. Wyświetl oryginalny artykuł w języku angielskim.

Jak zrozumieć idealną konfigurację zarządzania użytkownikami

Ten dokument ma pomóc administratorom wdrożyć logowanie jednokrotne, a ewentualnie także SCIM, w sposób najlepiej dopasowany do ich przypadku użycia.

Zaktualizowano: 2 days ago

Zapoznaj się z naszą stroną „Omówienie logowania jednokrotnego”, aby poznać kluczowe pojęcia omawiane w tym dokumencie.

Przed zweryfikowaniem domen warto rozważyć kilka różnych kwestii:

  • Jak chcesz przydzielać zaproszenia nowym użytkownikom?

  • Jak chcesz obsłużyć istniejących użytkowników konsumenckich (personal/Plus/Pro)?

  • Jak ma wyglądać proces logowania użytkowników?

Przyjrzymy się każdej z tych kwestii bardziej szczegółowo, aby pomóc Ci wybrać opcję najlepiej dopasowaną do Twoich potrzeb.

Zapraszanie nowych użytkowników

Obecnie oferujemy cztery różne metody przydzielania zaproszeń użytkownikom:

  1. System for Cross-domain Identity Management (SCIM)

  2. Bezpośrednie zaproszenia z ChatGPT lub API Platform

  3. Tylko ChatGPT: automatyczne tworzenie kont (AAC)

  4. Tylko Platform: endpoint zaproszeń administratora API Platform

Warto zauważyć, że rozróżniamy przypadki, w których wiadomości e-mail z zaproszeniem są aktywnie wysyłane, oraz przypadki, w których zaproszenie jest po cichu powiązane z adresem e-mail użytkownika w naszym backendzie.

Wiadomości e-mail z zaproszeniem są aktywnie wysyłane, gdy:

  • Nowy użytkownik jest zapraszany po raz pierwszy przez SCIM.

  • Użytkownik jest zapraszany bezpośrednio z ChatGPT lub API Platform.

Zaproszenia są po cichu powiązywane, gdy:

  • Użytkownik SCIM został usunięty z grupy u dostawcy tożsamości, a następnie ponownie dodany.

  • Ma zastosowanie automatyczne tworzenie kont.

W tym drugim przypadku użytkownicy nie zobaczą zaproszeń w skrzynce odbiorczej, ale nadal zostaną prawidłowo przekierowani do odpowiedniej przestrzeni roboczej lub organizacji przy próbie logowania.

SCIM

SCIM jest dostępny zarówno w ChatGPT, jak i w API Platform. SCIM umożliwia dostawcom tożsamości (np. Okta, Entra ID itp.) wymianę danych tożsamości użytkowników z OpenAI, automatyzując przydzielanie zaproszeń (oraz odbieranie dostępu do kont użytkowników) na podstawie zmian organizacyjnych.

Choć SCIM również konfiguruje się u dostawcy tożsamości, można go skonfigurować niezależnie od logowania jednokrotnego. Dlatego weryfikacja domeny ani logowanie jednokrotne nie są wymagane do korzystania ze SCIM.

Jeśli zdecydujesz się używać zarówno SCIM, jak i logowania jednokrotnego, ważne rozróżnienie jest następujące:

  • SCIM tylko przydziela zaproszenia

  • Logowanie jednokrotne obsługuje uwierzytelnianie i tworzenie użytkowników

Uważamy SCIM za najbardziej niezawodne i skalowalne rozwiązanie do ogólnego zarządzania użytkownikami. W zależności od idealnego wdrożenia, jeśli wdrażasz rozwiązanie zarówno w ChatGPT, jak i API Platform, zasadniczo zalecamy następującą architekturę jako najlepszą praktykę:

IdP setup diagram comparing one shared SAML app versus separate SCIM apps for ChatGPT and API Platform users

Przy takiej konfiguracji możesz łatwo zarządzać oddzielnie zarówno zaproszeniami, jak i dostępem (do ChatGPT i API Platform). Dodatkową zaletą tej konfiguracji jest to, że zespoły administracyjne mogą wprowadzać wszelkie potrzebne zmiany centralnie, bezpośrednio u dostawcy tożsamości.

Jeśli wdrażasz SCIM w wielu aplikacjach (np. ChatGPT, API Platform lub innych kontach), aplikacje SCIM powinny być unikalne. Nawet jeśli docelowa baza użytkowników jest identyczna, zdecydowanie zalecamy, aby każde wdrożenie SCIM odwoływało się do unikalnej aplikacji u Twojego dostawcy tożsamości (IdP).

Niespełnienie tego wymagania może prowadzić do niespójności, które ostatecznie skutkują nieprawidłowymi członkostwami.

Bezpośrednie zaproszenia z ChatGPT lub API Platform

Administratorzy mogą bezpośrednio zapraszać użytkowników e-mailem z odpowiednich stron ChatGPT i Platform „Członkowie”. W ChatGPT ta metoda obsługuje również zaproszenia zbiorcze za pomocą przesłanego pliku CSV:

Workspace invite modal with CSV upload, email entry, and Resend emails for existing invites selected

Choć zwykle nie jest to skalowalne rozwiązanie, często zalecamy korzystanie z bezpośrednich zaproszeń na początku pracy w nowej przestrzeni roboczej lub organizacji. W przeciwieństwie do SCIM nie ma tu potencjalnego opóźnienia w dostarczaniu zaproszeń do skrzynek użytkowników, więc jest to najskuteczniejsza opcja do szybkiego zapewniania dostępu, modyfikowania uprawnień i ogólnego testowania.

Ponadto zawsze możesz włączyć SCIM później i przypisać istniejących użytkowników do aplikacji SCIM. Nie ma więc obawy, że bezpośrednio zaproszeni użytkownicy zostaną wykluczeni z przyszłej automatyzacji, chyba że takie będzie założenie.

Automatyczne tworzenie kont (AAC)

W przeciwieństwie do innych opcji AAC jest dostępne tylko na stronie tożsamości w ChatGPT i wymaga wcześniejszego włączenia logowania jednokrotnego:

Automatic account creation setting for verified-domain users turned off

Jak pokazano powyżej, AAC gwarantuje, że użytkownicy rejestrujący się lub logujący się przy użyciu zweryfikowanej domeny e-mail zostaną automatycznie dodani do Twojej przestrzeni roboczej Enterprise. Użytkownicy nie otrzymają wiadomości e-mail z zaproszeniem, a cały proces jest w pełni zautomatyzowany. Ma to swoje zalety i wady.

Jeśli Twoja polityka zakłada otwarty dostęp dla każdego użytkownika ze zweryfikowaną domeną, AAC jest świetną opcją, która pozwala uniknąć dodatkowych kosztów pracy związanych z konfiguracją i zarządzaniem aplikacją SCIM.

AAC nie jest jednak idealne, jeśli wymagasz bardziej restrykcyjnego podejścia do dostępu użytkowników, opartego na zatwierdzaniu.

⚠️ OSTRZEŻENIE ⚠️

Pamiętaj, że włączenie AAC w praktyce wymusi scalenie wszystkich użytkowników konsumenckich (personal/Plus/Pro) z Twojej domeny z przestrzenią roboczą Enterprise. Więcej informacji znajdziesz poniżej w sekcji „Obsługa istniejących użytkowników”.

Pamiętaj, że w tym scenariuszu użytkownicy nadal zajmują miejsce na Twoim koncie Enterprise, nawet jeśli nie są członkami grupy dostępu u dostawcy tożsamości i nie mogą skutecznie uzyskać dostępu do przestrzeni roboczej, gdy wymuszono logowanie jednokrotne.

Z tego powodu w większości przypadków zalecamy SCIM lub bezpośrednie zaproszenia zamiast AAC. Aby uniknąć potencjalnych niejasności, zalecamy pozostawienie AAC wyłączonego, jeśli planujesz używać SCIM.

Endpoint zaproszeń administratora API Platform

Nasza API Platform obsługuje Endpoint zaproszeń, który pozwala programowo zapraszać użytkowników do Twojej organizacji API.

W porównaniu ze SCIM główną zaletą endpointu jest możliwość określenia projektów, do których ma należeć zaproszony użytkownik:

Image

Zapewnia to dodatkowy poziom szczegółowości i kontroli bez konieczności ręcznego wysyłania pojedynczych bezpośrednich zaproszeń.

Obsługa istniejących użytkowników konsumenckich

Użytkowników konsumenckich definiujemy jako osoby korzystające z subskrypcji Personal, Plus lub Pro. Często zdarza się, że w zweryfikowanej domenie istnieją użytkownicy konsumenccy, którzy mieli konta jeszcze przed zawarciem przez Ciebie umowy Enterprise. Ponieważ weryfikacja domeny i włączenie logowania jednokrotnego mogą mieć dalszy wpływ na tych użytkowników konsumenckich, ważne jest wcześniejsze określenie pożądanego rezultatu.

Wpływ na użytkowników konsumenckich ChatGPT

Po stronie ChatGPT wpływ na użytkowników konsumenckich zależy głównie od dwóch czynników:

  1. Czy zostaną zaproszeni do przestrzeni roboczej Enterprise?

  2. Czy wymusisz logowanie jednokrotne?

Wynikające z tego zachowanie przedstawiono poniżej:

Oczekujące zaproszenie?Wymuszone logowanie jednokrotne?Wynik
TakTakKonta użytkowników konsumenckich zostaną wymuszenie scalone z Enterprise, a użytkownicy będą mogli logować się tylko za pomocą logowania jednokrotnego.
TakNieKonta użytkowników konsumenckich zostaną wymuszenie scalone z Enterprise, a użytkownicy będą mogli uwierzytelniać się za pomocą logowania jednokrotnego lub logowania społecznościowego.
NieTakBrak wpływu: użytkownicy konsumenccy zachowują dostęp do swoich osobistych przestrzeni roboczych za pomocą hasła lub uwierzytelniania społecznościowego.
NieNieBrak wpływu: użytkownicy konsumenccy zachowują dostęp do swoich osobistych przestrzeni roboczych za pomocą hasła lub uwierzytelniania społecznościowego.

Jeśli Twoim celem jest ostateczne wyeliminowanie kont konsumenckich, skontaktuj się z Account Directorem, aby omówić możliwe opcje.

Scalanie kont

Warunki wstępne uruchomienia automatycznego scalenia konta konsumenckiego z kontem Enterprise są następujące:

  1. Domena użytkownika jest zweryfikowana.

  2. Użytkownik otrzymał zaproszenie do przestrzeni roboczej Enterprise, w której zweryfikowano jego domenę.

    • Uwaga: jeśli włączono AAC, ten warunek zawsze będzie spełniony dla każdego użytkownika z Twoją zweryfikowaną domeną.

Gdy te warunki są spełnione, przy następnym logowaniu do ChatGPT lub odświeżeniu ChatGPT użytkownik powinien zobaczyć następujące okno modalne:

ChatGPT Enterprise invite flow with options to transfer chat history and GPTs or export and delete the old workspace

Jak pokazano na obrazie, przed scaleniem automatycznie zwrócimy środki za wszystkie istniejące subskrypcje Plus lub Pro. Użytkownicy będą mogli przenieść swoją istniejącą historię czatów i GPT albo wyeksportować historię czatów e-mailem i rozpocząć korzystanie z przestrzeni roboczej Enterprise od „czystej karty”.

Po scaleniu konta konsumenckiego nie ma możliwości jego przywrócenia. Jeśli użytkownicy wybrali opcję „Przenieś istniejącą historię czatów i GPT”, ale nie widzą tego w swojej przestrzeni roboczej Enterprise, skontaktuj się z pomocą techniczną.

Wpływ na użytkowników konsumenckich API Platform

Ponieważ logowanie jednokrotne na Platform nadal jest oparte na domenie (w przeciwieństwie do ChatGPT, gdzie logowanie jednokrotne dotyczy konkretnej przestrzeni roboczej, w której zostało włączone), weryfikacja domeny i włączenie logowania jednokrotnego w dowolnej organizacji wpłyną na użytkowników konsumenckich.

Użytkownicy konsumenccy utracą możliwość uwierzytelniania za pomocą haseł, ponieważ wykryjemy zgodność domeny i przekierujemy ich do Twojego dostawcy tożsamości. Jeśli są członkami u Twojego dostawcy tożsamości, mogą pomyślnie się uwierzytelnić. Alternatywnie mogą zalogować się za pomocą społecznościowej opcji OAuth, jeśli jest dla nich dostępna. Jeśli nie, w praktyce zablokujesz im dostęp do ich kont konsumenckich.

Zobacz sekcję Proces logowania użytkownika, aby uzyskać bardziej szczegółowy przewodnik po tym przepływie pracy.

Zalecane wzorce tożsamości i przydzielania dostępu

Po przedstawieniu podstawowych mechanizmów związanych z uwierzytelnianiem tożsamości i przydzielaniem zaproszeń warto przejrzeć kilka popularniejszych wzorców wdrożenia dostępnych dla użytkowników Enterprise:

Comparison table of four Enterprise user management setups by provisioning, authentication, and user experience

Proces logowania użytkownika

Omówiliśmy już wpływ oczekujących zaproszeń i wymuszania logowania jednokrotnego, dlatego ta sekcja ma pomóc zwizualizować oczekiwany przebieg i kontrole, które wykonujemy, gdy użytkownik wpisuje swój adres e-mail, aby się zalogować.

Proces logowania do ChatGPT

Uwaga: ten diagram nie obejmuje prób logowania metodą społecznościową ani za pośrednictwem adresu URL kafelka.

Flowchart of ChatGPT login paths for personal accounts, password sign-in, workspace picker, and SSO redirection

Proces logowania do API Platform

Uwaga: ten diagram nie obejmuje prób logowania metodą społecznościową ani za pośrednictwem adresu URL kafelka.

Flowchart for platform login and SSO outcomes based on verified domain and IdP access group membership

Kolejne kroki

Gdy masz już wyobrażenie o idealnym wdrożeniu, możesz skorzystać z odpowiedniej dokumentacji, aby włączyć SCIM lub logowanie jednokrotne:

Czy ten artykuł był pomocny?