OpenAI
Ta strona została przetłumaczona maszynowo. Wyświetl oryginalny artykuł w języku angielskim.

Jak wybrać idealną konfigurację zarządzania użytkownikami

Ten dokument ma pomóc administratorom wdrożyć logowanie jednokrotne i ewentualnie SCIM w sposób najlepiej dopasowany do ich przypadku użycia.

Zaktualizowano: yesterday

Zapoznaj się z naszą stroną „Przegląd SSO”, aby poznać kluczowe pojęcia omawiane w tym dokumencie.

Przed zweryfikowaniem domen warto rozważyć kilka pytań:

  • Jak chcesz udostępniać zaproszenia nowym użytkownikom?

  • Jak chcesz postępować z istniejącymi użytkownikami konsumenckimi (osobistymi/Plus/Pro)?

  • Jak ma wyglądać proces logowania użytkowników?

Przyjrzymy się każdemu z tych pytań bardziej szczegółowo, aby pomóc Ci wybrać opcję najlepiej odpowiadającą Twoim potrzebom.

Zapraszanie nowych użytkowników

Obecnie oferujemy cztery różne metody udostępniania zaproszeń użytkownikom:

  1. System for Cross-domain Identity Management (SCIM)

  2. Bezpośrednie zaproszenia z aplikacji

  3. [Tylko ChatGPT] Automatic Account Creation (AAC)

  4. [Tylko Platforma] punkt końcowy API

Warto zauważyć, że rozróżniamy przypadki, w których e-maile z zaproszeniami są aktywnie wysyłane:

  • Nowy użytkownik jest zapraszany po raz pierwszy przez SCIM

  • LUB przez bezpośrednie zaproszenia z aplikacji

Oraz przypadki, w których zaproszenie jest po cichu kojarzone w naszym backendzie z adresem e-mail użytkownika:

  • Użytkownik SCIM został usunięty z grupy IdP, a następnie dodany ponownie

  • Automatic Account Creation

W tym drugim przypadku użytkownicy nie zobaczą zaproszeń w swojej skrzynce odbiorczej, ale nadal zostaną prawidłowo skierowani do odpowiedniej przestrzeni roboczej/organizacji, gdy spróbują się zalogować.

SCIM

SCIM jest dostępny zarówno w ChatGPT, jak i na Platformie API. SCIM umożliwia dostawcom tożsamości (np. Okta, Entra ID itp.) wymianę danych tożsamości użytkowników z OpenAI, automatyzując udostępnianie zaproszeń (oraz wycofywanie kont użytkowników) na podstawie zmian organizacyjnych.

Chociaż SCIM również konfiguruje się za pośrednictwem Twojego IdP, można go skonfigurować niezależnie od logowania jednokrotnego. Dlatego weryfikacja domeny/logowanie jednokrotne nie są wymagane dla SCIM.

Jeśli zdecydujesz się używać zarówno SCIM, jak i logowania jednokrotnego, ważne rozróżnienie jest następujące:

  • SCIM udostępnia tylko zaproszenia

  • Logowanie jednokrotne obsługuje uwierzytelnianie i tworzenie użytkowników

Uważamy SCIM za najbardziej solidne i skalowalne rozwiązanie do całościowego zarządzania użytkownikami. W zależności od docelowego sposobu wdrożenia, jeśli wdrażasz rozwiązanie zarówno w ChatGPT, jak i na Platformie API, ogólnie zalecamy następującą architekturę jako najlepszą praktykę:

IdP setup diagram comparing one shared SAML app versus separate SCIM apps for ChatGPT and API Platform users

Dzięki tej konfiguracji możesz łatwo zarządzać oddzielnie zarówno zaproszeniami, jak i dostępem (do ChatGPT i Platformy API). Dodatkową zaletą tego rozwiązania jest to, że wszelkie niezbędne zmiany mogą być wprowadzane centralnie przez zespoły administracyjne bezpośrednio w Twoim IdP.

Jeśli wdrażasz SCIM w wielu aplikacjach (np. ChatGPT, Platforma API lub inne konta), Twoje aplikacje SCIM powinny być unikalne. Nawet jeśli docelowa baza użytkowników jest identyczna, zdecydowanie zalecamy, aby każda implementacja SCIM odwoływała się do unikalnej aplikacji w Twoim IdP.

Jeśli ten wymóg nie zostanie spełniony, może to prowadzić do problemów z niespójnością, które ostatecznie skutkują nieprawidłowymi członkostwami.

Bezpośrednie zaproszenia z ChatGPT lub Platformy API

Administratorzy mogą bezpośrednio zapraszać użytkowników e-mailem z odpowiednich stron ChatGPT i Platformy „Członkowie”. W ChatGPT ta metoda obsługuje także masowe zaproszenia za pomocą przesłanego pliku CSV:

Workspace invite modal with CSV upload, email entry, and Resend emails for existing invites selected

Choć zwykle nie jest to rozwiązanie skalowalne, często zalecamy korzystanie z bezpośrednich zaproszeń na początku pracy w nowej przestrzeni roboczej/organizacji. W przeciwieństwie do SCIM nie ma tu ryzyka opóźnienia w dostarczaniu zaproszeń do skrzynek odbiorczych użytkowników, dlatego jest to najskuteczniejsza opcja do szybkiego przyznawania dostępu, modyfikowania uprawnień i ogólnych testów.

Dodatkowo zawsze możesz później włączyć SCIM i przypisać istniejących użytkowników do aplikacji SCIM. Nie ma więc obawy, że użytkownicy zaproszeni bezpośrednio zostaną wykluczeni z przyszłej automatyzacji, chyba że będzie to zamierzone.

Automatic Account Creation (AAC)

W przeciwieństwie do innych opcji AAC jest dostępne tylko na stronie Tożsamość w ChatGPT i wymaga wcześniejszego włączenia logowania jednokrotnego:

Automatic account creation setting for verified-domain users turned off

Jak pokazano powyżej, AAC gwarantuje, że użytkownicy rejestrujący się lub logujący się przy użyciu zweryfikowanej domeny e-mail zostaną automatycznie dodani do Twojej przestrzeni roboczej Enterprise. Użytkownicy nie otrzymają e-maila z zaproszeniem, a cały proces jest w pełni zautomatyzowany. Ma to swoje zalety i wady.

Jeśli Twoja polityka zakłada otwarty dostęp dla każdego użytkownika posiadającego zweryfikowaną domenę, AAC to świetna opcja, która pozwala uniknąć dodatkowego narzutu związanego z konfiguracją i zarządzaniem aplikacją SCIM.

Jednak AAC nie jest idealnym rozwiązaniem, jeśli potrzebujesz bardziej zamkniętego podejścia do dostępu użytkowników, opartego na zatwierdzaniu.

⚠️ OSTRZEŻENIE ⚠️

Warto pamiętać, że włączenie AAC w praktyce wymusi scalenie wszystkich użytkowników konsumenckich (osobistych/Plus/Pro) w Twojej domenie z Twoją przestrzenią roboczą Enterprise. Więcej informacji znajdziesz poniżej w sekcji „Obsługa istniejących użytkowników”.

Pamiętaj, że nawet jeśli użytkownicy nie są członkami grupy dostępu IdP i nie mogą skutecznie uzyskać dostępu do przestrzeni roboczej przy wymuszonym logowaniu jednokrotnym, w tym scenariuszu nadal zajmują miejsce na Twoim koncie Enterprise.

Z tego powodu w większości przypadków zalecamy raczej SCIM lub bezpośrednie zaproszenia niż AAC. Aby dodatkowo uniknąć potencjalnych nieporozumień, zalecamy pozostawienie AAC wyłączonego, jeśli planujesz korzystać z SCIM.

Punkt końcowy zaproszeń administratora Platformy API

Nasza Platforma API obsługuje punkt końcowy Invites, który umożliwia programowe zapraszanie użytkowników do organizacji API.

W porównaniu ze SCIM główną zaletą tego punktu końcowego jest możliwość określenia projektów, do których powinien należeć zaproszony użytkownik:

Image

Zapewnia to dodatkowy poziom szczegółowości i kontroli bez konieczności ręcznej pracy związanej z pojedynczymi bezpośrednimi zaproszeniami.

Obsługa istniejących użytkowników konsumenckich

Przez użytkowników konsumenckich rozumiemy osoby korzystające z subskrypcji osobistej, Plus lub Pro. Często zdarza się, że w ramach zweryfikowanej domeny istnieją już tacy użytkownicy, którzy mieli konta jeszcze przed zawarciem umowy Enterprise. Ponieważ weryfikacja domeny i włączenie logowania jednokrotnego mogą mieć dalszy wpływ na tych użytkowników konsumenckich, ważne jest wcześniejsze określenie pożądanego rezultatu.

Wpływ na użytkowników konsumenckich ChatGPT

Po stronie ChatGPT wpływ na użytkowników konsumenckich zależy głównie od dwóch czynników:

  1. Czy zostaną zaproszeni do przestrzeni roboczej Enterprise?

    1. Jeśli AAC jest włączone, domyślna odpowiedź brzmi „Tak”

  2. Czy będziesz wymuszać logowanie jednokrotne?

Wynikające z tego zachowanie przedstawiono poniżej:

Oczekujące zaproszenie?Wymuszone logowanie jednokrotne?Wynik
Konta użytkowników konsumenckich zostaną przymusowo scalone z Enterprise i logowanie będzie możliwe tylko przez SSO
Konta użytkowników konsumenckich zostaną przymusowo scalone z Enterprise, użytkownicy będą mogli uwierzytelniać się przez SSO lub social login
Brak wpływu: użytkownicy konsumenccy zachowują dostęp do swoich osobistych przestrzeni roboczych przez hasło lub social login
Brak wpływu: użytkownicy konsumenccy zachowują dostęp do swoich osobistych przestrzeni roboczych przez hasło lub social login

Jeśli Twoim celem jest ostateczne uniemożliwienie istnienia jakichkolwiek kont konsumenckich, skontaktuj się z opiekunem klienta, aby omówić możliwe opcje.

Scalanie kont

Warunki wstępne uruchomienia automatycznego scalenia konta konsumenckiego z kontem Enterprise są następujące:

  1. Domena użytkownika jest zweryfikowana

  2. Użytkownik otrzymał zaproszenie do przestrzeni roboczej Enterprise, w której jego domena jest zweryfikowana

    1. ⚠️ Pamiętaj, że jeśli masz włączone AAC, ten warunek będzie zawsze spełniony dla każdego użytkownika z Twoją zweryfikowaną domeną.

Gdy te warunki zostaną spełnione, przy następnym logowaniu do ChatGPT lub odświeżeniu strony użytkownik powinien zobaczyć następujące okno modalne:

ChatGPT Enterprise invite flow with options to transfer chat history and GPTs or export and delete the old workspace

Jak podkreślono na ilustracji, przed scaleniem automatycznie zwrócimy koszty wszelkich istniejących subskrypcji Plus lub Pro. Użytkownicy będą mogli przenieść istniejącą historię czatów i GPT albo wyeksportować historię czatów e-mailem i rozpocząć korzystanie z przestrzeni roboczej Enterprise „od zera”.

Po scaleniu konta konsumenckiego nie ma możliwości jego przywrócenia. Jeśli użytkownicy wybrali opcję „Przenieś istniejącą historię czatów i GPT”, ale nie widzą tego w swojej przestrzeni roboczej Enterprise, skontaktuj się z pomocą techniczną.

Wpływ na użytkowników konsumenckich Platformy API

Ponieważ logowanie jednokrotne na Platformie nadal jest oparte na domenie (w przeciwieństwie do ChatGPT, gdzie logowanie jednokrotne jest przypisane do konkretnej przestrzeni roboczej, w której zostało włączone), Twoi użytkownicy konsumenccy odczują skutki, gdy tylko zweryfikujesz domenę i włączysz logowanie jednokrotne w dowolnej organizacji.

Użytkownicy konsumenccy stracą możliwość uwierzytelniania za pomocą haseł, ponieważ wykrywamy zgodność domeny i przekierowujemy ich do Twojego IdP. Jeśli są członkami Twojego IdP, mogą pomyślnie się uwierzytelnić. Alternatywnie mogą zalogować się za pomocą opcji Social OAuth, jeśli mają do niej dostęp. Jeśli nie, to w praktyce zablokujesz im dostęp do ich kont konsumenckich.

Aby uzyskać bardziej szczegółowy przewodnik po tym procesie, zobacz przepływy w sekcji Logowanie użytkownika.

Zalecane wzorce tożsamości i udostępniania

Teraz, gdy omówiliśmy podstawowe zachowania związane z uwierzytelnianiem tożsamości i udostępnianiem zaproszeń, warto przejrzeć kilka częściej spotykanych wzorców wdrożenia dostępnych dla użytkowników Enterprise:

Comparison table of four Enterprise user management setups by provisioning, authentication, and user experience

Proces logowania użytkownika

Omówiliśmy już wpływ oczekujących zaproszeń i wymuszania logowania jednokrotnego, więc ta sekcja ma pomóc zobrazować oczekiwany przebieg oraz kontrole, które wykonujemy, gdy użytkownik wpisuje swój adres e-mail, aby się zalogować.

Proces logowania do ChatGPT

Uwaga: ten diagram nie obejmuje prób logowania metodą Social ani przez adres URL kafelka.

Flowchart of ChatGPT login paths for personal accounts, password sign-in, workspace picker, and SSO redirection

Proces logowania do Platformy API

Uwaga: ten diagram nie obejmuje prób logowania metodą Social ani przez adres URL kafelka.

Flowchart for platform login and SSO outcomes based on verified domain and IdP access group membership

Kolejne kroki

Teraz, gdy masz już pomysł na idealny sposób wdrożenia, możesz skorzystać z odpowiedniej dokumentacji, aby włączyć SCIM lub logowanie jednokrotne:

Czy ten artykuł był pomocny?