OpenAI

Entendendo a configuração ideal de gerenciamento de usuários

Este documento tem como objetivo ajudar os administradores a implementar o SSO e, potencialmente, o SCIM, da maneira mais adequada ao seu caso de uso.

Atualizado: 15 days ago

Por favor, consulte nossa página "Visão geral do SSO" para se familiarizar com os principais conceitos discutidos neste documento.

Antes de verificar seus domínios, é importante considerar algumas questões diferentes:

  • Como você gostaria de enviar convites para novos usuários?

  • Como você gostaria de lidar com os usuários consumidores existentes (pessoal/Plus/Pro)?

  • Como você deseja que seja o fluxo de login do usuário?

Analisaremos cada uma dessas questões com mais detalhes para garantir que você escolha a opção que melhor atenda às suas necessidades.

Convidando novos usuários

Atualmente, oferecemos quatro métodos diferentes para o envio de convites aos usuários:

  1. Sistema para Gerenciamento de Identidade entre Domínios (SCIM)

  2. Convites diretos do aplicativo

  3. [Somente ChatGPT] Criação automática de conta (AAC)

  4. [Somente para plataforma] Endpoint da API

Vale ressaltar que fazemos distinção entre os casos em que os e-mails de convite são enviados ativamente:

  • Um novo usuário é convidado pela primeira vez através do SCIM.

  • OU convites diretos do aplicativo

E casos em que um convite é associado silenciosamente ao e-mail de um usuário em nosso sistema:

  • Um usuário SCIM foi removido do seu grupo IdP e, em seguida, adicionado novamente.

  • Criação automática de contas

Neste último caso, os usuários não verão os convites na caixa de entrada, mas ainda serão direcionados corretamente para o workspace/organização correspondente quando tentarem fazer login.

SCIM

O SCIM está disponível tanto no ChatGPT quanto na Plataforma API. O SCIM permite que provedores de identidade (por exemplo, Okta, Entra ID, etc.) para trocar dados de identidade do usuário com o OpenAI, automatizando o provisionamento de convites (e o desprovisionamento de contas de usuário) com base em alterações organizacionais.

Embora o SCIM também seja configurado por meio do seu IdP, ele pode ser configurado independentemente do SSO. Portanto, a verificação de domínio/SSO não são requisitos para o SCIM.

Se você optar por usar SCIM e SSO, a distinção importante a ser feita é:

  • O SCIM fornece apenas convites.

  • O SSO (Single Sign-On) gerencia a autenticação e a criação de usuários.

Consideramos o SCIM a solução mais robusta e escalável para a gestão geral de usuários. Dependendo da sua implementação ideal, geralmente recomendamos a seguinte arquitetura como prática recomendada caso esteja a implementar tanto no ChatGPT como na Plataforma de API:

IdP setup diagram comparing one shared SAML app versus separate SCIM apps for ChatGPT and API Platform users

Com essa configuração, você pode gerenciar facilmente tanto os convites quanto o acesso (ao ChatGPT e à Plataforma de API) separadamente. Essa configuração tem a vantagem adicional de que quaisquer alterações necessárias podem ser realizadas centralmente por suas equipes de administração diretamente em seu IdP.

Se você estiver implementando o SCIM em vários aplicativos (ou seja, Independentemente de usar ChatGPT, API Platform ou outras contas, seus aplicativos SCIM devem ser únicos. Mesmo que sua base de usuários alvo seja idêntica, é altamente recomendável que cada implementação SCIM faça referência a um aplicativo exclusivo em seu IdP.

Caso esse requisito não seja atendido, podem surgir problemas de inconsistência que, em última instância, resultam em cadastros inválidos.

Convites diretos do ChatGPT ou da plataforma de API

Os administradores podem convidar usuários diretamente por e-mail a partir do ChatGPT e da Plataforma correspondentes.
Páginas de "Membros". No ChatGPT, esse método também suporta convites em massa por meio de um arquivo CSV carregado:

Workspace invite modal with CSV upload, email entry, and Resend emails for existing invites selected

Embora normalmente não sejam escaláveis, costumamos recomendar o uso de convites direcionais quando você está começando em um novo espaço de trabalho/organização. Diferentemente do SCIM, não há atraso potencial para que os convites cheguem às caixas de entrada dos usuários, sendo, portanto, a opção mais eficaz para fornecer acesso rápido, modificar permissões e realizar testes em geral.

Além disso, você sempre poderá habilitar o SCIM posteriormente e agrupar seus usuários existentes sob o aplicativo SCIM. Assim, não há preocupação de que usuários convidados diretamente sejam excluídos de futuras automações, a menos que assim o desejem.

Criação Automática de Conta (AAC)

Ao contrário das outras opções, o AAC está disponível apenas na página de Identidade do ChatGPT e requer que o SSO esteja previamente ativado:

Automatic account creation setting for verified-domain users turned off

Conforme demonstrado acima, a AAC garante que os usuários que se cadastrarem ou fizerem login com um domínio de e-mail verificado serão adicionados automaticamente ao seu espaço de trabalho corporativo. Os usuários não receberão um e-mail de convite e o processo é totalmente automatizado. Isso tem seus prós e contras.

Se a sua política for permitir acesso irrestrito a qualquer usuário com seu domínio verificado, o AAC é uma ótima opção que evita a sobrecarga adicional de configurar e gerenciar um aplicativo SCIM.

No entanto, a CAA não é ideal se você precisar de uma abordagem mais restritiva e baseada em aprovação para o acesso do usuário.

⚠️ AVISO ⚠️

É importante ter em mente que ativar o AAC, na prática, obrigará a mesclar todos os usuários de contas pessoais (Personal/Plus/Pro) sob o seu domínio no seu workspace do Enterprise. Mais informações sobre este assunto podem ser encontradas abaixo na seção "Como lidar com usuários existentes" .

Observe que, mesmo que os usuários não sejam membros do seu grupo de acesso IdP e não consigam acessar o workspace com êxito se o SSO for obrigatório, eles ainda ocuparão uma licença na sua conta Enterprise nesse cenário.

Por esse motivo, geralmente recomendamos o SCIM ou convites diretos na maioria dos casos, em vez do AAC. Para evitar possíveis confusões, recomendamos manter a CAA desativada caso pretenda utilizar o SCIM.

Endpoint de convites do administrador da plataforma de API

Nossa plataforma de API oferece suporte a um endpoint de convites, que permite convidar usuários para sua organização de API de forma programática.

Em comparação com o SCIM, a principal vantagem do endpoint é que ele permite especificar o(s) projeto(s) ao(s) qual(is) o usuário convidado deve pertencer:

Image

Isso proporciona uma camada adicional de detalhamento e controle, sem exigir o trabalho manual de convites diretos individuais.

Atendimento aos usuários consumidores existentes

Definimos usuários consumidores como aqueles que possuem uma assinatura pessoal, Plus ou Pro. É comum haver usuários consumidores com seu domínio verificado que já possuíam contas antes do seu contrato Enterprise. Como a verificação do seu domínio e a ativação do SSO podem ter um impacto posterior nesses usuários consumidores, é importante determinar o resultado desejado antecipadamente.

Impacto nos usuários consumidores do ChatGPT

No que diz respeito ao ChatGPT, o impacto para os consumidores é amplamente determinado por dois fatores:

  1. Eles serão convidados para o espaço de trabalho corporativo?

    1. Se o AAC estiver ativado, o padrão será "Sim".

  2. Você vai implementar o SSO?

O comportamento resultante pode ser visto abaixo:

Convite pendente?O SSO (Single Sign-On) é obrigatório?Resultado
As contas de usuário consumidor serão forçadas a serem mescladas à conta corporativa e só poderão fazer login com SSO (Single Sign-On).
As contas de usuário consumidor serão forçadas a serem mescladas à conta corporativa. Os usuários poderão autenticar-se com SSO ou por meio de redes sociais.
Sem impacto: os usuários consumidores mantêm o acesso aos seus espaços de trabalho pessoais por meio de autenticação por senha ou rede social.
Sem impacto: os usuários consumidores mantêm o acesso aos seus espaços de trabalho pessoais por meio de autenticação por senha ou rede social.

Se o seu objetivo final é evitar a criação de contas de clientes, entre em contato com o seu Gerente de Contas para discutir as opções disponíveis.

Fusão de contas

Os pré-requisitos para acionar a fusão automática da conta de consumidor em uma conta empresarial são os seguintes:

  1. O domínio do usuário foi verificado.

  2. O usuário recebeu um convite para o workspace da empresa em que seu domínio foi verificado

    1. ⚠️ Lembre-se de que, se você ativou o AAC, essa condição será sempre verdadeira para qualquer usuário com seu domínio verificado.

Quando essas condições forem atendidas, na próxima vez que o usuário fizer login ou atualizar o ChatGPT, ele deverá ver a seguinte janela modal:

ChatGPT Enterprise invite flow with options to transfer chat history and GPTs or export and delete the old workspace

Conforme destacado na imagem, reembolsaremos automaticamente todas as assinaturas Plus ou Pro existentes antes da fusão. Os usuários terão a opção de transferir seu histórico de bate-papo existente e seu GPT, ou então exportar o histórico de bate-papo por e-mail e iniciar o workspace Enterprise como uma "tela em branco".

Uma vez que a conta do consumidor tenha sido unificada, não há como restaurá-la. Se seus usuários escolheram a opção "Transferir histórico de chats e GPTs existentes", mas não viram isso refletido no workspace Enterprise deles, entre em contato com o suporte.

Impacto nos usuários consumidores da Plataforma de API

Como o SSO na plataforma ainda é baseado em domínio (ao contrário do ChatGPT, onde o SSO é específico para o espaço de trabalho em que foi ativado), seus usuários consumidores serão afetados assim que você verificar seu domínio e ativar o SSO em qualquer organização.

Os usuários consumidores perderão a capacidade de se autenticar com senhas, pois identificamos a correspondência do domínio e os encaminhamos para o seu IdP. Se forem membros do seu IdP, eles poderão se autenticar com sucesso. Alternativamente, eles podem fazer login com a opção Social OAuth, caso essa opção esteja disponível. Caso contrário, você os terá efetivamente bloqueado de suas contas de consumidor.

Consulte a seção Fluxos de Login do Usuário para obter um guia mais detalhado sobre esse fluxo de trabalho.

Padrões de identidade e provisionamento recomendados

Agora que definimos o comportamento fundamental relacionado à autenticação de identidade e ao fornecimento de convites, pode ser útil revisar alguns dos padrões de implementação mais comuns disponíveis para usuários corporativos:

Comparison table of four Enterprise user management setups by provisioning, authentication, and user experience

Fluxo de login do usuário

Já discutimos o impacto dos convites pendentes e da aplicação do SSO (Single Sign-On), portanto, esta seção tem como objetivo ajudar a visualizar o fluxo/verificações esperados que realizamos quando um usuário digita seu endereço de e-mail para fazer login.

Fluxo de login do ChatGPT

Nota: Este diagrama exclui tentativas de login por meio de um método social ou pelo URL do Tile.

Flowchart of ChatGPT login paths for personal accounts, password sign-in, workspace picker, and SSO redirection

Fluxo de login da plataforma de API

Nota: Este diagrama exclui tentativas de login por meio de um método social ou pelo URL do Tile.

Flowchart for platform login and SSO outcomes based on verified domain and IdP access group membership

Próximos passos

Agora que você tem uma ideia da implementação ideal, pode seguir a documentação correspondente para habilitar o SCIM ou o SSO:

Este artigo foi útil?