OpenAI
Esta página foi traduzida automaticamente. Ver o artigo original em inglês.

Compreender a configuração ideal da gestão de utilizadores

Este documento destina-se a ajudar os administradores a implementar SSO e, eventualmente, SCIM da forma mais adequada ao seu caso de utilização.

Atualizado: 8 hours ago

Consulte a nossa página «Descrição geral do SSO» para se familiarizar com os principais conceitos abordados neste documento.

Antes de verificar os seus domínios, é importante ponderar algumas questões:

  • Como pretende aprovisionar convites para novos utilizadores?

  • Como pretende lidar com utilizadores de consumo existentes (pessoal/Plus/Pro)?

  • Como pretende que seja o fluxo de início de sessão dos utilizadores?

Vamos analisar cada uma destas questões com mais detalhe para ajudar a garantir que escolhe a opção mais adequada às suas necessidades.

Convidar novos utilizadores

Atualmente, disponibilizamos quatro métodos diferentes para aprovisionar convites a utilizadores:

  1. System for Cross-domain Identity Management (SCIM)

  2. Convites diretos a partir do ChatGPT ou da API Platform

  3. Apenas ChatGPT: criação automática de contas (AAC)

  4. Apenas Platform: endpoint de convites de administração da API Platform

Importa notar que diferenciamos entre casos em que os e-mails de convite são enviados ativamente e casos em que um convite é associado silenciosamente ao e-mail de um utilizador no nosso backend.

Os e-mails de convite são enviados ativamente quando:

  • Um novo utilizador é convidado pela primeira vez através de SCIM.

  • Um utilizador é convidado diretamente a partir do ChatGPT ou da API Platform.

Os convites são associados silenciosamente quando:

  • Um utilizador SCIM foi removido do seu grupo do IdP e depois adicionado novamente.

  • A criação automática de contas é aplicável.

Neste último caso, os utilizadores não verão os convites na caixa de entrada, mas continuarão a ser devidamente encaminhados para o espaço de trabalho/a organização correspondente quando tentarem iniciar sessão.

SCIM

O SCIM está disponível tanto no ChatGPT como na API Platform. O SCIM permite que os fornecedores de identidade (por exemplo, Okta, Entra ID, etc.) troquem dados de identidade de utilizadores com a OpenAI, automatizando o aprovisionamento de convites (e o desaprovisionamento de contas de utilizador) com base em alterações organizacionais.

Embora o SCIM também seja configurado através do seu IdP, pode ser configurado independentemente do SSO. Por conseguinte, a verificação de domínio/SSO não são requisitos para o SCIM.

Se decidir utilizar SCIM e SSO, a distinção importante a fazer é:

  • O SCIM aprovisiona apenas convites

  • O SSO trata da autenticação e da criação de utilizadores

Consideramos o SCIM a solução mais robusta e escalável para a gestão global de utilizadores. Consoante a sua implementação ideal, recomendamos geralmente a seguinte arquitetura como boa prática se estiver a implementar em ChatGPT e na API Platform:

IdP setup diagram comparing one shared SAML app versus separate SCIM apps for ChatGPT and API Platform users

Com esta configuração, pode gerir facilmente tanto os convites como o acesso (ao ChatGPT e à API Platform) em separado. Esta configuração tem a vantagem adicional de permitir que quaisquer alterações necessárias sejam realizadas centralmente pelas suas equipas de administração diretamente no seu IdP.

Se estiver a implementar SCIM em várias aplicações (ou seja, ChatGPT vs. API Platform vs. outras contas), as suas aplicações SCIM devem ser únicas. Mesmo que a sua base de utilizadores-alvo seja idêntica, recomenda-se vivamente que cada implementação de SCIM faça referência a uma aplicação única no seu IdP.

Se não cumprir este requisito, podem surgir problemas de inconsistência que acabam por resultar em associações inválidas.

Convites diretos a partir do ChatGPT ou da API Platform

Os administradores podem convidar utilizadores diretamente por e-mail a partir das respetivas páginas ChatGPT e Platform «Membros». No ChatGPT, este método também suporta convites em massa através de um ficheiro CSV carregado:

Workspace invite modal with CSV upload, email entry, and Resend emails for existing invites selected

Embora normalmente não seja escalável, recomendamos muitas vezes a utilização de convites diretos quando está a começar num novo espaço de trabalho/organização. Ao contrário do SCIM, não há potencial atraso até os convites chegarem às caixas de entrada dos utilizadores, pelo que é a opção mais eficaz para proporcionar acesso rápido, modificar permissões e realizar testes gerais.

Além disso, pode sempre ativar o SCIM mais tarde e agrupar os seus utilizadores existentes na aplicação SCIM. Assim, não há motivo para recear que os utilizadores convidados diretamente sejam excluídos da automatização futura, salvo se assim o desejar.

Criação automática de contas (AAC)

Ao contrário das outras opções, a AAC só está disponível na página Identidade do ChatGPT e requer que o SSO tenha sido ativado previamente:

Automatic account creation setting for verified-domain users turned off

Como mostrado acima, a AAC garante que os utilizadores que se registam ou iniciam sessão com um domínio de e-mail verificado serão automaticamente adicionados ao seu espaço de trabalho Enterprise. Os utilizadores não receberão um e-mail de convite e o processo é totalmente automatizado. Isto tem vantagens e desvantagens.

Se a sua política for permitir acesso aberto a qualquer utilizador com o seu domínio verificado, a AAC é uma excelente opção que evita o trabalho adicional de configurar e gerir uma aplicação SCIM.

No entanto, a AAC não é ideal se precisar de uma abordagem ao acesso de utilizadores mais restrita e baseada em aprovação.

⚠️ AVISO ⚠️

É importante ter em conta que ativar a AAC irá, na prática, forçar a integração de todos os utilizadores de consumo (pessoal/Plus/Pro) sob o seu domínio no seu espaço de trabalho Enterprise. Pode encontrar mais informações abaixo, na secção «Lidar com utilizadores existentes».

Tenha em atenção que, mesmo que os utilizadores não sejam membros do grupo de acesso do seu IdP e não consigam aceder com êxito ao espaço de trabalho caso o SSO seja imposto, neste cenário continuam a ocupar um lugar na sua conta Enterprise.

Por este motivo, geralmente recomendamos SCIM ou convites diretos na maioria dos casos, em vez da AAC. E, para ajudar a evitar possíveis fontes de confusão, recomendamos deixar a AAC desativada se tenciona utilizar SCIM.

Endpoint de convites de administração da API Platform

A nossa API Platform suporta um Endpoint de convites, que permite convidar utilizadores para a sua organização de API de forma programática.

Em comparação com o SCIM, a principal vantagem do endpoint é permitir especificar o(s) projeto(s) a que o utilizador convidado deve pertencer:

Image

Isto proporciona uma camada adicional de granularidade e controlo, sem exigir o trabalho manual de convites diretos individuais.

Lidar com utilizadores de consumo existentes

Definimos utilizadores de consumo como aqueles que têm uma subscrição pessoal, Plus ou Pro. É frequente existirem utilizadores de consumo com o seu domínio verificado que já tinham contas antes do seu contrato Enterprise. Uma vez que verificar o seu domínio e ativar o SSO pode ter um impacto subsequente nestes utilizadores de consumo, é importante determinar antecipadamente o resultado pretendido.

Impacto nos utilizadores de consumo do ChatGPT

No lado do ChatGPT, o impacto nos consumidores é determinado sobretudo por dois fatores:

  1. Serão convidados para o espaço de trabalho Enterprise?

  2. Vai impor o SSO?

O comportamento resultante pode ser visto abaixo:

Convite pendente?SSO imposto?Resultado
SimSimAs contas de utilizador de consumo serão forçadas a fundir-se com o Enterprise e os utilizadores só poderão iniciar sessão com SSO.
SimNãoAs contas de utilizador de consumo serão forçadas a fundir-se com o Enterprise e os utilizadores poderão autenticar-se com SSO ou início de sessão social.
NãoSimSem impacto: os utilizadores de consumo mantêm o acesso aos respetivos espaços de trabalho pessoais através de palavra-passe ou autenticação social.
NãoNãoSem impacto: os utilizadores de consumo mantêm o acesso aos respetivos espaços de trabalho pessoais através de palavra-passe ou autenticação social.

Se o seu objetivo for impedir, em última análise, quaisquer contas de consumidor, contacte o seu Account Director para discutir possíveis opções.

Fusão de contas

Os pré-requisitos para acionar uma fusão automática da conta de consumidor numa conta Enterprise são os seguintes:

  1. O domínio do utilizador está verificado.

  2. O utilizador recebeu um convite para o espaço de trabalho Enterprise onde o respetivo domínio está verificado.

    • Nota: se tiver ativado a AAC, esta condição será sempre verdadeira para qualquer utilizador com o seu domínio verificado.

Quando estas condições forem cumpridas, na próxima vez que o utilizador iniciar sessão no ChatGPT ou o atualizar, deverá ver o seguinte modal:

ChatGPT Enterprise invite flow with options to transfer chat history and GPTs or export and delete the old workspace

Como a imagem destaca, reembolsaremos automaticamente quaisquer subscrições Plus ou Pro existentes antes da fusão. Os utilizadores terão a opção de transferir o histórico de conversas e GPTs existentes ou, em alternativa, exportar o histórico de conversas por e-mail e iniciar o espaço de trabalho Enterprise como uma «tábua rasa».

Depois de a conta de consumidor ser fundida, não há forma de a restaurar. Se os seus utilizadores escolheram a opção «Transferir histórico de conversas e GPTs existentes», mas não viram isso refletido no respetivo espaço de trabalho Enterprise, contacte o Suporte.

Impacto nos utilizadores de consumo da API Platform

Como o SSO na Platform continua a basear-se no domínio (ao contrário do ChatGPT, onde o SSO é específico do espaço de trabalho em que foi ativado), os seus utilizadores de consumo serão afetados assim que verificar o seu domínio e ativar o SSO em qualquer organização.

Os utilizadores de consumo perderão a capacidade de se autenticar com palavras-passe, uma vez que identificamos a correspondência de domínio e os encaminhamos para o seu IdP. Se forem membros do seu IdP, poderão autenticar-se com êxito. Em alternativa, podem iniciar sessão com uma opção social OAuth, se esta estiver disponível para eles. Caso contrário, terá efetivamente bloqueado o acesso às respetivas contas de consumidor.

Consulte a secção Fluxo de início de sessão do utilizador para obter um guia mais aprofundado deste fluxo de trabalho.

Padrões recomendados de identidade e aprovisionamento

Agora que apresentámos o comportamento fundamental associado à nossa autenticação de identidade e ao aprovisionamento de convites, poderá ser útil rever alguns dos padrões de implementação mais comuns disponíveis para utilizadores Enterprise:

Comparison table of four Enterprise user management setups by provisioning, authentication, and user experience

Fluxo de início de sessão do utilizador

Já abordámos o impacto dos convites pendentes e da imposição de SSO, pelo que esta secção visa ajudar a visualizar o fluxo/as verificações esperados que realizamos quando um utilizador introduz o seu endereço de e-mail para iniciar sessão.

Fluxo de início de sessão do ChatGPT

Nota: este diagrama exclui tentativas de início de sessão através de um método social ou do URL do mosaico.

Flowchart of ChatGPT login paths for personal accounts, password sign-in, workspace picker, and SSO redirection

Fluxo de início de sessão da API Platform

Nota: este diagrama exclui tentativas de início de sessão através de um método social ou do URL do mosaico.

Flowchart for platform login and SSO outcomes based on verified domain and IdP access group membership

Próximos passos

Agora que tem uma ideia da sua implementação ideal, pode seguir a respetiva documentação para ativar SCIM ou SSO:

Este artigo foi útil?