OpenAI
Esta página foi traduzida automaticamente. Ver o artigo original em inglês.

Compreender a configuração ideal de gestão de utilizadores

Este documento destina-se a ajudar administradores a implementar SSO e, potencialmente, SCIM, da forma mais adequada ao seu caso de uso.

Atualizado: 13 days ago

Consulte a nossa página «Descrição geral do SSO» para se familiarizar com os principais conceitos discutidos neste documento.

Antes de verificar os seus domínios, é importante considerar algumas questões diferentes:

  • Como pretende aprovisionar convites para novos utilizadores?

  • Como pretende lidar com os utilizadores consumidores existentes (pessoais/Plus/Pro)?

  • Como pretende que seja o fluxo de início de sessão dos seus utilizadores?

Vamos analisar cada uma destas questões com mais detalhe para ajudar a garantir que escolhe a opção que melhor se adapta às suas necessidades.

Convidar novos utilizadores

Atualmente, oferecemos quatro métodos diferentes para aprovisionar convites a utilizadores:

  1. System for Cross-domain Identity Management (SCIM)

  2. Convites diretos na aplicação

  3. [Apenas ChatGPT] Criação automática de conta (AAC)

  4. [Apenas Platform] Endpoint da API

Importa referir que distinguimos entre os casos em que os e-mails de convite são enviados ativamente:

  • Um novo utilizador é convidado pela primeira vez através de SCIM

  • OU por convites diretos na aplicação

E os casos em que um convite é associado silenciosamente ao e-mail de um utilizador no nosso backend:

  • Um utilizador SCIM foi removido do grupo do seu IdP e depois readicionado

  • Criação automática de conta

No segundo caso, os utilizadores não verão os convites na caixa de entrada, mas continuarão a ser encaminhados corretamente para o espaço de trabalho/organização correspondente quando tentarem iniciar sessão.

SCIM

O SCIM está disponível tanto no ChatGPT como na API Platform. O SCIM permite que os fornecedores de identidade (por exemplo, Okta, Entra ID, etc.) troquem dados de identidade dos utilizadores com a OpenAI, automatizando o aprovisionamento de convites (e o desaprovisionamento de contas de utilizador) com base em alterações organizacionais.

Embora o SCIM também seja configurado através do seu IdP, pode ser configurado independentemente do SSO. Por isso, a verificação de domínio/o SSO não são requisitos para o SCIM.

Se decidir utilizar SCIM e SSO em conjunto, a distinção importante a fazer é a seguinte:

  • O SCIM apenas aprovisiona convites

  • O SSO trata da autenticação e da criação de utilizadores

Consideramos o SCIM a solução mais robusta e escalável para a gestão global de utilizadores. Dependendo da sua implementação ideal, recomendamos geralmente a seguinte arquitetura como boa prática, se estiver a implementar tanto no ChatGPT como na API Platform:

IdP setup diagram comparing one shared SAML app versus separate SCIM apps for ChatGPT and API Platform users

Com esta configuração, pode gerir facilmente, em separado, tanto os convites como o acesso (ao ChatGPT e à API Platform). Esta configuração tem a vantagem adicional de permitir que quaisquer alterações necessárias sejam efetuadas de forma centralizada pelas suas equipas de administração diretamente no seu IdP.

Se estiver a implementar SCIM em várias aplicações (ou seja, ChatGPT vs. API Platform vs. outras contas), as suas aplicações SCIM devem ser únicas. Mesmo que a sua base de utilizadores-alvo seja idêntica, recomenda-se vivamente que cada implementação SCIM faça referência a uma aplicação única no seu IdP.

Se este requisito não for cumprido, podem surgir problemas de inconsistência que acabam por resultar em associações inválidas.

Convites diretos a partir do ChatGPT ou da API Platform

Os administradores podem convidar diretamente utilizadores por e-mail a partir das respetivas páginas ChatGPT e Platform de "Membros". No ChatGPT, este método também suporta convites em massa através de um CSV carregado:

Workspace invite modal with CSV upload, email entry, and Resend emails for existing invites selected

Embora normalmente não seja escalável, recomendamos frequentemente a utilização de convites diretos quando está a começar num novo espaço de trabalho/organização. Ao contrário do SCIM, não existe qualquer atraso potencial até os convites chegarem às caixas de entrada dos utilizadores, pelo que é a opção mais eficaz para fornecer acesso rápido, modificar permissões e realizar testes em geral.

Além disso, pode sempre ativar o SCIM mais tarde e agrupar os seus utilizadores existentes na aplicação SCIM. Assim, não há preocupação de que os utilizadores convidados diretamente fiquem excluídos de automação futura, a menos que assim o pretenda.

Criação automática de conta (AAC)

Ao contrário das outras opções, o AAC só está disponível na página Identidade do ChatGPT e exige que o SSO tenha sido previamente ativado:

Automatic account creation setting for verified-domain users turned off

Como mostrado acima, o AAC garante que os utilizadores que se registam ou iniciam sessão com um domínio de e-mail verificado sejam automaticamente adicionados ao seu espaço de trabalho Enterprise. Os utilizadores não receberão um e-mail de convite, e o processo é totalmente automatizado. Isto tem vantagens e desvantagens.

Se a sua política for permitir acesso aberto a qualquer utilizador com o seu domínio verificado, o AAC é uma ótima opção que evita a sobrecarga adicional de configurar e gerir uma aplicação SCIM.

No entanto, o AAC não é ideal se precisar de uma abordagem mais restritiva e baseada em aprovação para o acesso de utilizadores.

⚠️ AVISO ⚠️

É importante ter em conta que ativar o AAC forçará efetivamente a fusão de todos os utilizadores consumidores (pessoais/Plus/Pro) do seu domínio no seu espaço de trabalho Enterprise. Pode encontrar mais informações abaixo, na secção «Lidar com utilizadores existentes».

Tenha em atenção que, mesmo que os utilizadores não sejam membros do grupo de acesso do seu IdP e não consigam aceder com êxito ao espaço de trabalho se o SSO for imposto, ainda assim ocupam um lugar na sua conta Enterprise neste cenário.

Por este motivo, recomendamos geralmente o SCIM ou os convites diretos na maioria dos casos, em vez do AAC. E, para ajudar a evitar potenciais fontes de confusão, recomendamos que mantenha o AAC desativado se tenciona utilizar SCIM.

Endpoint de convites de administrador da API Platform

A nossa API Platform suporta um endpoint de convites, que lhe permite convidar programaticamente utilizadores para a sua organização API.

Em comparação com o SCIM, o principal benefício do endpoint é permitir especificar o(s) projeto(s) a que o utilizador convidado deve pertencer:

Image

Isto proporciona uma camada adicional de granularidade e controlo, sem exigir o trabalho manual de convites diretos individuais.

Lidar com utilizadores consumidores existentes

Definimos utilizadores consumidores como aqueles com uma subscrição pessoal, Plus ou Pro. É frequente existirem utilizadores consumidores com o seu domínio verificado que já tinham contas antes do seu contrato Enterprise. Como a verificação do seu domínio e a ativação do SSO podem ter um impacto subsequente nestes utilizadores consumidores, é importante determinar previamente o resultado pretendido.

Impacto nos utilizadores consumidores do ChatGPT

Do lado do ChatGPT, o impacto nos consumidores é largamente determinado por dois fatores:

  1. Serão convidados para o espaço de trabalho Enterprise?

    1. Se o AAC estiver ativado, então a resposta predefinida é "Sim"

  2. Irá impor SSO?

O comportamento resultante pode ser visto abaixo:

Convite pendente?SSO imposto?Resultado
As contas de utilizador consumidor serão forçadas a fundir-se com o Enterprise e só poderão iniciar sessão com SSO
As contas de utilizador consumidor serão forçadas a fundir-se com o Enterprise; os utilizadores podem autenticar-se com SSO ou Social
Sem impacto: os utilizadores consumidores mantêm acesso aos seus espaços de trabalho pessoais através de autenticação por palavra-passe ou Social
Sem impacto: os utilizadores consumidores mantêm acesso aos seus espaços de trabalho pessoais através de autenticação por palavra-passe ou Social

Se o seu objetivo for, em última análise, impedir quaisquer contas de consumidor, contacte o seu Account Director para discutir opções possíveis.

Fusão de contas

Os pré-requisitos para desencadear uma fusão automática da conta de consumidor numa conta Enterprise são os seguintes:

  1. O domínio do utilizador está verificado

  2. O utilizador recebeu um convite para o espaço de trabalho Enterprise onde o seu domínio está verificado

    1. ⚠️ Tenha em conta que, se tiver ativado o AAC, esta condição será sempre verdadeira para qualquer utilizador com o seu domínio verificado.

Quando estas condições são cumpridas, da próxima vez que o utilizador iniciar sessão ou atualizar o ChatGPT, deverá ver a seguinte janela modal:

ChatGPT Enterprise invite flow with options to transfer chat history and GPTs or export and delete the old workspace

Como a imagem destaca, reembolsaremos automaticamente quaisquer subscrições Plus ou Pro existentes antes da fusão. Os utilizadores terão a opção de transferir o histórico de conversas e os GPT existentes, ou então exportar o histórico de conversas por e-mail e iniciar o seu espaço de trabalho Enterprise com uma «folha em branco».

Depois de a conta de consumidor ter sido fundida, não há forma de a restaurar. Se os seus utilizadores tiverem escolhido a opção «Transferir histórico de conversas e GPT existentes», mas não virem isso refletido no respetivo espaço de trabalho Enterprise, contacte o Suporte.

Impacto nos utilizadores consumidores da API Platform

Como o SSO na Platform continua a ser baseado no domínio (ao contrário do ChatGPT, onde o SSO é específico do espaço de trabalho em que foi ativado), os seus utilizadores consumidores serão afetados assim que verificar o seu domínio e ativar o SSO em qualquer organização.

Os utilizadores consumidores perderão a capacidade de se autenticar com palavras-passe, uma vez que identificamos a correspondência do domínio e os reencaminhamos para o seu IdP. Se forem membros do seu IdP, podem autenticar-se com sucesso. Em alternativa, podem iniciar sessão com uma opção Social Oauth, se esta lhes estiver disponível. Caso contrário, terá efetivamente bloqueado o acesso às respetivas contas de consumidor.

Consulte os fluxos da secção Início de sessão do utilizador para um guia mais detalhado deste fluxo de trabalho.

Padrões recomendados de identidade e aprovisionamento

Agora que explicámos o comportamento fundamental associado à nossa autenticação de identidade e ao aprovisionamento de convites, poderá ser útil rever alguns dos padrões de implementação mais comuns disponíveis para utilizadores Enterprise:

Comparison table of four Enterprise user management setups by provisioning, authentication, and user experience

Fluxo de início de sessão do utilizador

Já discutimos o impacto dos convites pendentes e da imposição de SSO, por isso esta secção pretende ajudar a visualizar o fluxo/verificações esperados que realizamos quando um utilizador introduz o respetivo endereço de e-mail para iniciar sessão.

Fluxo de início de sessão no ChatGPT

Nota: Este diagrama exclui tentativas de início de sessão através de um método Social ou do URL do Tile.

Flowchart of ChatGPT login paths for personal accounts, password sign-in, workspace picker, and SSO redirection

Fluxo de início de sessão na API Platform

Nota: Este diagrama exclui tentativas de início de sessão através de um método Social ou do URL do Tile.

Flowchart for platform login and SSO outcomes based on verified domain and IdP access group membership

Próximos passos

Agora que já tem uma ideia da sua implementação ideal, pode seguir a documentação respetiva para ativar SCIM ou SSO:

Este artigo foi útil?