OpenAI
Această pagină a fost tradusă automat. Vezi articolul original în limba engleză.

Cum să alegeți configurația ideală pentru gestionarea utilizatorilor

Acest document are scopul de a ajuta administratorii să implementeze SSO și, eventual, SCIM într-un mod care funcționează cel mai bine pentru cazul lor de utilizare.

Actualizat: 4 days ago

Vă rugăm să consultați pagina noastră „Prezentare generală SSO” pentru a vă familiariza cu conceptele cheie discutate în acest document.

Înainte de a vă verifica domeniile, este important să luați în considerare câteva întrebări diferite:

  • Cum ați dori să provisionați invitațiile pentru utilizatorii noi?

  • Cum ați dori să gestionați utilizatorii existenți de tip consumer (personal/Plus/Pro)?

  • Cum doriți să arate fluxul de conectare al utilizatorilor?

Vom analiza fiecare dintre aceste întrebări mai detaliat pentru a vă ajuta să vă asigurați că alegeți opțiunea care se potrivește cel mai bine nevoilor dvs.

Invitarea utilizatorilor noi

În prezent, oferim patru metode diferite pentru provisionarea invitațiilor către utilizatori:

  1. System for Cross-domain Identity Management (SCIM)

  2. Invitații directe din aplicație

  3. [Numai ChatGPT] Creare automată de cont (AAC)

  4. [Numai Platformă] Punct final API

Merită menționat că facem diferența între situațiile în care e-mailurile de invitație sunt trimise în mod activ:

  • Un utilizator nou este invitat pentru prima dată prin SCIM

  • SAU prin invitații directe din aplicație

Și situațiile în care o invitație este asociată în mod silențios cu adresa de e-mail a unui utilizator în backend-ul nostru:

  • Un utilizator SCIM a fost eliminat din grupul dvs. IdP și apoi readăugat

  • Creare automată de cont

În al doilea caz, utilizatorii nu vor vedea invitațiile în inbox, dar vor fi direcționați corect către spațiul de lucru/organizația corespunzătoare atunci când încearcă să se conecteze.

SCIM

SCIM este disponibil atât în ChatGPT, cât și în Platforma API. SCIM permite furnizorilor de identitate (de ex. Okta, Entra ID etc.) să facă schimb de date despre identitatea utilizatorilor cu OpenAI, automatizând provisionarea invitațiilor (și deprovisionarea conturilor de utilizator) pe baza schimbărilor organizaționale.

Deși SCIM este configurat tot prin IdP-ul dvs., acesta poate fi configurat independent de SSO. Prin urmare, verificarea domeniului/SSO nu sunt cerințe pentru SCIM.

Dacă decideți să utilizați atât SCIM, cât și SSO, distincția importantă este:

  • SCIM provisionează doar invitațiile

  • SSO gestionează autentificarea și crearea utilizatorilor

Considerăm că SCIM este cea mai robustă și scalabilă soluție pentru gestionarea generală a utilizatorilor. În funcție de implementarea ideală pentru dvs., recomandăm în general următoarea arhitectură ca bună practică dacă implementați atât în ChatGPT, cât și în Platforma API:

IdP setup diagram comparing one shared SAML app versus separate SCIM apps for ChatGPT and API Platform users

Cu această configurare, puteți gestiona cu ușurință separat atât invitațiile, cât și accesul (la ChatGPT și Platforma API). Această configurare are și avantajul suplimentar că orice modificări necesare pot fi efectuate centralizat de echipele dvs. de administrare direct în IdP-ul dvs.

Dacă implementați SCIM în mai multe aplicații (de ex. ChatGPT vs. Platforma API vs. alte conturi), aplicațiile dvs. SCIM trebuie să fie unice. Chiar dacă baza de utilizatori vizată este identică, este foarte recomandat ca fiecare implementare SCIM să facă referire la o aplicație unică în IdP-ul dvs.

Dacă nu respectați această cerință, pot apărea probleme de inconsecvență care, în cele din urmă, duc la apartenențe nevalide.

Invitații directe din ChatGPT sau Platforma API

Administratorii pot invita direct utilizatori prin e-mail din paginile respective ChatGPT și Platform
„Members”. În ChatGPT, această metodă acceptă și invitații în masă printr-un fișier CSV încărcat:

Workspace invite modal with CSV upload, email entry, and Resend emails for existing invites selected

Deși, în mod normal, nu este scalabilă, recomandăm adesea utilizarea invitațiilor directe când începeți într-un spațiu de lucru/o organizație nou(ă). Spre deosebire de SCIM, nu există nicio întârziere potențială până când invitațiile ajung în inboxurile utilizatorilor, așa că este cea mai eficientă opțiune pentru a oferi acces rapid, a modifica permisiuni și pentru testare generală.

În plus, puteți activa oricând SCIM ulterior și vă puteți grupa utilizatorii existenți sub aplicația SCIM. Așadar, nu există riscul ca utilizatorii invitați direct să fie excluși din automatizările viitoare, decât dacă se dorește acest lucru.

Creare automată de cont (AAC)

Spre deosebire de celelalte opțiuni, AAC este disponibilă numai în pagina Identity din ChatGPT și necesită ca SSO să fi fost activat mai întâi:

Automatic account creation setting for verified-domain users turned off

Așa cum se arată mai sus, AAC garantează că utilizatorii care se înregistrează sau se conectează cu un domeniu de e-mail verificat vor fi adăugați automat în spațiul dvs. de lucru Enterprise. Utilizatorii nu vor primi un e-mail de invitație, iar procesul este complet automatizat. Acest lucru are avantaje și dezavantaje.

Dacă politica dvs. este să permiteți acces liber oricărui utilizator cu domeniul dvs. verificat, AAC este o opțiune excelentă care evită efortul suplimentar de configurare și gestionare a unei aplicații SCIM.

Totuși, AAC nu este ideală dacă aveți nevoie de o abordare mai strictă, bazată pe aprobare, pentru accesul utilizatorilor.

⚠️ AVERTISMENT ⚠️

Este important să rețineți că activarea AAC va forța efectiv fuzionarea tuturor utilizatorilor consumer (personal/Plus/Pro) din domeniul dvs. în spațiul dvs. de lucru Enterprise. Mai multe informații despre acest lucru pot fi găsite mai jos, în secțiunea „Gestionarea utilizatorilor existenți”.

Rețineți că, chiar dacă utilizatorii nu sunt membri ai grupului dvs. de acces IdP și nu pot accesa cu succes spațiul de lucru dacă SSO este impus, ei ocupă totuși un loc în contul dvs. Enterprise în acest scenariu.

Din acest motiv, în majoritatea cazurilor recomandăm SCIM sau invitațiile directe, mai degrabă decât AAC. Iar pentru a evita posibile surse de confuzie, recomandăm să lăsați AAC dezactivată dacă intenționați să utilizați SCIM.

Punct final de invitații pentru administratori în Platforma API

Platforma noastră API acceptă un punct final Invites, care vă permite să invitați programatic utilizatori în organizația dvs. API.

Comparativ cu SCIM, principalul avantaj al punctului final este că vă permite să specificați proiectul/proiectele din care ar trebui să facă parte utilizatorul invitat:

Image

Aceasta oferă un nivel suplimentar de granularitate și control, fără a necesita munca manuală aferentă invitațiilor directe individuale.

Gestionarea utilizatorilor consumer existenți

Definim utilizatorii consumer ca fiind cei care au un abonament personal, Plus sau Pro. Se întâmplă adesea să existe utilizatori consumer existenți cu domeniul dvs. verificat care aveau conturi înainte de contractul dvs. Enterprise. Deoarece verificarea domeniului și activarea SSO pot avea un impact ulterior asupra acestor utilizatori consumer, este important să stabiliți dinainte rezultatul dorit.

Impact asupra utilizatorilor ChatGPT Consumer

În cazul ChatGPT, impactul asupra utilizatorilor consumer este determinat în mare măsură de doi factori:

  1. Vor fi invitați în spațiul de lucru Enterprise?

    1. Dacă AAC este activată, atunci răspunsul implicit este „Da”

  2. Veți impune SSO?

Comportamentul rezultat poate fi văzut mai jos:

Invitație în așteptare?SSO impus?Rezultat
Conturile consumer vor fi obligate să fuzioneze cu Enterprise și se vor putea conecta doar cu SSO
Conturile consumer vor fi obligate să fuzioneze cu Enterprise, utilizatorii se pot autentifica prin SSO sau Social
Fără impact: utilizatorii consumer își păstrează accesul la spațiile lor personale de lucru prin autentificare cu parolă sau Social
Fără impact: utilizatorii consumer își păstrează accesul la spațiile lor personale de lucru prin autentificare cu parolă sau Social

Dacă obiectivul dvs. este, în cele din urmă, să preveniți orice conturi consumer, vă rugăm să contactați Directorul dvs. de cont pentru a discuta opțiunile posibile.

Fuzionarea conturilor

Condițiile prealabile pentru a declanșa o fuziune automată a contului consumer într-un cont Enterprise sunt următoarele:

  1. Domeniul utilizatorului este verificat

  2. Utilizatorul a primit o invitație în spațiul de lucru Enterprise unde domeniul său este verificat

    1. ⚠️ Rețineți că, dacă ați activat AAC, această condiție va fi întotdeauna adevărată pentru orice utilizator cu domeniul dvs. verificat.

Când aceste condiții sunt îndeplinite, la următoarea conectare sau reîmprospătare a ChatGPT, utilizatorul ar trebui să vadă următorul dialog modal:

ChatGPT Enterprise invite flow with options to transfer chat history and GPTs or export and delete the old workspace

Așa cum evidențiază imaginea, vom rambursa automat orice abonamente Plus sau Pro existente înainte de fuziune. Utilizatorii vor avea opțiunea de a transfera istoricul conversațiilor și GPT-urile existente sau, alternativ, de a exporta istoricul conversațiilor prin e-mail și de a începe în spațiul lor de lucru Enterprise „de la zero”.

După ce contul consumer a fost fuzionat, nu mai există nicio modalitate de restaurare. Dacă utilizatorii dvs. au ales opțiunea „Transfer existing chat history and GPTs”, dar nu au văzut acest lucru reflectat în spațiul lor de lucru Enterprise, vă rugăm să contactați Asistența.

Impact asupra utilizatorilor consumer ai Platformei API

Deoarece SSO pe Platformă este în continuare bazat pe domeniu (spre deosebire de ChatGPT, unde SSO este specific spațiului de lucru în care a fost activat), utilizatorii dvs. consumer vor fi afectați imediat ce vă verificați domeniul și activați SSO în orice organizație.

Utilizatorii consumer își vor pierde capacitatea de a se autentifica cu parole, deoarece identificăm potrivirea domeniului și îi redirecționăm către IdP-ul dvs. Dacă sunt membri ai IdP-ului dvs., se pot autentifica cu succes. Alternativ, se pot conecta cu o opțiune Social Oauth, dacă aceasta le este disponibilă. Dacă nu, atunci practic le-ați blocat accesul la conturile lor Consumer.

Consultați fluxurile din secțiunea Conectarea utilizatorilor pentru un ghid mai detaliat al acestui flux de lucru.

Modele recomandate de identitate și provisionare

Acum că am prezentat comportamentul fundamental asociat autentificării identității și provisionării invitațiilor, poate fi util să analizați câteva dintre modelele de implementare mai comune disponibile pentru utilizatorii Enterprise:

Comparison table of four Enterprise user management setups by provisioning, authentication, and user experience

Fluxul de conectare al utilizatorilor

Am discutat deja impactul invitațiilor în așteptare și al impunerii SSO, așa că această secțiune este menită să vă ajute să vizualizați fluxul/verificările așteptate pe care le efectuăm atunci când un utilizator își introduce adresa de e-mail pentru a se conecta.

Fluxul de conectare ChatGPT

Notă: această diagramă exclude încercările de conectare printr-o metodă Social sau prin URL-ul Tile.

Flowchart of ChatGPT login paths for personal accounts, password sign-in, workspace picker, and SSO redirection

Fluxul de conectare în Platforma API

Notă: această diagramă exclude încercările de conectare printr-o metodă Social sau prin URL-ul Tile.

Flowchart for platform login and SSO outcomes based on verified domain and IdP access group membership

Pașii următori

Acum că aveți o idee despre implementarea dvs. ideală, puteți urma documentația corespunzătoare pentru a activa SCIM sau SSO:

A fost util acest articol?