Consultați pagina noastră „Prezentare generală SSO” pentru a vă familiariza cu principalele concepte discutate în acest document.
Înainte de a vă verifica domeniile, este important să luați în considerare câteva întrebări diferite:
Cum doriți să furnizați invitații pentru utilizatorii noi?
Cum doriți să gestionați utilizatorii consumer existenți (personal/Plus/Pro)?
Cum doriți să arate fluxul de conectare al utilizatorilor?
Vom analiza fiecare dintre aceste întrebări mai detaliat, pentru a vă ajuta să alegeți opțiunea care se potrivește cel mai bine nevoilor dvs.
Invitarea utilizatorilor noi
În prezent oferim patru metode diferite pentru furnizarea invitațiilor către utilizatori:
Merită menționat că facem diferența între cazurile în care e-mailurile de invitație sunt trimise activ și cazurile în care o invitație este asociată discret cu adresa de e-mail a utilizatorului în backendul nostru.
E-mailurile de invitație sunt trimise activ când:
Un utilizator nou este invitat pentru prima dată prin SCIM.
Un utilizator este invitat direct din ChatGPT sau de pe Platforma API.
Invitațiile sunt asociate discret când:
Un utilizator SCIM a fost eliminat din grupul dvs. IdP și apoi adăugat din nou.
Se aplică crearea automată a conturilor.
În acest din urmă caz, utilizatorii nu vor vedea invitațiile în inbox, dar vor fi totuși direcționați corect către spațiul de lucru/organizația corespunzătoare când încearcă să se conecteze.
SCIM
SCIM este disponibil atât în ChatGPT, cât și pe Platforma API. SCIM permite furnizorilor de identitate (de ex., Okta, Entra ID etc.) să facă schimb de date de identitate ale utilizatorilor cu OpenAI, automatizând furnizarea invitațiilor (și anularea furnizării conturilor de utilizator) pe baza schimbărilor organizaționale.
Deși SCIM se configurează tot prin IdP-ul dvs., poate fi configurat independent de SSO. Prin urmare, verificarea domeniului/SSO nu sunt cerințe pentru SCIM.
Dacă decideți să utilizați atât SCIM, cât și SSO, distincția importantă este:
SCIM furnizează doar invitații
SSO gestionează autentificarea și crearea utilizatorilor
Considerăm SCIM cea mai robustă și scalabilă soluție pentru gestionarea generală a utilizatorilor. În funcție de implementarea dvs. ideală, recomandăm în general următoarea arhitectură ca bună practică dacă implementați atât în ChatGPT, cât și pe Platforma API:

Cu această configurație, puteți gestiona ușor, separat, atât invitațiile, cât și accesul (la ChatGPT și Platforma API). Această configurație are avantajul suplimentar că orice modificări necesare pot fi efectuate centralizat de echipele dvs. de administrare, direct în IdP.
Dacă implementați SCIM în mai multe aplicații (de ex., ChatGPT vs. Platforma API vs. alte conturi), aplicațiile SCIM ar trebui să fie unice. Chiar dacă baza de utilizatori vizată este identică, recomandăm insistent ca fiecare implementare SCIM să facă referire la o aplicație unică în IdP-ul dvs.
Dacă nu respectați această cerință, pot apărea probleme de inconsecvență care, în cele din urmă, duc la apartenențe nevalide.
Invitații directe din ChatGPT sau Platforma API
Administratorii pot invita utilizatori direct prin e-mail din paginile ChatGPT și Platformă „Membri” corespunzătoare. În ChatGPT, această metodă acceptă și invitații în bloc printr-un CSV încărcat:

Deși de obicei nu este scalabilă, recomandăm adesea utilizarea invitațiilor directe când începeți într-un spațiu de lucru/o organizație nouă. Spre deosebire de SCIM, nu există nicio potențială întârziere în livrarea invitațiilor în inboxurile utilizatorilor, așa că este cea mai eficientă opțiune pentru a oferi acces rapid, a modifica permisiuni și a face testări generale.
În plus, puteți activa oricând SCIM ulterior și puteți grupa utilizatorii existenți sub aplicația SCIM. Prin urmare, nu există riscul ca utilizatorii invitați direct să fie excluși din automatizările viitoare, cu excepția cazului în care doriți acest lucru.
Crearea automată a conturilor (AAC)
Spre deosebire de celelalte opțiuni, AAC este disponibilă doar în pagina Identitate din ChatGPT și necesită ca SSO să fi fost activat mai întâi:

După cum se arată mai sus, AAC garantează că utilizatorii care se înregistrează sau se conectează cu un domeniu de e-mail verificat vor fi adăugați automat în spațiul dvs. de lucru Enterprise. Utilizatorii nu vor primi un e-mail de invitație, iar procesul este complet automatizat. Acest lucru are avantaje și dezavantaje.
Dacă politica dvs. este să permiteți acces deschis oricărui utilizator cu domeniul dvs. verificat, AAC este o opțiune excelentă care evită costul operațional suplimentar al configurării și gestionării unei aplicații SCIM.
Totuși, AAC nu este ideală dacă aveți nevoie de o abordare mai restricționată, bazată pe aprobare, pentru accesul utilizatorilor.
⚠️ AVERTISMENT ⚠️
Este important să rețineți că activarea AAC va forța efectiv fuzionarea tuturor utilizatorilor consumer (personal/Plus/Pro) din domeniul dvs. în spațiul de lucru Enterprise. Mai multe detalii pot fi găsite mai jos, în secțiunea „Gestionarea utilizatorilor existenți”.
Rețineți că, în acest scenariu, chiar dacă utilizatorii nu sunt membri ai grupului de acces din IdP și nu pot accesa cu succes spațiul de lucru dacă SSO este impus, ei ocupă totuși un loc în contul dvs. Enterprise.
Din acest motiv, în majoritatea cazurilor recomandăm în general SCIM sau invitațiile directe, mai degrabă decât AAC. Iar pentru a evita posibile surse de confuzie, recomandăm să lăsați AAC dezactivat dacă intenționați să utilizați SCIM.
Endpoint Invites pentru administratori pe Platforma API
Platforma noastră API acceptă un Endpoint Invites, care vă permite să invitați programatic utilizatori în organizația dvs. API.
Comparativ cu SCIM, beneficiul major al endpoint este că vă permite să specificați proiectul/proiectele din care ar trebui să facă parte utilizatorul invitat:

Acest lucru oferă un nivel suplimentar de granularitate și control, fără a necesita munca manuală a invitațiilor directe individuale.
Gestionarea utilizatorilor consumer existenți
Definim utilizatorii consumer ca fiind cei cu un abonament personal, Plus sau Pro. Adesea există utilizatori consumer existenți cu domeniul dvs. verificat, care aveau conturi înainte de contractul dvs. Enterprise. Deoarece verificarea domeniului și activarea SSO pot avea un impact ulterior asupra acestor utilizatori consumer, este important să stabiliți în prealabil rezultatul dorit.
Impactul asupra utilizatorilor consumer ChatGPT
În ceea ce privește ChatGPT, impactul asupra utilizatorilor consumer este determinat în mare parte de doi factori:
Vor fi invitați în spațiul de lucru Enterprise?
Veți impune SSO?
Comportamentul rezultat poate fi văzut mai jos:
| Invitație în așteptare? | SSO impus? | Rezultat |
|---|---|---|
| Da | Da | Conturile utilizatorilor consumer vor fi forțate să fuzioneze cu Enterprise, iar utilizatorii se pot conecta doar prin SSO. |
| Da | Nu | Conturile utilizatorilor consumer vor fi forțate să fuzioneze cu Enterprise, iar utilizatorii se pot autentifica prin SSO sau conectare socială. |
| Nu | Da | Fără impact: utilizatorii consumer își păstrează accesul la spațiile lor de lucru personale prin parolă sau autentificare socială. |
| Nu | Nu | Fără impact: utilizatorii consumer își păstrează accesul la spațiile lor de lucru personale prin parolă sau autentificare socială. |
Dacă obiectivul dvs. este să preveniți în cele din urmă orice conturi consumer, contactați Account Director-ul dvs. pentru a discuta opțiunile posibile.
Fuziunea conturilor
Condițiile preliminare pentru declanșarea fuziunii automate a contului de consumator într-un cont Enterprise sunt următoarele:
Domeniul utilizatorului este verificat.
Utilizatorul a primit o invitație la spațiul de lucru Enterprise în care domeniul său este verificat.
Notă: Dacă ați activat AAC, această condiție va fi întotdeauna adevărată pentru orice utilizator cu domeniul dvs. verificat.
Când aceste condiții sunt îndeplinite, la următoarea conectare sau reîmprospătare a ChatGPT, utilizatorul ar trebui să vadă următoarea fereastră modală:

După cum se evidențiază în imagine, vom rambursa automat orice abonamente Plus sau Pro existente înainte de fuziune. Utilizatorii vor avea opțiunea de a-și transfera istoricul de chat și GPT-urile existente sau de a-și exporta istoricul de chat prin e-mail și de a începe în spațiul lor de lucru Enterprise de la zero.
Notă: Dacă spațiul de lucru Enterprise sau Edu de destinație are rezidența datelor activată, datele din spațiul de lucru Personal nu pot fi transferate. Utilizatorii își pot doar exporta conversațiile și șterge spațiul de lucru Personal. Consultați Invitațiile prin e-mail și migrarea conturilor pentru detalii.
După fuziunea contului de consumator, acesta nu mai poate fi restaurat. Dacă utilizatorii dvs. au ales opțiunea „Transferați istoricul de chat și GPT-urile existente”, dar nu au văzut această schimbare reflectată în spațiul lor de lucru Enterprise, contactați echipa de asistență.
Impactul asupra utilizatorilor consumer ai Platformei API
Deoarece SSO pe Platformă este în continuare bazat pe domeniu (spre deosebire de ChatGPT, unde SSO este specific spațiului de lucru în care a fost activat), utilizatorii dvs. consumer vor fi afectați imediat ce vă verificați domeniul și activați SSO în orice organizație.
Utilizatorii consumer vor pierde posibilitatea de a se autentifica prin parolă, deoarece identificăm potrivirea domeniului și îi redirecționăm către IdP-ul dvs. Dacă sunt membri ai IdP-ului dvs., se pot autentifica cu succes. Alternativ, se pot conecta cu o opțiune OAuth socială, dacă aceasta le este disponibilă. Dacă nu, practic le-ați blocat accesul la conturile lor consumer.
Consultați secțiunea Fluxul de conectare al utilizatorului pentru un ghid mai detaliat al acestui flux de lucru.
Modele recomandate pentru identitate și furnizare
Acum că am prezentat comportamentul fundamental asociat autentificării identității și furnizării invitațiilor, poate fi util să analizăm unele dintre cele mai comune modele de implementare disponibile pentru utilizatorii Enterprise:

Fluxul de conectare al utilizatorului
Am discutat deja impactul invitațiilor în așteptare și al impunerii SSO, astfel că această secțiune este menită să ajute la vizualizarea fluxului/verificărilor așteptate pe care le efectuăm când un utilizator introduce adresa de e-mail pentru conectare.
Fluxul de conectare la ChatGPT
Notă: această diagramă exclude încercările de conectare printr-o metodă socială sau prin adresa URL Tile.

Fluxul de conectare la Platforma API
Notă: această diagramă exclude încercările de conectare printr-o metodă socială sau prin adresa URL Tile.

Pașii următori
Acum că aveți o idee despre implementarea ideală, puteți urma documentația corespunzătoare pentru a activa SCIM sau SSO:
