Ознакомьтесь с нашей страницей «Обзор SSO», чтобы ознакомиться с ключевыми понятиями, обсуждаемыми в этом документе.
Перед верификацией доменов важно рассмотреть несколько вопросов:
Как вы хотите предоставлять приглашения новым пользователям?
Как вы хотите поступить с текущими пользователями личных учетных записей (с личной подпиской, в том числе Plus/Pro)?
Каким вы хотите видеть процесс входа в систему для ваших пользователей?
Мы рассмотрим каждый из этих вопросов подробнее, чтобы вам было проще выбрать вариант, который лучше всего соответствует вашим потребностям.
Приглашение новых пользователей
В настоящее время мы предлагаем четыре различных способа предоставления приглашений пользователям:
Стоит отметить, что мы различаем случаи, когда письма с приглашениями отправляются активно:
Новый пользователь впервые приглашён через SCIM
ИЛИ приглашения напрямую из приложения
И случаи, когда приглашение без уведомления связывается с адресом электронной почты пользователя в нашем бэкенде:
Пользователь SCIM был удален из вашей группы IdP, а затем добавлен обратно
Автоматическое создание учетной записи
В последнем случае пользователи не увидят приглашения в папке «Входящие», но при попытке входа в систему они всё равно будут корректно перенаправлены в соответствующую рабочую область или организацию.
SCIM
SCIM доступен как в ChatGPT, так и на платформе API. SCIM позволяет провайдерам идентификации (например, Okta, Entra ID и т.д.) обмениваться данными удостоверений пользователей с OpenAI, автоматизируя предоставление приглашений (и вывод из эксплуатации учетных записей пользователей) на основе организационных изменений.
Хотя SCIM также настраивается через IdP, его можно настроить независимо от SSO. Следовательно, верификация домена и SSO не являются обязательными требованиями для SCIM.
Если вы решите использовать и SCIM, и SSO, важно учитывать следующее различие:
SCIM предоставляет только приглашения
SSO отвечает за аутентификацию и создание пользователей
Мы считаем SCIM наиболее надёжным и масштабируемым решением для комплексного управления пользователями. В зависимости от выбранной вами оптимальной реализации мы, как правило, рекомендуем следующую архитектуру в качестве лучшей практики, если вы выполняете развертывание как в ChatGPT, так и на платформе API:
При такой настройке вы можете легко управлять отдельно приглашениями и доступом (к ChatGPT и платформе API). Дополнительное преимущество такой настройки заключается в том, что ваши команды администрирования могут централизованно выполнять любые необходимые изменения непосредственно в вашем IdP.
Если вы развертываете SCIM в нескольких приложениях (т.е. ChatGPT, API Platform и других учетных записях), ваши SCIM-приложения должны быть уникальными. Даже если целевая база пользователей совпадает, настоятельно рекомендуется, чтобы каждая реализация SCIM ссылалась на уникальное приложение в вашем IdP.
Если вы не выполните это требование, это может привести к проблемам несогласованности, которые в конечном итоге приведут к аннулированию подписок.
Прямые приглашения из ChatGPT или с платформы API
Администраторы могут напрямую приглашать пользователей по электронной почте с соответствующих страниц «Участники»
в ChatGPT и на платформе. В ChatGPT этот метод также поддерживает массовые приглашения с помощью загруженного CSV-файла:
Хотя обычно такой подход плохо масштабируется, на начальном этапе работы в новой рабочей области или организации мы часто рекомендуем использовать прямые приглашения. В отличие от SCIM, при этом варианте не возникает возможной задержки с доставкой приглашений в почтовые ящики пользователей, поэтому это наиболее эффективный вариант для быстрого предоставления доступа, изменения прав доступа и общего тестирования.
Кроме того, вы всегда сможете включить SCIM позже и закрепить существующих пользователей за приложением SCIM. Таким образом, нет опасений, что напрямую приглашенные пользователи будут исключены из последующих автоматизированных процессов, если только это не будет сделано намеренно.
Автоматическое создание учетной записи (AAC)
В отличие от других вариантов, AAC доступна только на странице «Идентификация» в ChatGPT и требует предварительного включения SSO:
Как показано выше, AAC гарантирует, что пользователи, регистрирующиеся или входящие в систему с подтвержденным доменом электронной почты, будут автоматически добавлены в вашу рабочую область Enterprise. Пользователи не получат приглашение по электронной почте, а процесс будет полностью автоматизирован. У этого есть свои плюсы и минусы.
Если ваша политика предусматривает открытый доступ для любого пользователя с вашим верифицированным доменом, AAC — отличный вариант, позволяющий избежать дополнительных трудозатрат на настройку и управление приложением SCIM.
Однако AAC — не лучший вариант, если вам требуется более строго контролируемый подход к доступу пользователей на основе утверждения.
⚠️ ВНИМАНИЕ ⚠️
Имейте в виду, что включение AAC фактически принудительно объединит всех пользователей личных учетных записей (с личной подпиской, в том числе Plus/Pro) в вашем домене в вашу рабочую область Enterprise. Дополнительную информацию об этом можно найти ниже, в разделе «Работа с существующими пользователями».
Обратите внимание: в этом сценарии, даже если пользователи не являются участниками вашей группы доступа IdP и не могут успешно получить доступ к рабочей области при обязательном использовании SSO, они всё равно занимают место в вашей учетной записи Enterprise.
По этой причине в большинстве случаев мы, как правило, рекомендуем использовать SCIM или прямые приглашения, а не AAC. А чтобы избежать возможной путаницы, мы рекомендуем оставить AAC отключенной, если вы планируете использовать SCIM.
Конечная точка приглашений администратора платформы API
Наша платформа API поддерживает конечную точку приглашений, которая позволяет программно приглашать пользователей в вашу организацию API.
По сравнению с SCIM основное преимущество этой конечной точки заключается в том, что она позволяет указать проекты, в которые должен входить приглашённый пользователь:
Это обеспечивает дополнительный уровень детализации и контроля без необходимости вручную отправлять отдельные прямые приглашения.
Работа с существующими пользователями личных учетных записей
Мы определяем пользователей личных учетных записей как тех, кто оформил личную подписку, подписку Plus или Pro. Часто бывает так, что существуют пользователи личных учетных записей с вашим верифицированным доменом, которые создали учетные записи до заключения вашего контракта Enterprise. Поскольку проверка вашего домена и включение SSO могут повлиять на этих пользователей, важно заранее определить желаемый результат.
Влияние на пользователей личных учетных записей ChatGPT
На стороне ChatGPT влияние на пользователей во многом определяется двумя факторами:
Будут ли они приглашены в рабочую область Enterprise?
Если функция AAC включена, по умолчанию устанавливается значение «Да»
Будете ли вы требовать использования SSO?
Итоговое поведение показано ниже:
| Ожидает приглашения? | SSO применяется принудительно? | Результаты |
| ✅ | ✅ | Личные учетные записи пользователей будут принудительно объединены с Enterprise, и вход в систему будет возможен только с помощью SSO |
| ✅ | ❌ | Личные учетные записи пользователей будут принудительно объединены с Enterprise, пользователи смогут авторизоваться с помощью SSO или через учетную запись в социальной сети |
| ❌ | ✅ | Без изменений: пользователи личных учетных записей сохраняют доступ к своим личным рабочим областям через аутентификацию по паролю или через социальные сети |
| ❌ | ❌ | Без изменений: пользователи личных учетных записей сохраняют доступ к своим личным рабочим областям через аутентификацию по паролю или через социальные сети |
Если ваша цель — в конечном итоге не допустить создания каких-либо потребительских учетных записей, свяжитесь с вашим директором по работе с учетными записями, чтобы обсудить возможные варианты.
Объединение учетных записей
Предварительные условия для запуска автоматического объединения личной учётной записи с учётной записью Enterprise указаны ниже:
Домен пользователя верифицирован
Пользователь получил приглашение в рабочую область Enterprise, где домен пользователя верифицирован
⚠️ Помните, что если вы включили AAC, это условие всегда будет актуальным для любого пользователя с верифицированным вами доменом.
Когда эти условия будут выполнены, при следующем входе пользователя в ChatGPT или обновлении страницы ChatGPT должно отобразиться следующее модальное окно:
Как показано на изображении, перед объединением мы автоматически вернем средства за любые действующие подписки Plus или Pro. У пользователей будет возможность перенести существующую историю чата и GPT или экспортировать историю чата по электронной почте и начать работу в рабочей области Enterprise «с чистого листа».
После объединения учетной записи потребителя восстановить её будет невозможно. Если ваши пользователи выбрали вариант «Перенести существующую историю чатов и GPT», но эти изменения не отобразились в их рабочей области Enterprise, обратитесь в службу поддержки.
Влияние на пользователей личных учетных записей на Платформе API
Поскольку SSO на Платформе по-прежнему основана на домене (в отличие от ChatGPT, где SSO применяется только к той рабочей области, в которой она включена), ваши пользователи личных учетных записей будут затронуты, как только вы верифицируете свой домен и включите SSO в любой организации.
Пользователи личных учетных записей больше не смогут проходить аутентификацию с помощью паролей, поскольку при обнаружении совпадения домена мы будем перенаправлять их к вашему IdP. Если они являются участниками вашего IdP, они могут успешно пройти аутентификацию. В качестве альтернативы они могут авторизоваться с помощью варианта OAuth через социальные сети, если он им доступен. Если нет, то вы фактически заблокировали им доступ к их личным учетным записям.
Чтобы получить более подробное руководство по этому рабочему процессу, ознакомьтесь с процессами в разделе «Вход пользователя».
Рекомендуемые шаблоны идентификации и предоставления доступа
Теперь, когда мы изложили основные принципы работы, связанные с аутентификацией удостоверений и предоставлением приглашений, будет полезно рассмотреть некоторые из наиболее распространённых шаблонов реализации, доступных пользователям Enterprise:
Процесс входа пользователя в систему
Мы уже обсудили влияние ожидающих приглашений и принудительного использования SSO, поэтому этот раздел предназначен для того, чтобы помочь наглядно представить ожидаемый процесс и проверки, которые выполняются, когда пользователь вводит свой адрес электронной почты для входа.
Процесс входа в ChatGPT
Примечание: эта схема не учитывает попытки входа через социальную сеть или через Tile URL.
Процесс входа на Платформу API
Примечание: эта схема не учитывает попытки входа через социальную сеть или через Tile URL.
Дальнейшие действия
Теперь, когда у вас есть представление о вашей идеальной реализации, вы можете обратиться к соответствующей документации, чтобы узнать, как включить SCIM или SSO: