Обзор
Блокировка рабочих областей — это функция, которая позволяет клиентам ChatGPT Enterprise ограничивать доступ к определенным рабочим областям ChatGPT, обеспечивая вход пользователей и их работу только в разрешенных рабочих областях. Эта функция гарантирует, что пользователи в вашей организации смогут получать доступ только к определенным утвержденным рабочим областям.
Как это работает
Настройка пользовательского заголовка: вы задаете разрешенные рабочие области, добавляя пользовательский HTTP-заголовок
ChatGPT-Allowed-Workspace-Idв конфигурацию сети. Этот заголовок содержит один или несколько идентификаторов рабочих областей (UUID), которые определяют, к каким рабочим областям пользователи могут получать доступ.ChatGPT фильтрует доступ:
Когда пользователь входит в ChatGPT Enterprise, система проверяет, совпадает ли рабочая область, к которой он пытается получить доступ, с одним из UUID рабочих областей, перечисленных в заголовке
ChatGPT-Allowed-Workspace-Id.Если пользователь пытается получить доступ к рабочей области, не указанной в заголовке, ChatGPT автоматически фильтрует этот запрос и блокирует доступ к этой рабочей области. Пока у пользователя есть доступ хотя бы к одной рабочей области, фильтрация происходит незаметно. Если после фильтрации у пользователя не остается доступа ни к одной рабочей области, он получит ошибку
403 Forbidden.Доступны будут только рабочие области, перечисленные в заголовке; все остальные рабочие области (включая личные) система отфильтрует.
Поддержка нескольких рабочих областей: если вашей организации нужно разрешить доступ более чем к одной рабочей области, можно указать в заголовке несколько UUID рабочих областей, разделив их запятыми без пробелов.
Настройка
Шаг 1. Получите идентификатор рабочей области
Чтобы разрешить доступ к определенным рабочим областям, вам нужно найти UUID каждой разрешенной рабочей области. Этот UUID можно найти в настройках администратора ChatGPT:
Войдите в учетную запись администратора ChatGPT Enterprise.
Перейдите на страницу настроек администратора.
Найдите идентификатор рабочей области (UUID), соответствующий каждой рабочей области, к которой вы хотите разрешить доступ.
Пример UUID рабочей области: 437adf77-4085-4b22-b7b1-de7b6f5ec6c0
Шаг 2. Поставщики SASE
Для внедрения в масштабах предприятия организации могут работать со своими партнерами по Secure Access Service Edge (SASE). Эти партнеры могут применять функцию блокировки рабочих областей на сетевом уровне.
Шаг 3. Конфигурация
Разрешите несколько рабочих областей (при необходимости): чтобы открыть доступ к нескольким рабочим областям, введите UUID рабочих областей, разделенные запятыми.
Укажите таргетинг URL:
Убедитесь, что заголовок применяется к URL ChatGPT. Настройте фильтр URL так, чтобы он применялся только к запросам, отправляемым на
https://chatgpt.com/*
Шаг 4. Обработка ошибок
Ошибка 403 Forbidden: если пользователь пытается получить доступ к рабочей области, но после фильтрации не остается доступных рабочих областей, он увидит ошибку
403 Forbidden, а в сообщении будет указано, что у него нет прав на доступ к рабочей области.Ошибка 400 Bad Request: если значение заголовка имеет неверный формат (например, указан неправильный UUID рабочей области), все запросы с этим заголовком будут завершаться ошибкой
400 Bad Request.
Шаг 5. Заблокируйте анонимное использование ChatGPT без входа в систему
ChatGPT также можно использовать вообще без учетной записи или рабочей области — мы называем это анонимным продуктом или продуктом без входа в систему. Чтобы эффективно заблокировать такой тип использования, обратитесь к своему поставщику SASE для блокировки доступа к URL, начинающимся с https://chatgpt.com/backend-anon/, или используйте ту же конфигурацию браузера, с помощью которой вы добавляли заголовки, чтобы также блокировать URL с этим префиксом.
Шаг 6. Учитывайте совместимость с настольным и мобильным приложениями ChatGPT
В настольных и мобильных приложениях ChatGPT используется закрепление сертификатов. Это ограничивает набор серверных сертификатов, которые клиент примет, и добавляет дополнительную защиту от сложных атак перехвата (MiTM), когда действительный сертификат был скомпрометирован. Проверка закрепления выполняется после того, как серверный сертификат уже был проверен по доверенным корневым сертификатам.
Чтобы настольные и мобильные приложения ChatGPT корректно работали при включенной SSL-инспекции (необходимой для реализации указанных выше сетевых средств управления), вам потребуется добавить собственные сертификаты в список закрепленных и распространить их среди клиентов через MDM. Подробные инструкции см. здесь: https://docsend.com/view/rrk4mx9aashcekp7
Вопросы и ответы
Будет ли блокировка рабочих областей работать на мобильных устройствах iOS, а также в приложениях для macOS и Android?
Блокировку рабочих областей путем внедрения сетевого заголовка можно применять в приложениях ChatGPT на управляемых устройствах, где через MDM развернуты исключения для закрепления сертификатов, как описано выше.
Если организация хочет запретить пользователям доступ к ChatGPT (включая личные учетные записи) через приложения для iOS, macOS и Android, она может настроить сетевой межсетевой экран, прокси или сервис SASE для блокировки доступа к следующим доменам:
Приложение Android:
android.chat.openai.comНастольное веб-приложение:
desktop.chatgpt.comПриложение iOS:
ios.chat.openai.com
Обратите внимание: блокировка доступа к указанным выше доменам блокирует весь трафик к приложениям. Это означает, что никто не сможет получить доступ к ChatGPT через эти платформы, независимо от того, использует он личную или корпоративную учетную запись.
