OpenAI
Эта страница была переведена машинным переводом. Открыть оригинальную статью на английском.

Корпоративные сетевые средства управления в ChatGPT Enterprise

Блокировка рабочих областей позволяет клиентам ChatGPT Enterprise ограничивать доступ к определенным рабочим областям ChatGPT, чтобы пользователи могли входить и работать только в разрешенных рабочих областях.

Обновлено: 14 days ago

Обзор

Блокировка рабочих областей — это функция, которая позволяет клиентам ChatGPT Enterprise ограничивать доступ к определенным рабочим областям ChatGPT, обеспечивая вход пользователей и их работу только в разрешенных рабочих областях. Эта функция гарантирует, что пользователи в вашей организации смогут получать доступ только к определенным утвержденным рабочим областям.

Как это работает

  • Настройка пользовательского заголовка: вы задаете разрешенные рабочие области, добавляя пользовательский HTTP-заголовок ChatGPT-Allowed-Workspace-Id в конфигурацию сети. Этот заголовок содержит один или несколько идентификаторов рабочих областей (UUID), которые определяют, к каким рабочим областям пользователи могут получать доступ.

  • ChatGPT фильтрует доступ:

    • Когда пользователь входит в ChatGPT Enterprise, система проверяет, совпадает ли рабочая область, к которой он пытается получить доступ, с одним из UUID рабочих областей, перечисленных в заголовке ChatGPT-Allowed-Workspace-Id.

    • Если пользователь пытается получить доступ к рабочей области, не указанной в заголовке, ChatGPT автоматически фильтрует этот запрос и блокирует доступ к этой рабочей области. Пока у пользователя есть доступ хотя бы к одной рабочей области, фильтрация происходит незаметно. Если после фильтрации у пользователя не остается доступа ни к одной рабочей области, он получит ошибку 403 Forbidden.

    • Доступны будут только рабочие области, перечисленные в заголовке; все остальные рабочие области (включая личные) система отфильтрует.

  • Поддержка нескольких рабочих областей: если вашей организации нужно разрешить доступ более чем к одной рабочей области, можно указать в заголовке несколько UUID рабочих областей, разделив их запятыми без пробелов.

Настройка

Шаг 1. Получите идентификатор рабочей области

Чтобы разрешить доступ к определенным рабочим областям, вам нужно найти UUID каждой разрешенной рабочей области. Этот UUID можно найти в настройках администратора ChatGPT:

  • Войдите в учетную запись администратора ChatGPT Enterprise.

  • Перейдите на страницу настроек администратора.

  • Найдите идентификатор рабочей области (UUID), соответствующий каждой рабочей области, к которой вы хотите разрешить доступ.

Пример UUID рабочей области: 437adf77-4085-4b22-b7b1-de7b6f5ec6c0

Шаг 2. Поставщики SASE

Для внедрения в масштабах предприятия организации могут работать со своими партнерами по Secure Access Service Edge (SASE). Эти партнеры могут применять функцию блокировки рабочих областей на сетевом уровне.

Шаг 3. Конфигурация

  • Разрешите несколько рабочих областей (при необходимости): чтобы открыть доступ к нескольким рабочим областям, введите UUID рабочих областей, разделенные запятыми.

  • Укажите таргетинг URL:

    • Убедитесь, что заголовок применяется к URL ChatGPT. Настройте фильтр URL так, чтобы он применялся только к запросам, отправляемым на https://chatgpt.com/*

Шаг 4. Обработка ошибок

  • Ошибка 403 Forbidden: если пользователь пытается получить доступ к рабочей области, но после фильтрации не остается доступных рабочих областей, он увидит ошибку 403 Forbidden, а в сообщении будет указано, что у него нет прав на доступ к рабочей области.

  • Ошибка 400 Bad Request: если значение заголовка имеет неверный формат (например, указан неправильный UUID рабочей области), все запросы с этим заголовком будут завершаться ошибкой 400 Bad Request.

Шаг 5. Заблокируйте анонимное использование ChatGPT без входа в систему

ChatGPT также можно использовать вообще без учетной записи или рабочей области — мы называем это анонимным продуктом или продуктом без входа в систему. Чтобы эффективно заблокировать такой тип использования, обратитесь к своему поставщику SASE для блокировки доступа к URL, начинающимся с https://chatgpt.com/backend-anon/, или используйте ту же конфигурацию браузера, с помощью которой вы добавляли заголовки, чтобы также блокировать URL с этим префиксом.

Шаг 6. Учитывайте совместимость с настольным и мобильным приложениями ChatGPT

В настольных и мобильных приложениях ChatGPT используется закрепление сертификатов. Это ограничивает набор серверных сертификатов, которые клиент примет, и добавляет дополнительную защиту от сложных атак перехвата (MiTM), когда действительный сертификат был скомпрометирован. Проверка закрепления выполняется после того, как серверный сертификат уже был проверен по доверенным корневым сертификатам.

Чтобы настольные и мобильные приложения ChatGPT корректно работали при включенной SSL-инспекции (необходимой для реализации указанных выше сетевых средств управления), вам потребуется добавить собственные сертификаты в список закрепленных и распространить их среди клиентов через MDM. Подробные инструкции см. здесь: https://docsend.com/view/rrk4mx9aashcekp7

Вопросы и ответы

Будет ли блокировка рабочих областей работать на мобильных устройствах iOS, а также в приложениях для macOS и Android?

Блокировку рабочих областей путем внедрения сетевого заголовка можно применять в приложениях ChatGPT на управляемых устройствах, где через MDM развернуты исключения для закрепления сертификатов, как описано выше.

Если организация хочет запретить пользователям доступ к ChatGPT (включая личные учетные записи) через приложения для iOS, macOS и Android, она может настроить сетевой межсетевой экран, прокси или сервис SASE для блокировки доступа к следующим доменам:

  • Приложение Android: android.chat.openai.com

  • Настольное веб-приложение: desktop.chatgpt.com

  • Приложение iOS: ios.chat.openai.com

Обратите внимание: блокировка доступа к указанным выше доменам блокирует весь трафик к приложениям. Это означает, что никто не сможет получить доступ к ChatGPT через эти платформы, независимо от того, использует он личную или корпоративную учетную запись.

Была ли эта статья полезной?