Pozrite si našu stránku „Prehľad SSO / jediného prihlásenia“, aby ste sa oboznámili s kľúčovými pojmami, o ktorých sa v tomto dokumente hovorí.
Pred overením domén je dôležité zvážiť niekoľko otázok:
Ako chcete poskytovať pozvánky novým používateľom?
Ako chcete riešiť existujúcich spotrebiteľských používateľov (osobné/Plus/Pro)?
Ako má vyzerať postup prihlasovania používateľov?
Na každú z týchto otázok sa pozrieme podrobnejšie, aby ste si vybrali možnosť, ktorá najlepšie vyhovuje vašim potrebám.
Pozývanie nových používateľov
V súčasnosti ponúkame štyri rôzne metódy poskytovania pozvánok používateľom:
Stojí za zmienku, že rozlišujeme medzi prípadmi, keď sa e-maily s pozvánkami aktívne odosielajú, a prípadmi, keď sa pozvánka ticho priradí k e-mailu používateľa v našom backende.
E-maily s pozvánkami sa aktívne odosielajú, keď:
Nový používateľ je prvýkrát pozvaný cez SCIM.
Používateľ je pozvaný priamo z ChatGPT alebo platformy API.
Pozvánky sa ticho priraďujú, keď:
Používateľ SCIM bol odstránený z vašej skupiny IdP a potom znova pridaný.
Uplatní sa automatické vytváranie účtov.
V druhom prípade používatelia pozvánky vo svojej doručenej pošte neuvidia, no pri pokuse o prihlásenie budú stále správne presmerovaní do príslušného pracovného priestoru alebo organizácie.
SCIM
SCIM je k dispozícii v ChatGPT aj na platforme API. SCIM umožňuje poskytovateľom identity (napr. Okta, Entra ID atď.) vymieňať si údaje o identite používateľov s OpenAI a automatizovať poskytovanie pozvánok (aj zrušenie poskytovania používateľských účtov) na základe organizačných zmien.
Hoci sa SCIM konfiguruje tiež cez váš IdP, dá sa nastaviť nezávisle od SSO / jediného prihlásenia. Overenie domény ani SSO / jediné prihlásenie preto nie sú požiadavkami pre SCIM.
Ak sa rozhodnete používať SCIM aj SSO / jediné prihlásenie, dôležité je rozlišovať:
SCIM iba poskytuje pozvánky
SSO / jediné prihlásenie zabezpečuje autentifikáciu a vytváranie používateľov
SCIM považujeme za najrobustnejšie a najškálovateľnejšie riešenie celkovej správy používateľov. V závislosti od vašej ideálnej implementácie všeobecne odporúčame nasledujúcu architektúru ako osvedčený postup, ak nasadzujete ChatGPT aj platformu API:
S týmto nastavením môžete jednoducho spravovať pozvánky aj prístup (k ChatGPT a platforme API) samostatne. Ďalšou výhodou tohto nastavenia je, že všetky potrebné zmeny môžu vaše administračné tímy vykonávať centrálne priamo vo vašom IdP.
Ak implementujete SCIM vo viacerých aplikáciách (t. j. ChatGPT vs. platforma API vs. iné účty), vaše aplikácie SCIM by mali byť jedinečné. Aj keď je cieľová používateľská základňa rovnaká, dôrazne odporúčame, aby každá implementácia SCIM odkazovala na jedinečnú aplikáciu vo vašom IdP.
Ak túto požiadavku nesplníte, môže to viesť k problémom s nekonzistentnosťou, ktoré napokon spôsobia neplatné členstvá.
Priame pozvánky z ChatGPT alebo platformy API
Administrátori môžu používateľov priamo pozývať e-mailom z príslušných stránok ChatGPT a Platform „Members“. V ChatGPT táto metóda podporuje aj hromadné pozvánky prostredníctvom nahraného súboru CSV:
Hoci to zvyčajne nie je škálovateľné, pri začínaní v novom pracovnom priestore alebo organizácii často odporúčame používať priame pozvánky. Na rozdiel od SCIM nehrozí prípadné oneskorenie doručenia pozvánok do doručených správ používateľov, takže ide o najúčinnejšiu možnosť na rýchle poskytnutie prístupu, úpravu povolení a všeobecné testovanie.
Okrem toho môžete SCIM kedykoľvek zapnúť neskôr a zaradiť existujúcich používateľov pod aplikáciu SCIM. Nemusíte sa teda obávať, že priamo pozvaní používatelia budú v budúcnosti vylúčení z automatizácie, pokiaľ si to neželáte.
Automatické vytváranie účtov (AAC)
Na rozdiel od ostatných možností je AAC dostupné iba na stránke Identity v ChatGPT a vyžaduje, aby bolo najprv zapnuté SSO / jediné prihlásenie:
Ako je znázornené vyššie, AAC zaručuje, že používatelia, ktorí sa zaregistrujú alebo prihlásia s overenou e-mailovou doménou, budú automaticky pridaní do vášho pracovného priestoru Enterprise. Používatelia nedostanú e-mail s pozvánkou a celý proces je automatizovaný. Má to svoje výhody aj nevýhody.
Ak je vašou zásadou umožniť otvorený prístup každému používateľovi s vašou overenou doménou, AAC je skvelá možnosť, ktorá eliminuje dodatočnú réžiu spojenú s konfiguráciou a správou aplikácie SCIM.
AAC však nie je ideálne, ak vyžadujete viac uzamknutý prístup k prístupu používateľov založený na schvaľovaní.
⚠️ UPOZORNENIE ⚠️
Je dôležité mať na pamäti, že zapnutie AAC v praxi vynúti zlúčenie všetkých spotrebiteľských používateľov (osobné/Plus/Pro) pod vašou doménou do vášho pracovného priestoru Enterprise. Viac informácií nájdete nižšie v časti „Riešenie existujúcich používateľov“.
Upozorňujeme, že aj keď používatelia nie sú členmi prístupovej skupiny vo vašom IdP a pri vynútenom SSO / jedinom prihlásení nemôžu úspešne získať prístup k pracovnému priestoru, v tomto scenári stále obsadzujú miesto vo vašom účte Enterprise.
Z tohto dôvodu vo väčšine prípadov vo všeobecnosti odporúčame SCIM alebo priame pozvánky namiesto AAC. Aby ste predišli možným nejasnostiam, ak plánujete používať SCIM, odporúčame ponechať AAC vypnuté.
Endpoint Admin Invites pre platformu API
Naša platforma API podporuje Endpoint Invites, ktorý vám umožňuje programovo pozývať používateľov do vašej organizácie API.
V porovnaní so SCIM je hlavnou výhodou endpoint to, že umožňuje určiť projekty, do ktorých má pozvaný používateľ patriť:
Poskytuje to ďalšiu úroveň podrobnosti a kontroly bez potreby manuálne posielať jednotlivé priame pozvánky.
Riešenie existujúcich spotrebiteľských používateľov
Spotrebiteľských používateľov definujeme ako používateľov s osobným predplatným, predplatným Plus alebo Pro. Často sa stáva, že existujú spotrebiteľskí používatelia s vašou overenou doménou, ktorí mali účty ešte pred vašou zmluvou Enterprise. Keďže overenie domény a zapnutie SSO / jediného prihlásenia môže mať následný vplyv na týchto spotrebiteľských používateľov, je dôležité vopred určiť požadovaný výsledok.
Vplyv na spotrebiteľských používateľov ChatGPT
Na strane ChatGPT je vplyv na spotrebiteľov do veľkej miery určený dvoma faktormi:
Budú pozvaní do pracovného priestoru Enterprise?
Budete vynucovať SSO / jediné prihlásenie?
Výsledné správanie vidíte nižšie:
| Čakajúca pozvánka? | Vynútené SSO / jediné prihlásenie? | Výsledok |
|---|---|---|
| Áno | Áno | Spotrebiteľské používateľské účty budú nútene zlúčené do Enterprise a používatelia sa budú môcť prihlasovať iba cez SSO / jediné prihlásenie. |
| Áno | Nie | Spotrebiteľské používateľské účty budú nútene zlúčené do Enterprise a používatelia sa môžu autentifikovať cez SSO / jediné prihlásenie alebo sociálne prihlásenie. |
| Nie | Áno | Bez vplyvu: Spotrebiteľskí používatelia si zachovajú prístup k svojim osobným pracovným priestorom prostredníctvom hesla alebo sociálnej autentifikácie. |
| Nie | Nie | Bez vplyvu: Spotrebiteľskí používatelia si zachovajú prístup k svojim osobným pracovným priestorom prostredníctvom hesla alebo sociálnej autentifikácie. |
Ak je vaším cieľom napokon zabrániť akýmkoľvek spotrebiteľským účtom, obráťte sa na svojho Account Directora a prediskutujte možné možnosti.
Zlúčenie účtov
Predpoklady na spustenie automatického zlúčenia spotrebiteľského účtu do účtu Enterprise sú tieto:
Doména používateľa je overená.
Používateľ dostal pozvánku do pracovného priestoru Enterprise, v ktorom je jeho doména overená.
Poznámka: Ak ste zapli AAC, táto podmienka bude vždy splnená pre každého používateľa s vašou overenou doménou.
Keď sú tieto podmienky splnené, pri ďalšom prihlásení do ChatGPT alebo obnovení ChatGPT by sa používateľovi malo zobraziť nasledujúce modálne okno:
Ako zvýrazňuje obrázok, pred zlúčením automaticky vrátime peniaze za všetky existujúce predplatné Plus alebo Pro. Používatelia budú mať možnosť preniesť svoju existujúcu históriu chatov a GPT alebo exportovať históriu chatov e-mailom a začať vo svojom pracovnom priestore Enterprise ako s „čistým štítom“.
Po zlúčení spotrebiteľského účtu ho už nie je možné obnoviť. Ak si vaši používatelia vybrali možnosť „Preniesť existujúcu históriu chatov a GPT“, ale vo svojom pracovnom priestore Enterprise to nevidia, obráťte sa na podporu.
Vplyv na spotrebiteľských používateľov platformy API
Keďže SSO / jediné prihlásenie na platforme je stále založené na doméne (na rozdiel od ChatGPT, kde je SSO / jediné prihlásenie špecifické pre pracovný priestor, v ktorom bolo zapnuté), vašich spotrebiteľských používateľov to ovplyvní hneď, ako overíte doménu a zapnete SSO / jediné prihlásenie v ľubovoľnej organizácii.
Spotrebiteľskí používatelia prídu o možnosť autentifikovať sa heslami, pretože rozpoznáme zhodu domény a presmerujeme ich do vášho IdP. Ak sú členmi vášho IdP, môžu sa úspešne autentifikovať. Prípadne sa môžu prihlásiť pomocou sociálnej možnosti OAuth, ak ju majú k dispozícii. Ak nie, v praxi ste im zablokovali prístup k ich spotrebiteľským účtom.
Podrobnejší sprievodca týmto postupom nájdete v časti Postup prihlásenia používateľa.
Odporúčané vzory identity a poskytovania
Keď sme si už vysvetlili základné správanie súvisiace s autentifikáciou identity a poskytovaním pozvánok, môže byť užitočné pozrieť si niektoré z bežnejších vzorov implementácie dostupných pre používateľov Enterprise:
Postup prihlásenia používateľa
Už sme prebrali vplyv čakajúcich pozvánok a vynucovania SSO / jediného prihlásenia, preto má táto časť pomôcť znázorniť očakávaný postup a kontroly, ktoré vykonávame, keď používateľ pri prihlasovaní zadá svoju e-mailovú adresu.
Postup prihlásenia do ChatGPT
Poznámka: Tento diagram nezahŕňa pokusy o prihlásenie sociálnou metódou ani cez Tile URL.
Postup prihlásenia na platforme API
Poznámka: Tento diagram nezahŕňa pokusy o prihlásenie sociálnou metódou ani cez Tile URL.
Ďalšie kroky
Keď už máte predstavu o ideálnej implementácii, môžete podľa príslušnej dokumentácie zapnúť SCIM alebo SSO / jediné prihlásenie: