OpenAI
หน้านี้แปลด้วยระบบอัตโนมัติ ดูต้นฉบับภาษาอังกฤษ.

ทำความเข้าใจการตั้งค่าการจัดการผู้ใช้ที่เหมาะสมที่สุดสำหรับคุณ

เอกสารนี้จัดทำขึ้นเพื่อช่วยให้ผู้ดูแลระบบปรับใช้ SSO และอาจรวมถึง SCIM ในรูปแบบที่เหมาะกับกรณีใช้งานของตนมากที่สุด

อัปเดตล่าสุด: 1 hour ago

โปรดดูหน้า “ภาพรวม SSO” ของเราเพื่อทำความคุ้นเคยกับแนวคิดสำคัญที่กล่าวถึงในเอกสารนี้

ก่อนยืนยันโดเมนของคุณ สิ่งสำคัญคือต้องพิจารณาคำถามต่าง ๆ ต่อไปนี้:

  • คุณต้องการจัดสรรคำเชิญให้ผู้ใช้ใหม่อย่างไร?

  • คุณต้องการจัดการกับผู้ใช้แบบ consumer ที่มีอยู่แล้ว (personal/Plus/Pro) อย่างไร?

  • คุณต้องการให้ขั้นตอนการเข้าสู่ระบบของผู้ใช้เป็นอย่างไร?

เราจะพิจารณาแต่ละคำถามเหล่านี้อย่างละเอียดมากขึ้น เพื่อช่วยให้มั่นใจว่าคุณกำลังเลือกตัวเลือกที่เหมาะกับความต้องการของคุณมากที่สุด

การเชิญผู้ใช้ใหม่

ขณะนี้เรามี 4 วิธีในการจัดสรรคำเชิญให้ผู้ใช้:

  1. System for Cross-domain Identity Management (SCIM)

  2. คำเชิญโดยตรงจากในแอป

  3. [ChatGPT เท่านั้น] การสร้างบัญชีอัตโนมัติ (AAC)

  4. [Platform เท่านั้น] API Endpoint

สิ่งที่ควรทราบคือ เราแยกความแตกต่างระหว่างกรณีที่มีการส่งอีเมลคำเชิญจริง ๆ ดังนี้:

  • ผู้ใช้ใหม่ได้รับเชิญเป็นครั้งแรกผ่าน SCIM

  • หรือคำเชิญโดยตรงจากในแอป

และกรณีที่คำเชิญถูกผูกกับอีเมลของผู้ใช้อย่างเงียบ ๆ ในระบบ backend ของเรา:

  • ผู้ใช้ SCIM ถูกนำออกจากกลุ่ม IdP ของคุณ แล้วถูกเพิ่มกลับเข้าไปอีกครั้ง

  • การสร้างบัญชีอัตโนมัติ

ในกรณีหลัง ผู้ใช้จะไม่เห็นคำเชิญในกล่องจดหมาย แต่ยังคงถูกนำไปยังเวิร์กสเปซ/องค์กรที่เกี่ยวข้องอย่างถูกต้องเมื่อพวกเขาพยายามเข้าสู่ระบบ

SCIM

SCIM ใช้งานได้ทั้งใน ChatGPT และ API Platform SCIM ช่วยให้ผู้ให้บริการตัวตน (เช่น Okta, Entra ID เป็นต้น) แลกเปลี่ยนข้อมูลตัวตนของผู้ใช้กับ OpenAI เพื่อทำให้การจัดสรรคำเชิญ (และการยกเลิกการจัดสรรบัญชีผู้ใช้) เป็นอัตโนมัติตามการเปลี่ยนแปลงภายในองค์กร

แม้ว่า SCIM จะกำหนดค่าผ่าน IdP ของคุณเช่นกัน แต่สามารถตั้งค่าแยกจาก SSO ได้อย่างอิสระ ดังนั้น การยืนยันโดเมน/SSO จึงไม่ใช่ข้อกำหนดสำหรับ SCIM

หากคุณตัดสินใจใช้ทั้ง SCIM และ SSO ความแตกต่างสำคัญที่ควรทำความเข้าใจคือ:

  • SCIM จัดสรรเฉพาะคำเชิญเท่านั้น

  • SSO จัดการการยืนยันตัวตนและการสร้างผู้ใช้

เราเห็นว่า SCIM เป็นโซลูชันที่แข็งแกร่งและขยายขนาดได้มากที่สุดสำหรับการจัดการผู้ใช้โดยรวม ทั้งนี้ ขึ้นอยู่กับรูปแบบการใช้งานที่เหมาะกับคุณ โดยทั่วไปเราขอแนะนำสถาปัตยกรรมต่อไปนี้เป็นแนวทางปฏิบัติที่ดีที่สุด หากคุณกำลังปรับใช้ทั้งใน ChatGPT และ API Platform:

IdP setup diagram comparing one shared SAML app versus separate SCIM apps for ChatGPT and API Platform users

ด้วยการตั้งค่านี้ คุณจะสามารถจัดการทั้งคำเชิญ และ สิทธิ์การเข้าถึง (ไปยัง ChatGPT และ API Platform) แยกจากกันได้อย่างง่ายดาย การตั้งค่านี้ยังมีข้อดีเพิ่มเติมคือ การเปลี่ยนแปลงที่จำเป็นใด ๆ สามารถดำเนินการจากศูนย์กลางได้โดยตรงผ่านทีมผู้ดูแลของคุณใน IdP

หากคุณกำลังใช้งาน SCIM กับหลายแอปพลิเคชัน (เช่น ChatGPT เทียบกับ API Platform หรือบัญชีอื่น ๆ) แอปพลิเคชัน SCIM ของคุณควรแยกกัน แม้ว่ากลุ่มผู้ใช้เป้าหมายจะเหมือนกันทุกประการ เราแนะนำอย่างยิ่งว่าการใช้งาน SCIM แต่ละรายการควรอ้างอิงแอปพลิเคชันที่ไม่ซ้ำกันใน IdP ของคุณ

หากไม่เป็นไปตามข้อกำหนดนี้ อาจทำให้เกิดปัญหาความไม่สอดคล้องกัน ซึ่งท้ายที่สุดจะส่งผลให้การเป็นสมาชิกไม่ถูกต้อง

คำเชิญโดยตรงจาก ChatGPT หรือ API Platform

ผู้ดูแลระบบสามารถเชิญผู้ใช้ทางอีเมลได้โดยตรงจากหน้า ChatGPT และ Platform “Members” ที่เกี่ยวข้อง ใน ChatGPT วิธีนี้ยังรองรับการเชิญหลายคนพร้อมกันผ่านไฟล์ CSV ที่อัปโหลด:

Workspace invite modal with CSV upload, email entry, and Resend emails for existing invites selected

แม้โดยทั่วไปแล้วจะไม่สามารถขยายขนาดได้ดีนัก แต่เรามักแนะนำให้ใช้คำเชิญโดยตรงเมื่อคุณเพิ่งเริ่มต้นในเวิร์กสเปซ/องค์กรใหม่ ต่างจาก SCIM ตรงที่ไม่มีความล่าช้าที่อาจเกิดขึ้นในการส่งคำเชิญไปยังกล่องจดหมายของผู้ใช้ ดังนั้นจึงเป็นตัวเลือกที่มีประสิทธิภาพที่สุดสำหรับการให้สิทธิ์เข้าถึงอย่างรวดเร็ว การปรับเปลี่ยนสิทธิ์ และการทดสอบทั่วไป

นอกจากนี้ คุณยังสามารถเปิดใช้ SCIM ภายหลังและจัดกลุ่มผู้ใช้เดิมของคุณไว้ภายใต้แอปพลิเคชัน SCIM ได้เสมอ ดังนั้นจึงไม่ต้องกังวลว่าผู้ใช้ที่ได้รับคำเชิญโดยตรงจะถูกกันออกจากระบบอัตโนมัติในอนาคต เว้นแต่คุณต้องการเช่นนั้น

การสร้างบัญชีอัตโนมัติ (AAC)

ต่างจากตัวเลือกอื่น ๆ AAC ใช้งานได้เฉพาะใน หน้า Identity ของ ChatGPT และต้องเปิดใช้ SSO ก่อน:

Automatic account creation setting for verified-domain users turned off

ดังที่แสดงด้านบน AAC รับประกันว่าผู้ใช้ที่สมัครใช้งานหรือเข้าสู่ระบบด้วยโดเมนอีเมลที่ยืนยันแล้ว จะถูกเพิ่มเข้าไปยังเวิร์กสเปซ Enterprise ของคุณโดยอัตโนมัติ ผู้ใช้จะไม่ได้รับอีเมลคำเชิญ และกระบวนการทั้งหมดเป็นแบบอัตโนมัติทั้งหมด ซึ่งมีทั้งข้อดีและข้อเสีย

หากนโยบายของคุณคืออนุญาตให้ผู้ใช้ทุกคนที่มีโดเมนที่คุณยืนยันแล้วเข้าถึงได้แบบเปิดกว้าง AAC เป็นตัวเลือกที่ดีที่ช่วยหลีกเลี่ยงภาระเพิ่มเติมในการตั้งค่าและจัดการแอปพลิเคชัน SCIM

อย่างไรก็ตาม AAC ไม่เหมาะหากคุณต้องการแนวทางการเข้าถึงของผู้ใช้ที่เข้มงวดมากกว่าและต้องมีการอนุมัติ

⚠️ คำเตือน ⚠️

สิ่งสำคัญที่ต้องคำนึงถึงคือ การเปิดใช้ AAC จะบังคับให้ผู้ใช้แบบ consumer (personal/Plus/Pro) ทั้งหมดภายใต้โดเมนของคุณถูกรวมเข้ากับเวิร์กสเปซ Enterprise ของคุณโดยปริยาย ดูข้อมูลเพิ่มเติมได้ด้านล่างในส่วน “การจัดการผู้ใช้ที่มีอยู่แล้ว”

โปรดทราบว่า แม้ผู้ใช้จะไม่ได้เป็นสมาชิกของกลุ่มการเข้าถึงใน IdP ของคุณ และไม่สามารถเข้าถึงเวิร์กสเปซได้สำเร็จหากมีการบังคับใช้ SSO แต่ในสถานการณ์นี้ พวกเขาก็ยังคงใช้สิทธิ์ที่นั่งในบัญชี Enterprise ของคุณอยู่

ด้วยเหตุนี้ โดยทั่วไปเราจึงแนะนำ SCIM หรือคำเชิญโดยตรงในกรณีส่วนใหญ่ มากกว่า AAC และเพื่อช่วยหลีกเลี่ยงความสับสนที่อาจเกิดขึ้น เราแนะนำให้ปิด AAC ไว้หากคุณวางแผนจะใช้ SCIM

Endpoint สำหรับคำเชิญผู้ดูแลระบบของ API Platform

API Platform ของเรารองรับ Invites Endpoint ซึ่งช่วยให้คุณเชิญผู้ใช้เข้าสู่องค์กร API ของคุณแบบเป็นโปรแกรมได้

เมื่อเทียบกับ SCIM ข้อดีหลักของ endpoint คือช่วยให้คุณระบุโปรเจกต์ที่ผู้ใช้ที่ได้รับเชิญควรสังกัดได้:

Image

ซึ่งช่วยเพิ่มระดับความละเอียดและการควบคุมอีกชั้นหนึ่ง โดยไม่ต้องทำงานแบบแมนนวลเหมือนการเชิญโดยตรงทีละราย

การจัดการผู้ใช้แบบ Consumer ที่มีอยู่แล้ว

เรานิยามผู้ใช้แบบ consumer ว่าเป็นผู้ใช้ที่ใช้แพ็กเกจ personal, Plus หรือ Pro ซึ่งมักจะมีกรณีที่มีผู้ใช้แบบ consumer ที่มีโดเมนที่คุณยืนยันแล้วและมีบัญชีอยู่ก่อนสัญญา Enterprise ของคุณอยู่แล้ว เนื่องจากการยืนยันโดเมนและการเปิดใช้ SSO อาจส่งผลต่อผู้ใช้แบบ consumer เหล่านี้ในภายหลัง จึงเป็นเรื่องสำคัญที่จะต้องกำหนดผลลัพธ์ที่ต้องการไว้ล่วงหน้า

ผลกระทบต่อผู้ใช้ ChatGPT แบบ Consumer

ฝั่ง ChatGPT ผลกระทบต่อผู้ใช้แบบ consumer ส่วนใหญ่ขึ้นอยู่กับ 2 ปัจจัย:

  1. พวกเขาจะได้รับเชิญเข้าสู่เวิร์กสเปซ Enterprise หรือไม่?

    1. หากเปิดใช้ AAC ค่าเริ่มต้นจะเป็น “ใช่”

  2. คุณจะบังคับใช้ SSO หรือไม่?

พฤติกรรมที่เกิดขึ้นสามารถดูได้ด้านล่าง:

มีคำเชิญค้างอยู่หรือไม่?บังคับใช้ SSO หรือไม่?ผลลัพธ์
บัญชีผู้ใช้แบบ consumer จะถูกบังคับให้รวมเข้ากับ Enterprise และสามารถเข้าสู่ระบบได้ด้วย SSO เท่านั้น
บัญชีผู้ใช้แบบ consumer จะถูกบังคับให้รวมเข้ากับ Enterprise ผู้ใช้สามารถยืนยันตัวตนด้วย SSO หรือ Social ได้
ไม่มีผลกระทบ: ผู้ใช้แบบ consumer ยังคงเข้าถึงเวิร์กสเปซส่วนตัวของตนได้ผ่านรหัสผ่านหรือการยืนยันตัวตนแบบ Social
ไม่มีผลกระทบ: ผู้ใช้แบบ consumer ยังคงเข้าถึงเวิร์กสเปซส่วนตัวของตนได้ผ่านรหัสผ่านหรือการยืนยันตัวตนแบบ Social

หากเป้าหมายของคุณคือการป้องกันไม่ให้มีบัญชี consumer ใด ๆ ในท้ายที่สุด โปรดติดต่อ Account Director ของคุณเพื่อหารือเกี่ยวกับทางเลือกที่เป็นไปได้

การรวมบัญชี

ข้อกำหนดเบื้องต้นที่จะทำให้เกิดการรวมบัญชีแบบอัตโนมัติจากบัญชี consumer ไปยังบัญชี Enterprise มีดังนี้:

  1. โดเมนของผู้ใช้ได้รับการยืนยันแล้ว

  2. ผู้ใช้ได้รับคำเชิญไปยังเวิร์กสเปซ Enterprise ที่มีการยืนยันโดเมนของตนแล้ว

    1. ⚠️ โปรดทราบว่า หากคุณเปิดใช้ AAC เงื่อนไขนี้จะเป็นจริงเสมอสำหรับผู้ใช้ทุกคนที่มีโดเมนที่คุณยืนยันแล้ว

เมื่อเป็นไปตามเงื่อนไขเหล่านี้ ครั้งถัดไปที่ผู้ใช้เข้าสู่ระบบหรือรีเฟรช ChatGPT พวกเขาควรเห็นหน้าต่างป๊อปอัปดังต่อไปนี้:

ChatGPT Enterprise invite flow with options to transfer chat history and GPTs or export and delete the old workspace

ดังที่ภาพเน้นไว้ เราจะคืนเงินค่าสมัคร Plus หรือ Pro ที่มีอยู่ก่อนการรวมบัญชีโดยอัตโนมัติ ผู้ใช้จะมีตัวเลือกในการโอนประวัติการแชตและ GPT ที่มีอยู่ หรือส่งออกประวัติการแชตทางอีเมล แล้วเริ่มต้นใช้งานเวิร์กสเปซ Enterprise ของตนแบบ “เริ่มใหม่ทั้งหมด”

เมื่อรวมบัญชี consumer แล้ว จะไม่มีวิธีกู้คืนกลับมาได้อีก หากผู้ใช้ของคุณเลือกตัวเลือก “โอนประวัติการแชตและ GPT ที่มีอยู่” แต่ไม่เห็นข้อมูลดังกล่าวในเวิร์กสเปซ Enterprise ของตน โปรดติดต่อฝ่ายสนับสนุน

ผลกระทบต่อผู้ใช้ API Platform แบบ Consumer

เนื่องจาก SSO บน Platform ยังคงอิงตามโดเมน (ต่างจาก ChatGPT ที่ SSO จะเจาะจงกับเวิร์กสเปซที่เปิดใช้งาน) ผู้ใช้แบบ consumer ของคุณจะได้รับผลกระทบทันทีที่คุณยืนยันโดเมนและเปิดใช้ SSO บนองค์กรใดก็ตาม

ผู้ใช้แบบ consumer จะสูญเสียความสามารถในการยืนยันตัวตนด้วยรหัสผ่าน เนื่องจากเราจะตรวจพบว่าโดเมนตรงกันและส่งต่อพวกเขาไปยัง IdP ของคุณ หากพวกเขาเป็นสมาชิกใน IdP ของคุณ ก็จะยืนยันตัวตนได้สำเร็จ หรืออีกทางหนึ่ง พวกเขาสามารถเข้าสู่ระบบด้วยตัวเลือก Social Oauth ได้ หากมีให้ใช้งาน หากไม่มี ก็เท่ากับว่าคุณได้ปิดกั้นพวกเขาไม่ให้เข้าถึงบัญชี Consumer ของตนโดยสิ้นเชิง

ดูขั้นตอนในส่วน การเข้าสู่ระบบของผู้ใช้ เพื่อดูคำแนะนำเชิงลึกเพิ่มเติมเกี่ยวกับเวิร์กโฟลว์นี้

รูปแบบตัวตนและการจัดสรรที่แนะนำ

เมื่อเราได้อธิบายพฤติกรรมพื้นฐานที่เกี่ยวข้องกับการยืนยันตัวตนและการจัดสรรคำเชิญแล้ว การทบทวนรูปแบบการนำไปใช้งานที่พบได้บ่อยบางส่วนสำหรับผู้ใช้ Enterprise อาจเป็นประโยชน์:

Comparison table of four Enterprise user management setups by provisioning, authentication, and user experience

ขั้นตอนการเข้าสู่ระบบของผู้ใช้

เราได้กล่าวถึงผลกระทบของคำเชิญที่ค้างอยู่และการบังคับใช้ SSO ไปแล้ว ดังนั้นส่วนนี้จึงมีไว้เพื่อช่วยให้เห็นภาพขั้นตอน/การตรวจสอบที่เราคาดว่าจะเกิดขึ้นเมื่อผู้ใช้พิมพ์อีเมลของตนเพื่อเข้าสู่ระบบ

ขั้นตอนการเข้าสู่ระบบ ChatGPT

หมายเหตุ: แผนภาพนี้ไม่รวมความพยายามเข้าสู่ระบบผ่านวิธี Social หรือผ่าน Tile URL

Flowchart of ChatGPT login paths for personal accounts, password sign-in, workspace picker, and SSO redirection

ขั้นตอนการเข้าสู่ระบบ API Platform

หมายเหตุ: แผนภาพนี้ไม่รวมความพยายามเข้าสู่ระบบผ่านวิธี Social หรือผ่าน Tile URL

Flowchart for platform login and SSO outcomes based on verified domain and IdP access group membership

ขั้นตอนถัดไป

เมื่อคุณพอเห็นภาพการนำไปใช้ที่เหมาะสมกับคุณแล้ว คุณสามารถทำตามเอกสารที่เกี่ยวข้องเพื่อเปิดใช้ SCIM หรือ SSO ได้:

บทความนี้มีประโยชน์หรือไม่