OpenAI
หน้านี้แปลด้วยระบบอัตโนมัติ ดูต้นฉบับภาษาอังกฤษ.

ทำความเข้าใจการตั้งค่าการจัดการผู้ใช้ที่เหมาะกับคุณที่สุด

เอกสารนี้จัดทำขึ้นเพื่อช่วยผู้ดูแลระบบปรับใช้ SSO และอาจรวมถึง SCIM ในรูปแบบที่เหมาะกับกรณีการใช้งานของตนมากที่สุด

อัปเดตล่าสุด: 10 minutes ago

โปรดอ่านหน้า “ภาพรวม SSO” ของเราเพื่อทำความคุ้นเคยกับแนวคิดสำคัญที่กล่าวถึงในเอกสารนี้

ก่อนยืนยันโดเมนของคุณ สิ่งสำคัญคือต้องพิจารณาคำถามต่างๆ สองสามข้อ:

  • คุณต้องการจัดสรรคำเชิญให้ผู้ใช้ใหม่อย่างไร

  • คุณต้องการจัดการผู้ใช้แบบผู้บริโภคที่มีอยู่ (ส่วนบุคคล/Plus/Pro) อย่างไร

  • คุณต้องการให้ขั้นตอนการเข้าสู่ระบบของผู้ใช้เป็นอย่างไร

เราจะพิจารณาคำถามแต่ละข้อเหล่านี้โดยละเอียดมากขึ้น เพื่อช่วยให้แน่ใจว่าคุณเลือกตัวเลือกที่เหมาะกับความต้องการของคุณที่สุด

การเชิญผู้ใช้ใหม่

ปัจจุบันเรามีสี่วิธีในการจัดสรรคำเชิญให้ผู้ใช้:

  1. System for Cross-domain Identity Management (SCIM)

  2. คำเชิญโดยตรงจาก ChatGPT หรือแพลตฟอร์ม API

  3. เฉพาะ ChatGPT: การสร้างบัญชีอัตโนมัติ (AAC)

  4. เฉพาะแพลตฟอร์ม: endpoint คำเชิญสำหรับผู้ดูแลระบบแพลตฟอร์ม API

โปรดทราบว่าเราแยกความแตกต่างระหว่างกรณีที่มีการส่งอีเมลคำเชิญจริง กับกรณีที่คำเชิญถูกเชื่อมโยงกับอีเมลของผู้ใช้อย่างเงียบๆ ในระบบเบื้องหลังของเรา

อีเมลคำเชิญจะถูกส่งจริงเมื่อ:

  • มีการเชิญผู้ใช้ใหม่เป็นครั้งแรกผ่าน SCIM

  • มีการเชิญผู้ใช้โดยตรงจาก ChatGPT หรือแพลตฟอร์ม API

คำเชิญจะถูกเชื่อมโยงอย่างเงียบๆ เมื่อ:

  • ผู้ใช้ SCIM ถูกนำออกจากกลุ่ม IdP ของคุณแล้วถูกเพิ่มกลับเข้าไปใหม่

  • การสร้างบัญชีอัตโนมัติมีผล

ในกรณีหลัง ผู้ใช้จะไม่เห็นคำเชิญในกล่องจดหมาย แต่ยังคงถูกนำไปยังเวิร์กสเปซ/องค์กรที่เกี่ยวข้องอย่างถูกต้องเมื่อพยายามเข้าสู่ระบบ

SCIM

SCIM พร้อมใช้งานทั้งใน ChatGPT และแพลตฟอร์ม API SCIM ช่วยให้ผู้ให้บริการข้อมูลประจำตัว (เช่น Okta, Entra ID เป็นต้น) แลกเปลี่ยนข้อมูลตัวตนผู้ใช้กับ OpenAI โดยทำให้การจัดสรรคำเชิญ (และการยกเลิกการจัดสรรบัญชีผู้ใช้) เป็นอัตโนมัติตามการเปลี่ยนแปลงในองค์กร

แม้ SCIM จะกำหนดค่าผ่าน IdP ของคุณเช่นกัน แต่สามารถตั้งค่าแยกจาก SSO ได้ ดังนั้น การยืนยันโดเมน/SSO จึงไม่ใช่ข้อกำหนดสำหรับ SCIM

หากคุณตัดสินใจใช้ทั้ง SCIM และ SSO ความแตกต่างสำคัญที่ต้องเข้าใจคือ:

  • SCIM จัดสรรคำเชิญเท่านั้น

  • SSO จัดการการตรวจสอบสิทธิ์และการสร้างผู้ใช้

เราถือว่า SCIM เป็นโซลูชันที่แข็งแกร่งและขยายขนาดได้มากที่สุดสำหรับการจัดการผู้ใช้โดยรวม โดยขึ้นอยู่กับรูปแบบการใช้งานที่เหมาะกับคุณ โดยทั่วไปเราขอแนะนำสถาปัตยกรรมต่อไปนี้เป็นแนวทางปฏิบัติที่ดีที่สุด หากคุณปรับใช้ทั้ง ChatGPT และแพลตฟอร์ม API:

IdP setup diagram comparing one shared SAML app versus separate SCIM apps for ChatGPT and API Platform users

ด้วยการตั้งค่านี้ คุณสามารถจัดการทั้งคำเชิญ และ การเข้าถึง (ChatGPT และแพลตฟอร์ม API) แยกจากกันได้อย่างง่ายดาย การตั้งค่านี้ยังมีข้อดีเพิ่มเติมคือ ทีมผู้ดูแลระบบของคุณสามารถดำเนินการเปลี่ยนแปลงที่จำเป็นจากศูนย์กลางได้โดยตรงใน IdP ของคุณ

หากคุณกำลังใช้งาน SCIM ในหลายแอปพลิเคชัน (เช่น ChatGPT เทียบกับแพลตฟอร์ม API เทียบกับบัญชีอื่นๆ) แอปพลิเคชัน SCIM ของคุณควรไม่ซ้ำกัน แม้ว่ากลุ่มผู้ใช้เป้าหมายของคุณจะเหมือนกันทุกประการ เราขอแนะนำอย่างยิ่งให้การใช้งาน SCIM แต่ละรายการอ้างอิงถึงแอปพลิเคชันที่ไม่ซ้ำกันใน IdP ของคุณ

หากคุณไม่ปฏิบัติตามข้อกำหนดนี้ อาจทำให้เกิดปัญหาความไม่สอดคล้อง ซึ่งท้ายที่สุดส่งผลให้การเป็นสมาชิกไม่ถูกต้อง

คำเชิญโดยตรงจาก ChatGPT หรือแพลตฟอร์ม API

ผู้ดูแลระบบสามารถเชิญผู้ใช้โดยตรงทางอีเมลได้จากหน้า “Members” ของ ChatGPT และแพลตฟอร์ม ตามลำดับ ใน ChatGPT วิธีนี้ยังรองรับการเชิญจำนวนมากผ่าน CSV ที่อัปโหลดด้วย:

Workspace invite modal with CSV upload, email entry, and Resend emails for existing invites selected

แม้โดยทั่วไปจะไม่เหมาะกับการขยายขนาด แต่เรามักแนะนำให้ใช้คำเชิญโดยตรงเมื่อคุณเริ่มต้นในเวิร์กสเปซ/องค์กรใหม่ ต่างจาก SCIM คำเชิญจะไม่เสี่ยงต่อความล่าช้าในการไปถึงกล่องจดหมายของผู้ใช้ จึงเป็นตัวเลือกที่มีประสิทธิภาพที่สุดสำหรับการให้สิทธิ์เข้าถึงอย่างรวดเร็ว การแก้ไขสิทธิ์ และการทดสอบทั่วไป

นอกจากนี้ คุณยังสามารถเปิดใช้ SCIM ในภายหลังและจัดผู้ใช้ที่มีอยู่ไว้ภายใต้แอปพลิเคชัน SCIM ได้เสมอ ดังนั้นจึงไม่ต้องกังวลว่าผู้ใช้ที่ได้รับเชิญโดยตรงจะถูกกันออกจากระบบอัตโนมัติในอนาคต เว้นแต่คุณต้องการเช่นนั้น

การสร้างบัญชีอัตโนมัติ (AAC)

ต่างจากตัวเลือกอื่นๆ AAC พร้อมใช้งานเฉพาะในหน้าข้อมูลประจำตัวของ ChatGPT และต้องเปิดใช้ SSO ก่อน:

Automatic account creation setting for verified-domain users turned off

ตามที่แสดงข้างต้น AAC รับประกันว่าผู้ใช้ที่สมัครหรือเข้าสู่ระบบด้วยโดเมนอีเมลที่ยืนยันแล้วจะถูกเพิ่มไปยังเวิร์กสเปซ Enterprise ของคุณโดยอัตโนมัติ ผู้ใช้จะไม่ได้รับอีเมลคำเชิญ และกระบวนการทั้งหมดเป็นแบบอัตโนมัติ วิธีนี้มีทั้งข้อดีและข้อเสีย

หากนโยบายของคุณคืออนุญาตให้ผู้ใช้ทุกคนที่มีโดเมนที่คุณยืนยันแล้วเข้าถึงได้อย่างเปิดกว้าง AAC เป็นตัวเลือกที่ดีซึ่งช่วยลดภาระเพิ่มเติมในการกำหนดค่าและจัดการแอปพลิเคชัน SCIM

อย่างไรก็ตาม AAC ไม่เหมาะหากคุณต้องการแนวทางการเข้าถึงของผู้ใช้ที่เข้มงวดมากขึ้นและอิงตามการอนุมัติ

⚠️ คำเตือน ⚠️

โปรดทราบว่าการเปิดใช้ AAC จะบังคับรวมผู้ใช้แบบผู้บริโภคทั้งหมด (ส่วนบุคคล/Plus/Pro) ภายใต้โดเมนของคุณเข้าในเวิร์กสเปซ Enterprise ของคุณอย่างมีผลบังคับ ดูข้อมูลเพิ่มเติมได้ด้านล่างในส่วน “การจัดการผู้ใช้ที่มีอยู่”

โปรดทราบว่าในสถานการณ์นี้ แม้ผู้ใช้จะไม่ได้เป็นสมาชิกของกลุ่มการเข้าถึง IdP ของคุณและไม่สามารถเข้าถึงเวิร์กสเปซได้สำเร็จหากมีการบังคับใช้ SSO ผู้ใช้เหล่านั้นก็ยังใช้ที่นั่งในบัญชี Enterprise ของคุณ

ด้วยเหตุนี้ โดยทั่วไปเราจึงแนะนำ SCIM หรือคำเชิญโดยตรงในกรณีส่วนใหญ่ แทนที่จะใช้ AAC และเพื่อช่วยหลีกเลี่ยงช่องทางที่อาจก่อให้เกิดความสับสน เราขอแนะนำให้ปิด AAC ไว้หากคุณวางแผนจะใช้ SCIM

endpoint คำเชิญสำหรับผู้ดูแลระบบแพลตฟอร์ม API

แพลตฟอร์ม API ของเรารองรับ Invites Endpoint ซึ่งช่วยให้คุณเชิญผู้ใช้เข้าสู่องค์กร API ของคุณด้วยโปรแกรมได้

เมื่อเทียบกับ SCIM ประโยชน์หลักของ endpoint คือช่วยให้คุณระบุโปรเจ็กต์ที่ผู้ใช้ที่ได้รับเชิญควรเป็นสมาชิกได้:

Image

วิธีนี้ให้ระดับความละเอียดและการควบคุมเพิ่มเติม โดยไม่ต้องทำงานด้วยตนเองในการส่งคำเชิญโดยตรงทีละราย

การจัดการผู้ใช้แบบผู้บริโภคที่มีอยู่

เรานิยามผู้ใช้แบบผู้บริโภคว่าเป็นผู้ใช้ที่มีการสมัครใช้งานแบบส่วนบุคคล, Plus หรือ Pro มักมีกรณีที่มีผู้ใช้แบบผู้บริโภคเดิมซึ่งใช้โดเมนที่คุณยืนยันแล้ว และมีบัญชีก่อนสัญญา Enterprise ของคุณ เนื่องจากการยืนยันโดเมนและการเปิดใช้ SSO อาจส่งผลกระทบต่อเนื่องต่อผู้ใช้แบบผู้บริโภคเหล่านี้ จึงสำคัญที่จะต้องกำหนดผลลัพธ์ที่ต้องการไว้ล่วงหน้า

ผลกระทบต่อผู้ใช้แบบผู้บริโภคของ ChatGPT

สำหรับฝั่ง ChatGPT ผลกระทบต่อผู้บริโภคส่วนใหญ่ขึ้นอยู่กับสองปัจจัย:

  1. พวกเขาจะได้รับเชิญเข้าสู่เวิร์กสเปซ Enterprise หรือไม่

  2. คุณจะบังคับใช้ SSO หรือไม่

พฤติกรรมที่เกิดขึ้นจะแสดงอยู่ด้านล่าง:

มีคำเชิญที่รอดำเนินการหรือไม่บังคับใช้ SSO หรือไม่ผลลัพธ์
ใช่ใช่บัญชีผู้ใช้แบบผู้บริโภคจะถูกบังคับให้รวมเข้ากับ Enterprise และเข้าสู่ระบบได้ด้วย SSO เท่านั้น
ใช่ไม่บัญชีผู้ใช้แบบผู้บริโภคจะถูกบังคับให้รวมเข้ากับ Enterprise และผู้ใช้สามารถตรวจสอบสิทธิ์ด้วย SSO หรือการเข้าสู่ระบบแบบโซเชียลได้
ไม่ใช่ไม่มีผลกระทบ: ผู้ใช้แบบผู้บริโภคยังคงเข้าถึงเวิร์กสเปซส่วนบุคคลของตนได้ผ่านรหัสผ่านหรือการตรวจสอบสิทธิ์แบบโซเชียล
ไม่ไม่ไม่มีผลกระทบ: ผู้ใช้แบบผู้บริโภคยังคงเข้าถึงเวิร์กสเปซส่วนบุคคลของตนได้ผ่านรหัสผ่านหรือการตรวจสอบสิทธิ์แบบโซเชียล

หากเป้าหมายของคุณคือการป้องกันไม่ให้มีบัญชีผู้บริโภคในท้ายที่สุด โปรดติดต่อ Account Director ของคุณเพื่อหารือเกี่ยวกับตัวเลือกที่เป็นไปได้

การรวมบัญชี

ข้อกำหนดเบื้องต้นในการทริกเกอร์การรวมบัญชีผู้บริโภคเข้ากับบัญชี Enterprise โดยอัตโนมัติมีดังนี้:

  1. โดเมนของผู้ใช้ได้รับการยืนยันแล้ว

  2. ผู้ใช้ได้รับคำเชิญเข้าสู่เวิร์กสเปซ Enterprise ที่มีการยืนยันโดเมนของตนแล้ว

    • หมายเหตุ: หากคุณเปิดใช้ AAC เงื่อนไขนี้จะเป็นจริงเสมอสำหรับผู้ใช้ทุกคนที่มีโดเมนที่คุณยืนยันแล้ว

เมื่อเป็นไปตามเงื่อนไขเหล่านี้ ครั้งถัดไปที่ผู้ใช้เข้าสู่ระบบหรือรีเฟรช ChatGPT ผู้ใช้ควรเห็นโมดัลต่อไปนี้:

ChatGPT Enterprise invite flow with options to transfer chat history and GPTs or export and delete the old workspace

ตามที่รูปภาพเน้นไว้ เราจะคืนเงินการสมัครใช้งาน Plus หรือ Pro ที่มีอยู่โดยอัตโนมัติก่อนการรวมบัญชี ผู้ใช้จะมีตัวเลือกในการโอนประวัติแชทและ GPT ที่มีอยู่ หรือส่งออกประวัติแชททางอีเมลแล้วเริ่มเวิร์กสเปซ Enterprise ของตนแบบ “เริ่มใหม่ทั้งหมด”

เมื่อบัญชีผู้บริโภคถูกรวมแล้ว จะไม่มีวิธีกู้คืนบัญชีนั้น หากผู้ใช้ของคุณเลือกตัวเลือก “โอนประวัติแชทและ GPT ที่มีอยู่” แต่ไม่เห็นข้อมูลดังกล่าวในเวิร์กสเปซ Enterprise ของตน โปรดติดต่อฝ่ายสนับสนุน

ผลกระทบต่อผู้ใช้แบบผู้บริโภคบนแพลตฟอร์ม API

เนื่องจาก SSO บนแพลตฟอร์มยังคงอิงตามโดเมน (ต่างจาก ChatGPT ที่ SSO จะเฉพาะเจาะจงกับเวิร์กสเปซที่เปิดใช้) ผู้ใช้แบบผู้บริโภคของคุณจะได้รับผลกระทบทันทีที่คุณยืนยันโดเมนและเปิดใช้ SSO ในองค์กรใดก็ตาม

ผู้ใช้แบบผู้บริโภคจะสูญเสียความสามารถในการตรวจสอบสิทธิ์ด้วยรหัสผ่าน เนื่องจากเราระบุได้ว่าโดเมนตรงกันและส่งต่อพวกเขาไปยัง IdP ของคุณ หากพวกเขาเป็นสมาชิกของ IdP ของคุณ ก็จะตรวจสอบสิทธิ์ได้สำเร็จ อีกทางหนึ่ง พวกเขาสามารถเข้าสู่ระบบด้วยตัวเลือก OAuth แบบโซเชียลได้ หากมีให้ใช้งาน หากไม่เป็นเช่นนั้น เท่ากับว่าคุณล็อกพวกเขาออกจากบัญชีผู้บริโภคของตนเองแล้ว

ดูส่วน ขั้นตอนการเข้าสู่ระบบของผู้ใช้ สำหรับคำแนะนำเชิงลึกเพิ่มเติมเกี่ยวกับเวิร์กโฟลว์นี้

รูปแบบการจัดการตัวตนและการจัดสรรที่แนะนำ

เมื่อเราได้อธิบายพฤติกรรมพื้นฐานที่เกี่ยวข้องกับการตรวจสอบสิทธิ์ตัวตนและการจัดสรรคำเชิญแล้ว การทบทวนรูปแบบการใช้งานที่พบบ่อยบางแบบสำหรับผู้ใช้ Enterprise อาจเป็นประโยชน์:

Comparison table of four Enterprise user management setups by provisioning, authentication, and user experience

ขั้นตอนการเข้าสู่ระบบของผู้ใช้

เราได้พูดถึงผลกระทบของคำเชิญที่รอดำเนินการและการบังคับใช้ SSO ไปแล้ว ดังนั้นส่วนนี้จึงมีไว้เพื่อช่วยให้เห็นภาพขั้นตอน/การตรวจสอบที่คาดว่าจะเกิดขึ้นเมื่อผู้ใช้พิมพ์ที่อยู่อีเมลเพื่อเข้าสู่ระบบ

ขั้นตอนการเข้าสู่ระบบของ ChatGPT

หมายเหตุ: แผนภาพนี้ไม่รวมความพยายามเข้าสู่ระบบผ่านวิธี Social หรือผ่าน Tile URL

Flowchart of ChatGPT login paths for personal accounts, password sign-in, workspace picker, and SSO redirection

ขั้นตอนการเข้าสู่ระบบของแพลตฟอร์ม API

หมายเหตุ: แผนภาพนี้ไม่รวมความพยายามเข้าสู่ระบบผ่านวิธี Social หรือผ่าน Tile URL

Flowchart for platform login and SSO outcomes based on verified domain and IdP access group membership

ขั้นตอนถัดไป

เมื่อคุณพอเห็นภาพการใช้งานที่เหมาะกับคุณแล้ว คุณสามารถทำตามเอกสารที่เกี่ยวข้องเพื่อเปิดใช้ SCIM หรือ SSO ได้ดังนี้:

บทความนี้มีประโยชน์หรือไม่