OpenAI
Для перекладу цієї сторінки виконано машинний переклад. Ви можете переглянути оригінальну статтю англійською.

Як визначити оптимальне налаштування керування користувачами

Цей документ допоможе адміністраторам розгорнути єдиний вхід і, за потреби, SCIM у спосіб, що найкраще відповідає їхньому сценарію використання.

Оновлено: 18 hours ago

Перегляньте нашу сторінку «Огляд єдиного входу», щоб ознайомитися з ключовими поняттями, які розглядаються в цьому документі.

Перш ніж підтверджувати домени, важливо розглянути кілька різних питань:

  • Як ви хочете надавати запрошення новим користувачам?

  • Як ви хочете працювати з наявними користувачами споживчих облікових записів (особистих/Plus/Pro)?

  • Яким має бути процес входу користувачів?

Ми докладніше розглянемо кожне з цих питань, щоб допомогти вам вибрати варіант, який найкраще відповідає вашим потребам.

Запрошення нових користувачів

Наразі ми пропонуємо чотири різні способи надання запрошень користувачам:

  1. System for Cross-domain Identity Management (SCIM)

  2. Прямі запрошення з ChatGPT або API Platform

  3. Лише ChatGPT: автоматичне створення облікових записів (AAC)

  4. Лише Platform: Endpoint запрошень адміністратора API Platform

Варто зазначити, що ми розрізняємо випадки, коли електронні листи із запрошеннями активно надсилаються, і випадки, коли запрошення непомітно пов’язується з адресою електронної пошти користувача в нашій серверній частині.

Електронні листи із запрошеннями активно надсилаються, коли:

  • Нового користувача вперше запрошують через SCIM.

  • Користувача запрошують напряму з ChatGPT або API Platform.

Запрошення пов’язуються непомітно, коли:

  • Користувача SCIM було видалено з вашої групи IdP, а потім додано знову.

  • Застосовується автоматичне створення облікових записів.

В останньому випадку користувачі не побачать запрошень у своїй поштовій скриньці, але під час спроби входу їх усе одно буде правильно спрямовано до відповідного робочого простору або організації.

SCIM

SCIM доступний як у ChatGPT, так і в API Platform. SCIM дає змогу постачальникам ідентифікації (наприклад, Okta, Entra ID тощо) обмінюватися даними ідентичності користувачів з OpenAI, автоматизуючи надання запрошень (і скасування підготовки облікових записів користувачів) відповідно до організаційних змін.

Хоча SCIM також налаштовується через ваш IdP, його можна налаштувати незалежно від єдиного входу. Отже, перевірка домену й єдиний вхід не є вимогами для SCIM.

Якщо ви вирішите використовувати і SCIM, і єдиний вхід, важливо розрізняти таке:

  • SCIM лише надає запрошення

  • Єдиний вхід відповідає за автентифікацію та створення користувачів

Ми вважаємо SCIM найнадійнішим і наймасштабованішим рішенням для загального керування користувачами. Залежно від бажаної реалізації, якщо ви розгортаєте рішення і для ChatGPT, і для API Platform, ми зазвичай рекомендуємо таку архітектуру як найкращу практику:

IdP setup diagram comparing one shared SAML app versus separate SCIM apps for ChatGPT and API Platform users

За такого налаштування ви можете легко керувати окремо як запрошеннями, так і доступом (до ChatGPT і API Platform). Додаткова перевага цього налаштування полягає в тому, що ваші адміністративні команди можуть централізовано виконувати всі необхідні зміни безпосередньо у вашому IdP.

Якщо ви впроваджуєте SCIM у кількох застосунках (наприклад, ChatGPT, API Platform або інших облікових записах), ваші застосунки SCIM мають бути унікальними. Навіть якщо цільова база користувачів однакова, наполегливо рекомендуємо, щоб кожна реалізація SCIM посилалася на унікальний застосунок у вашому IdP.

Якщо не виконати цю вимогу, можуть виникнути проблеми з узгодженістю, що зрештою призведе до недійсного членства.

Прямі запрошення з ChatGPT або API Platform

Адміністратори можуть напряму запрошувати користувачів електронною поштою з відповідних сторінок ChatGPT і Platform «Учасники». У ChatGPT цей спосіб також підтримує масові запрошення через завантажений CSV:

Workspace invite modal with CSV upload, email entry, and Resend emails for existing invites selected

Хоча цей спосіб зазвичай погано масштабується, ми часто рекомендуємо використовувати прямі запрошення на початку роботи в новому робочому просторі або організації. На відміну від SCIM, тут немає потенційної затримки з доставкою запрошень у поштові скриньки користувачів, тож це найефективніший варіант для швидкого надання доступу, зміни дозволів і загального тестування.

Крім того, ви завжди можете ввімкнути SCIM пізніше й згрупувати наявних користувачів під застосунком SCIM. Тож не потрібно хвилюватися, що напряму запрошені користувачі будуть виключені з майбутньої автоматизації, якщо ви самі цього не захочете.

Автоматичне створення облікових записів (AAC)

На відміну від інших варіантів, AAC доступне лише на сторінці Identity у ChatGPT і вимагає, щоб єдиний вхід було ввімкнено заздалегідь:

Automatic account creation setting for verified-domain users turned off

Як показано вище, AAC гарантує, що користувачів, які реєструються або входять із підтвердженим доменом електронної пошти, буде автоматично додано до вашого робочого простору Enterprise. Користувачі не отримають електронного листа із запрошенням, а процес повністю автоматизований. Це має свої переваги й недоліки.

Якщо ваша політика дозволяє відкритий доступ будь-якому користувачу з вашим підтвердженим доменом, AAC — чудовий варіант, який дає змогу уникнути додаткових витрат на налаштування й керування застосунком SCIM.

Однак AAC не є оптимальним варіантом, якщо вам потрібен суворіший підхід до доступу користувачів на основі схвалення.

⚠️ ПОПЕРЕДЖЕННЯ ⚠️

Важливо пам’ятати, що ввімкнення AAC фактично примусово об’єднає всіх користувачів споживчих облікових записів (особистих/Plus/Pro) у вашому домені з вашим робочим простором Enterprise. Докладніше про це див. нижче в розділі «Робота з наявними користувачами».

Зверніть увагу: навіть якщо користувачі не входять до групи доступу вашого IdP і не можуть успішно отримати доступ до робочого простору, коли єдиний вхід є обов’язковим, у цьому сценарії вони все одно займають місце у вашому обліковому записі Enterprise.

З цієї причини в більшості випадків ми зазвичай рекомендуємо SCIM або прямі запрошення, а не AAC. А щоб уникнути можливих непорозумінь, рекомендуємо залишити AAC вимкненим, якщо ви плануєте використовувати SCIM.

Endpoint запрошень адміністратора API Platform

Наша API Platform підтримує Invites Endpoint, який дає змогу програмно запрошувати користувачів до вашої API-організації.

Порівняно зі SCIM, головна перевага endpoint полягає в тому, що він дає змогу вказати проєкт(и), до яких має належати запрошений користувач:

Image

Це забезпечує додатковий рівень деталізації та контролю без потреби вручну надсилати окремі прямі запрошення.

Робота з наявними користувачами споживчих облікових записів

Ми визначаємо користувачів споживчих облікових записів як тих, хто має особисту підписку, Plus або Pro. Часто у вашому підтвердженому домені вже є користувачі споживчих облікових записів, які мали облікові записи ще до укладення вашого контракту Enterprise. Оскільки підтвердження домену й увімкнення єдиного входу можуть мати подальший вплив на цих користувачів споживчих облікових записів, важливо заздалегідь визначити бажаний результат.

Вплив на користувачів споживчих облікових записів ChatGPT

У ChatGPT вплив на користувачів споживчих облікових записів значною мірою визначається двома чинниками:

  1. Чи буде їх запрошено до робочого простору Enterprise?

  2. Чи зробите ви єдиний вхід обов’язковим?

Отриману поведінку наведено нижче:

Запрошення очікує?Єдиний вхід обов’язковий?Результат
ТакТакОблікові записи споживчих користувачів буде примусово об’єднано з Enterprise, і вони зможуть входити лише через єдиний вхід.
ТакНіОблікові записи споживчих користувачів буде примусово об’єднано з Enterprise, а користувачі зможуть автентифікуватися через єдиний вхід або соціальний вхід.
НіТакБез впливу: користувачі споживчих облікових записів зберігають доступ до своїх особистих робочих просторів через пароль або соціальну автентифікацію.
НіНіБез впливу: користувачі споживчих облікових записів зберігають доступ до своїх особистих робочих просторів через пароль або соціальну автентифікацію.

Якщо ваша мета — зрештою запобігти існуванню будь-яких споживчих облікових записів, зверніться до свого Account Director, щоб обговорити можливі варіанти.

Об’єднання облікових записів

Передумови для запуску автоматичного об’єднання споживчого облікового запису з обліковим записом Enterprise такі:

  1. Домен користувача підтверджено.

  2. Користувач отримав запрошення до робочого простору Enterprise, у якому підтверджено його домен.

    • Примітка: якщо ви ввімкнули AAC, ця умова завжди буде виконана для будь-якого користувача з вашим підтвердженим доменом.

Коли ці умови виконано, під час наступного входу в ChatGPT або оновлення сторінки користувач має побачити таке модальне вікно:

ChatGPT Enterprise invite flow with options to transfer chat history and GPTs or export and delete the old workspace

Як показано на зображенні, ми автоматично повернемо кошти за всі наявні підписки Plus або Pro до об’єднання. Користувачі зможуть перенести наявну історію чатів і GPT або експортувати історію чатів електронною поштою та почати роботу у своєму робочому просторі Enterprise «з чистого аркуша».

Після об’єднання споживчого облікового запису відновити його буде неможливо. Якщо ваші користувачі вибрали варіант «Перенести наявну історію чатів і GPT», але не побачили цього у своєму робочому просторі Enterprise, зверніться до служби підтримки.

Вплив на користувачів споживчих облікових записів API Platform

Оскільки єдиний вхід на Platform усе ще базується на домені (на відміну від ChatGPT, де єдиний вхід стосується конкретного робочого простору, у якому його ввімкнено), це вплине на ваших користувачів споживчих облікових записів одразу після того, як ви підтвердите домен і ввімкнете єдиний вхід у будь-якій організації.

Користувачі споживчих облікових записів втратять можливість автентифікуватися за допомогою паролів, оскільки ми визначимо збіг домену й перенаправимо їх до вашого IdP. Якщо вони є учасниками вашого IdP, вони зможуть успішно пройти автентифікацію. Також вони можуть увійти через соціальний варіант OAuth, якщо він їм доступний. Якщо ні, ви фактично заблокуєте їм доступ до їхніх споживчих облікових записів.

Докладніший посібник із цього процесу див. у розділі «Процес входу користувача».

Рекомендовані моделі ідентифікації та надання доступу

Тепер, коли ми описали базову поведінку, пов’язану з автентифікацією ідентичності та наданням запрошень, може бути корисно переглянути деякі поширеніші моделі реалізації, доступні користувачам Enterprise:

Comparison table of four Enterprise user management setups by provisioning, authentication, and user experience

Процес входу користувача

Ми вже обговорили вплив запрошень, що очікують на прийняття, і примусового єдиного входу, тож цей розділ допоможе візуалізувати очікуваний процес і перевірки, які ми виконуємо, коли користувач вводить свою адресу електронної пошти для входу.

Процес входу в ChatGPT

Примітка: ця схема не охоплює спроби входу через соціальний спосіб або URL-адресу Tile.

Flowchart of ChatGPT login paths for personal accounts, password sign-in, workspace picker, and SSO redirection

Процес входу в API Platform

Примітка: ця схема не охоплює спроби входу через соціальний спосіб або URL-адресу Tile.

Flowchart for platform login and SSO outcomes based on verified domain and IdP access group membership

Наступні кроки

Тепер, коли ви маєте уявлення про оптимальну реалізацію, можете скористатися відповідною документацією, щоб увімкнути SCIM або єдиний вхід:

Чи була ця стаття корисною?