Огляд

Блокування робочих просторів — це функція, яка дає клієнтам ChatGPT Enterprise змогу обмежувати доступ до певних робочих просторів ChatGPT, щоб користувачі могли входити й працювати лише в дозволених робочих просторах. Ця функція гарантує, що користувачі у вашій організації матимуть доступ лише до певних затверджених робочих просторів.

Як це працює

• Налаштування спеціального заголовка: ви визначаєте, які робочі простори дозволені, додаючи спеціальний HTTP-заголовок ChatGPT-Allowed-Workspace-Id до конфігурації мережі. Цей заголовок містить один або кілька ідентифікаторів робочих просторів (UUID), які визначають, до яких робочих просторів користувачі можуть мати доступ.

• ChatGPT фільтрує доступ:

  • Коли користувач входить у ChatGPT Enterprise, система перевіряє, чи робочий простір, до якого він намагається отримати доступ, збігається з будь-яким UUID робочого простору, зазначеним у заголовку ChatGPT-Allowed-Workspace-Id.

  • Якщо користувач намагається отримати доступ до робочого простору, не зазначеного в заголовку, ChatGPT автоматично фільтрує цей запит і блокує доступ до такого робочого простору. Поки користувач має доступ принаймні до одного робочого простору, фільтрація відбувається непомітно. Якщо після фільтрації в користувача не залишається доступу до жодного робочого простору, він отримає помилку 403 Forbidden.

  • Доступними будуть лише робочі простори, зазначені в заголовку, а всі інші робочі простори (зокрема особисті) система відфільтрує.

• Підтримка кількох робочих просторів: якщо вашій організації потрібно надати доступ до кількох робочих просторів, можна включити в заголовок кілька UUID робочих просторів, розділивши їх комами без пробілів.

Налаштування

Крок 1. Отримайте ідентифікатор робочого простору

Щоб надати доступ до певних робочих просторів, потрібно знайти UUID робочого простору для кожного дозволеного робочого простору. Цей UUID можна знайти в налаштуваннях адміністратора ChatGPT:

• Увійдіть у свій обліковий запис адміністратора ChatGPT Enterprise.

• Перейдіть на сторінку налаштувань адміністратора.

• Знайдіть ідентифікатор робочого простору (UUID), що відповідає кожному робочому простору, який потрібно дозволити.

Приклад UUID робочого простору: 437adf77-4085-4b22-b7b1-de7b6f5ec6c0

Крок 2. Постачальники SASE

Для впровадження на рівні всього підприємства організації можуть співпрацювати зі своїми партнерами Secure Access Service Edge (SASE). Ці партнери можуть застосовувати функцію блокування робочих просторів на рівні мережі.

Крок 3. Конфігурація

• Дозвольте кілька робочих просторів (за потреби): щоб надати доступ до кількох робочих просторів, введіть UUID робочих просторів, розділені комами.

• Укажіть цільове застосування URL-адрес:

  • Переконайтеся, що заголовок застосовується до URL-адреси ChatGPT. Налаштуйте фільтр URL-адрес так, щоб він застосовувався лише до запитів на https://chatgpt.com/*

Крок 4. Обробка помилок

• Помилка 403 Forbidden: якщо користувач намагається отримати доступ до робочого простору й після фільтрації не залишається жодного доступного робочого простору, він побачить помилку 403 Forbidden, а повідомлення вкаже, що він не має дозволу на доступ до робочого простору.

• Помилка 400 Bad Request: якщо значення заголовка має неправильний формат (наприклад, UUID робочого простору неправильний), усі запити з цим заголовком завершаться помилкою 400 Bad Request.

Крок 5. Заблокуйте анонімне використання ChatGPT (без входу)

ChatGPT також можна використовувати взагалі без облікового запису чи робочого простору; ми називаємо це анонімним продуктом або продуктом без входу. Щоб ефективно заблокувати такий тип використання, зверніться до свого постачальника SASE, щоб заблокувати доступ до URL-адрес, які починаються з https://chatgpt.com/backend-anon/, або скористайтеся тією самою конфігурацією браузера, яку ви використовували для вставлення заголовків, щоб також блокувати URL-адреси з цим префіксом.

Крок 6. Перевірте сумісність із настільними й мобільними застосунками ChatGPT

Настільні й мобільні застосунки ChatGPT використовують закріплення сертифікатів. Це обмежує набір серверних сертифікатів, які прийматиме клієнт, додаючи додатковий захист від складних атак перехоплення (MiTM), коли чинний сертифікат було скомпрометовано. Перевірка закріплення відбувається після того, як серверний сертифікат уже перевірено за довіреними кореневими сертифікатами.

Щоб настільні й мобільні застосунки ChatGPT працювали належним чином за ввімкненої перевірки SSL (необхідної для впровадження наведених вище мережевих засобів керування), потрібно додати власні сертифікати до списку закріплення та розповсюдити їх клієнтам через MDM. Докладні інструкції дивіться тут: https://docsend.com/view/rrk4mx9aashcekp7

Запитання й відповіді

Чи працюватиме блокування робочих просторів на мобільних пристроях iOS, а також у застосунках для macOS і Android?

Блокування робочих просторів через вставлення мережевого заголовка можна застосовувати в застосунках ChatGPT на керованих пристроях, де через MDM розгорнуто винятки для закріплення сертифікатів, як описано вище.

Якщо організація хоче заборонити користувачам доступ до ChatGPT (зокрема через особисті облікові записи) у застосунках для iOS, macOS і Android, вона може налаштувати мережевий брандмауер, проксі або сервіс SASE так, щоб блокувати доступ до таких доменів:

• Застосунок Android: android.chat.openai.com

• Настільний вебзастосунок: desktop.chatgpt.com

• Застосунок iOS: ios.chat.openai.com

Зверніть увагу: блокування доступу до наведених вище доменів блокує весь трафік до застосунків, тобто ніхто не зможе отримати доступ до ChatGPT через ці платформи, незалежно від того, чи використовує особистий обліковий запис, чи обліковий запис Enterprise.