Vui lòng xem trang “Tổng quan về SSO” của chúng tôi để làm quen với các khái niệm chính được thảo luận trong tài liệu này.
Trước khi xác minh miền, bạn nên cân nhắc một vài câu hỏi khác nhau:
Bạn muốn cấp phát lời mời cho người dùng mới như thế nào?
Bạn muốn xử lý người dùng tiêu dùng hiện có (cá nhân/Plus/Pro) như thế nào?
Bạn muốn luồng đăng nhập của người dùng trông như thế nào?
Chúng ta sẽ xem xét từng câu hỏi này chi tiết hơn để đảm bảo bạn chọn phương án phù hợp nhất với nhu cầu của mình.
Mời người dùng mới
Hiện tại, chúng tôi cung cấp bốn phương thức khác nhau để cấp phát lời mời cho người dùng:
Cần lưu ý rằng chúng tôi phân biệt giữa trường hợp email mời được chủ động gửi đi và trường hợp lời mời được âm thầm liên kết với email của người dùng trong backend của chúng tôi.
Email mời được chủ động gửi khi:
Một người dùng mới lần đầu được mời thông qua SCIM.
Một người dùng được mời trực tiếp từ ChatGPT hoặc API Platform.
Lời mời được âm thầm liên kết khi:
Một người dùng SCIM bị xóa khỏi nhóm IdP của bạn rồi được thêm lại.
Tính năng Tạo tài khoản tự động được áp dụng.
Trong trường hợp sau, người dùng sẽ không thấy lời mời trong hộp thư đến, nhưng họ vẫn sẽ được chuyển đúng đến không gian làm việc/tổ chức tương ứng khi cố gắng đăng nhập.
SCIM
SCIM có trong cả ChatGPT và API Platform. SCIM cho phép nhà cung cấp danh tính (ví dụ: Okta, Entra ID, v.v.) trao đổi dữ liệu danh tính người dùng với OpenAI, tự động hóa việc cấp phát lời mời (và hủy cấp phát tài khoản người dùng) dựa trên các thay đổi trong tổ chức.
Mặc dù SCIM cũng được cấu hình thông qua IdP của bạn, nhưng có thể thiết lập độc lập với SSO. Do đó, xác minh miền/SSO không phải là yêu cầu bắt buộc đối với SCIM.
Nếu bạn quyết định dùng cả SCIM và SSO, điểm khác biệt quan trọng cần nắm là:
SCIM chỉ cấp phát lời mời
SSO xử lý xác thực và tạo người dùng
Chúng tôi xem SCIM là giải pháp mạnh mẽ và có khả năng mở rộng nhất cho việc quản lý người dùng tổng thể. Tùy theo cách triển khai lý tưởng của bạn, chúng tôi thường khuyến nghị kiến trúc sau đây như phương pháp hay nhất nếu bạn triển khai trên cả ChatGPT và API Platform:

Với thiết lập này, bạn có thể dễ dàng quản lý riêng cả lời mời và quyền truy cập (vào ChatGPT và API Platform). Thiết lập này còn có lợi ích là mọi thay đổi cần thiết đều có thể được đội ngũ quản trị của bạn thực hiện tập trung trực tiếp trong IdP.
Nếu bạn triển khai SCIM trên nhiều ứng dụng (ví dụ: ChatGPT, API Platform hoặc các tài khoản khác), các Ứng dụng SCIM của bạn phải là duy nhất. Ngay cả khi nhóm người dùng mục tiêu giống hệt nhau, bạn vẫn nên để mỗi triển khai SCIM tham chiếu đến một ứng dụng riêng trong IdP của mình.
Nếu không đáp ứng yêu cầu này, bạn có thể gặp vấn đề không nhất quán, cuối cùng dẫn đến tư cách thành viên không hợp lệ.
Lời mời trực tiếp từ ChatGPT hoặc API Platform
Quản trị viên có thể mời trực tiếp người dùng qua email từ các trang ChatGPT và Platform “Thành viên” tương ứng. Trong ChatGPT, phương thức này cũng hỗ trợ mời hàng loạt qua tệp CSV được tải lên:

Dù thường không phù hợp để mở rộng quy mô, chúng tôi thường khuyên bạn dùng lời mời trực tiếp khi mới bắt đầu với một không gian làm việc/tổ chức mới. Khác với SCIM, lời mời không có nguy cơ bị chậm khi gửi đến hộp thư của người dùng, nên đây là lựa chọn hiệu quả nhất để cấp quyền truy cập nhanh, điều chỉnh quyền và kiểm thử chung.
Ngoài ra, bạn luôn có thể bật SCIM về sau và đưa người dùng hiện có của mình vào ứng dụng SCIM. Vì vậy, bạn không cần lo rằng người dùng được mời trực tiếp sẽ bị loại khỏi quy trình tự động hóa trong tương lai, trừ khi bạn muốn như vậy.
Tạo tài khoản tự động (AAC)
Khác với các lựa chọn khác, AAC chỉ có trên trang Danh tính của ChatGPT và yêu cầu SSO phải được bật trước:

Như minh họa ở trên, AAC đảm bảo rằng người dùng đăng ký hoặc đăng nhập bằng miền email đã xác minh sẽ tự động được thêm vào không gian làm việc Enterprise của bạn. Người dùng sẽ không nhận email mời, và toàn bộ quy trình đều được tự động hóa. Điều này có cả ưu điểm và nhược điểm.
Nếu chính sách của bạn là cho phép mọi người dùng có miền đã xác minh được truy cập tự do, AAC là lựa chọn tuyệt vời giúp tránh phần việc phát sinh khi cấu hình và quản lý một ứng dụng SCIM.
Tuy nhiên, AAC không phải lựa chọn lý tưởng nếu bạn cần cách tiếp cận chặt chẽ hơn, dựa trên phê duyệt, đối với quyền truy cập của người dùng.
⚠️ CẢNH BÁO ⚠️
Điều quan trọng cần lưu ý là việc bật AAC thực tế sẽ buộc hợp nhất tất cả người dùng tiêu dùng (cá nhân/Plus/Pro) thuộc miền của bạn vào không gian làm việc Enterprise của bạn. Bạn có thể tìm hiểu thêm bên dưới trong phần “Xử lý người dùng hiện có”.
Lưu ý rằng trong trường hợp này, ngay cả khi người dùng không phải là thành viên của nhóm truy cập IdP của bạn và không thể truy cập thành công không gian làm việc khi SSO được bắt buộc, họ vẫn chiếm một ghế trong tài khoản Enterprise của bạn.
Vì lý do này, trong hầu hết trường hợp, chúng tôi thường khuyến nghị dùng SCIM hoặc lời mời trực tiếp thay vì AAC. Và để tránh các khả năng gây nhầm lẫn, chúng tôi khuyên bạn nên tắt AAC nếu dự định dùng SCIM.
Endpoint mời quản trị viên trên API Platform
API Platform của chúng tôi hỗ trợ Endpoint mời, cho phép bạn mời người dùng vào tổ chức API của mình theo cách lập trình.
So với SCIM, lợi ích chính của endpoint là cho phép bạn chỉ định (các) dự án mà người dùng được mời sẽ thuộc về:

Điều này cung cấp thêm một lớp chi tiết và kiểm soát mà không cần thao tác thủ công để gửi từng lời mời trực tiếp.
Xử lý người dùng tiêu dùng hiện có
Chúng tôi định nghĩa người dùng tiêu dùng là những người dùng gói đăng ký cá nhân, Plus hoặc Pro. Thông thường sẽ có những người dùng tiêu dùng hiện có với miền đã xác minh của bạn, những người đã có tài khoản trước khi bạn ký hợp đồng Enterprise. Vì việc xác minh miền và bật SSO có thể tác động tiếp theo đến những người dùng tiêu dùng này, bạn cần xác định trước kết quả mong muốn.
Tác động đến người dùng tiêu dùng trên ChatGPT
Về phía ChatGPT, tác động đến người dùng tiêu dùng chủ yếu do hai yếu tố quyết định:
Họ có được mời vào không gian làm việc Enterprise không?
Bạn có bắt buộc dùng SSO không?
Bạn có thể xem hành vi tương ứng bên dưới:
| Có lời mời đang chờ? | Bắt buộc dùng SSO? | Kết quả |
|---|---|---|
| Có | Có | Tài khoản người dùng tiêu dùng sẽ bị buộc hợp nhất vào Enterprise và chỉ có thể đăng nhập bằng SSO. |
| Có | Không | Tài khoản người dùng tiêu dùng sẽ bị buộc hợp nhất vào Enterprise, và người dùng có thể xác thực bằng SSO hoặc đăng nhập mạng xã hội. |
| Không | Có | Không ảnh hưởng: Người dùng tiêu dùng vẫn truy cập được không gian làm việc cá nhân bằng mật khẩu hoặc xác thực mạng xã hội. |
| Không | Không | Không ảnh hưởng: Người dùng tiêu dùng vẫn truy cập được không gian làm việc cá nhân bằng mật khẩu hoặc xác thực mạng xã hội. |
Nếu mục tiêu cuối cùng của bạn là ngăn mọi tài khoản tiêu dùng, vui lòng liên hệ với Giám đốc tài khoản của bạn để thảo luận về các lựa chọn khả thi.
Hợp nhất tài khoản
Các điều kiện tiên quyết để kích hoạt việc tự động hợp nhất tài khoản người dùng cá nhân vào tài khoản Enterprise như sau:
Miền của người dùng đã được xác minh.
Người dùng đã nhận được lời mời tham gia không gian làm việc Enterprise nơi miền của họ đã được xác minh.
Lưu ý: Nếu bạn đã bật AAC, điều kiện này sẽ luôn đúng với mọi người dùng thuộc miền đã xác minh của bạn.
Khi các điều kiện này được đáp ứng, vào lần tiếp theo người dùng đăng nhập hoặc làm mới ChatGPT, họ sẽ thấy hộp thoại sau:

Như hình ảnh nêu bật, chúng tôi sẽ tự động hoàn tiền mọi gói đăng ký Plus hoặc Pro hiện có trước khi hợp nhất. Người dùng sẽ có tùy chọn chuyển lịch sử trò chuyện và các GPT hiện có, hoặc xuất lịch sử trò chuyện qua email rồi bắt đầu không gian làm việc Enterprise của mình như một “trang trắng”.
Lưu ý: Nếu không gian làm việc Enterprise hoặc Edu đích đã bật nơi lưu trú dữ liệu, thì không thể chuyển dữ liệu trong không gian làm việc Personal. Người dùng chỉ có thể xuất các cuộc trò chuyện của mình và xóa không gian làm việc Personal. Xem Lời mời qua email và quá trình di chuyển tài khoản để biết chi tiết.
Sau khi tài khoản người dùng cá nhân đã được hợp nhất, bạn sẽ không thể khôi phục tài khoản đó. Nếu người dùng của bạn đã chọn tùy chọn “Chuyển lịch sử trò chuyện và GPT hiện có” nhưng không thấy nội dung này xuất hiện trong không gian làm việc Enterprise của họ, vui lòng liên hệ với bộ phận Hỗ trợ.
Tác động đến người dùng tiêu dùng trên API Platform
Vì SSO trên Platform vẫn dựa trên miền (khác với ChatGPT, nơi SSO áp dụng riêng cho không gian làm việc đã bật tính năng này), người dùng tiêu dùng của bạn sẽ bị ảnh hưởng ngay khi bạn xác minh miền và bật SSO trên bất kỳ tổ chức nào.
Người dùng tiêu dùng sẽ mất khả năng xác thực bằng mật khẩu, vì chúng tôi nhận diện miền khớp và chuyển họ đến IdP của bạn. Nếu họ là thành viên trong IdP của bạn, họ có thể xác thực thành công. Ngoài ra, họ có thể đăng nhập bằng một tùy chọn OAuth mạng xã hội nếu có. Nếu không, bạn đã thực sự khóa họ khỏi tài khoản tiêu dùng của họ.
Xem phần Luồng đăng nhập của người dùng để biết hướng dẫn chuyên sâu hơn về quy trình này.
Các mô hình danh tính và cấp phát được khuyến nghị
Giờ đây khi đã trình bày các hành vi cơ bản liên quan đến xác thực danh tính và cấp phát lời mời, bạn có thể xem lại một số mô hình triển khai phổ biến hơn dành cho người dùng Enterprise:

Luồng đăng nhập của người dùng
Chúng ta đã thảo luận về tác động của lời mời đang chờ xử lý và việc bắt buộc dùng SSO, vì vậy phần này nhằm giúp hình dung luồng/các bước kiểm tra dự kiến mà chúng tôi thực hiện khi người dùng nhập địa chỉ email để đăng nhập.
Luồng đăng nhập ChatGPT
Lưu ý: Sơ đồ này không bao gồm các lần đăng nhập bằng phương thức mạng xã hội hoặc qua URL Tile.

Luồng đăng nhập API Platform
Lưu ý: Sơ đồ này không bao gồm các lần đăng nhập bằng phương thức mạng xã hội hoặc qua URL Tile.

Các bước tiếp theo
Khi đã có hình dung về cách triển khai lý tưởng, bạn có thể làm theo tài liệu tương ứng để bật SCIM hoặc SSO:
