Vui lòng xem trang “Tổng quan về SSO” của chúng tôi để làm quen với các khái niệm chính được thảo luận trong tài liệu này.
Trước khi xác minh miền của bạn, điều quan trọng là cần cân nhắc một vài câu hỏi khác nhau:
Bạn muốn cấp lời mời cho người dùng mới theo cách nào?
Bạn muốn xử lý những người dùng tiêu dùng hiện có (cá nhân/Plus/Pro) như thế nào?
Bạn muốn luồng đăng nhập của người dùng trông như thế nào?
Chúng ta sẽ xem xét kỹ hơn từng câu hỏi này để giúp đảm bảo bạn đang chọn phương án phù hợp nhất với nhu cầu của mình.
Mời người dùng mới
Hiện tại, chúng tôi cung cấp bốn phương thức khác nhau để cấp lời mời cho người dùng:
Cần lưu ý rằng chúng tôi có phân biệt giữa các trường hợp email mời được gửi chủ động:
Một người dùng mới được mời lần đầu thông qua SCIM
HOẶC lời mời trực tiếp từ trong ứng dụng
Và các trường hợp lời mời được âm thầm liên kết với email của người dùng trong hệ thống backend của chúng tôi:
Một người dùng SCIM bị xóa khỏi nhóm IdP của bạn rồi được thêm lại
Tạo tài khoản tự động
Trong trường hợp sau, người dùng sẽ không thấy lời mời trong hộp thư đến, nhưng họ vẫn sẽ được chuyển đúng đến không gian làm việc/tổ chức tương ứng khi thử đăng nhập.
SCIM
SCIM khả dụng trên cả ChatGPT và API Platform. SCIM cho phép các nhà cung cấp danh tính (ví dụ: Okta, Entra ID, v.v.) trao đổi dữ liệu danh tính người dùng với OpenAI, tự động hóa việc cấp lời mời (và hủy cấp tài khoản người dùng) dựa trên các thay đổi trong tổ chức.
Mặc dù SCIM cũng được cấu hình thông qua IdP của bạn, nhưng nó có thể được thiết lập độc lập với SSO. Vì vậy, xác minh miền/SSO không phải là yêu cầu đối với SCIM.
Nếu bạn quyết định sử dụng cả SCIM và SSO, điểm khác biệt quan trọng cần lưu ý là:
SCIM chỉ cấp lời mời
SSO xử lý xác thực và tạo người dùng
Chúng tôi xem SCIM là giải pháp mạnh mẽ và có khả năng mở rộng nhất cho quản lý người dùng tổng thể. Tùy theo cách triển khai lý tưởng của bạn, nếu bạn đang triển khai trên cả ChatGPT và API Platform, chúng tôi thường khuyến nghị kiến trúc sau đây là phương pháp hay nhất:
Với thiết lập này, bạn có thể dễ dàng quản lý riêng cả lời mời và quyền truy cập (vào ChatGPT và API Platform). Thiết lập này còn có lợi ích bổ sung là mọi thay đổi cần thiết đều có thể được các nhóm quản trị của bạn thực hiện tập trung trực tiếp trong IdP.
Nếu bạn đang triển khai SCIM trên nhiều ứng dụng (ví dụ: ChatGPT, API Platform hoặc các tài khoản khác), thì các Ứng dụng SCIM của bạn phải là riêng biệt. Ngay cả khi nhóm người dùng mục tiêu là giống nhau, bạn vẫn rất nên để mỗi triển khai SCIM tham chiếu đến một ứng dụng riêng trong IdP của mình.
Nếu không đáp ứng yêu cầu này, bạn có thể gặp các vấn đề không nhất quán và cuối cùng dẫn đến thành viên không hợp lệ.
Lời mời trực tiếp từ ChatGPT hoặc API Platform
Quản trị viên có thể trực tiếp mời người dùng qua email từ trang ChatGPT và Platform “Thành viên” tương ứng. Trên ChatGPT, phương thức này cũng hỗ trợ mời hàng loạt qua tệp CSV được tải lên:
Dù thường không có khả năng mở rộng, chúng tôi vẫn thường khuyến nghị dùng lời mời trực tiếp khi bạn mới bắt đầu trong một không gian làm việc/tổ chức mới. Không giống SCIM, sẽ không có độ trễ tiềm ẩn khi lời mời đến hộp thư đến của người dùng, nên đây là lựa chọn hiệu quả nhất để cấp quyền truy cập nhanh, sửa đổi quyền và thử nghiệm nói chung.
Ngoài ra, bạn luôn có thể bật SCIM về sau và gom những người dùng hiện có của mình vào dưới ứng dụng SCIM. Vì vậy, không cần lo rằng những người dùng được mời trực tiếp sẽ bị loại khỏi tự động hóa trong tương lai, trừ khi bạn muốn vậy.
Tạo tài khoản tự động (AAC)
Khác với các tùy chọn khác, AAC chỉ khả dụng trên trang Danh tính của ChatGPT và yêu cầu SSO phải được bật trước:
Như minh họa ở trên, AAC đảm bảo rằng người dùng đăng ký hoặc đăng nhập bằng miền email đã xác minh sẽ tự động được thêm vào không gian làm việc Enterprise của bạn. Người dùng sẽ không nhận được email mời và quy trình này hoàn toàn tự động. Điều này có cả ưu điểm lẫn nhược điểm.
Nếu chính sách của bạn là cho phép truy cập mở cho mọi người dùng có miền đã xác minh của bạn, AAC là một lựa chọn tuyệt vời giúp tránh phần công việc bổ sung của việc cấu hình và quản lý một ứng dụng SCIM.
Tuy nhiên, AAC không phải là lựa chọn lý tưởng nếu bạn cần một cách tiếp cận kiểm soát chặt chẽ hơn, dựa trên phê duyệt, đối với quyền truy cập của người dùng.
⚠️ CẢNH BÁO ⚠️
Điều quan trọng cần lưu ý là việc bật AAC trên thực tế sẽ buộc hợp nhất tất cả người dùng tiêu dùng (cá nhân/Plus/Pro) thuộc miền của bạn vào không gian làm việc Enterprise của bạn. Bạn có thể xem thêm về điều này bên dưới trong phần “Xử lý người dùng hiện có”.
Lưu ý rằng, ngay cả khi người dùng không phải là thành viên của nhóm truy cập IdP của bạn và không thể truy cập không gian làm việc thành công khi SSO bị bắt buộc, họ vẫn chiếm một chỗ trong tài khoản Enterprise của bạn trong trường hợp này.
Vì lý do này, trong hầu hết trường hợp, chúng tôi thường khuyến nghị SCIM hoặc lời mời trực tiếp hơn là AAC. Và để giúp tránh các khả năng gây nhầm lẫn, chúng tôi khuyên bạn nên để AAC ở trạng thái tắt nếu bạn dự định sử dụng SCIM.
Điểm cuối lời mời quản trị viên của API Platform
API Platform của chúng tôi hỗ trợ một Điểm cuối lời mời, cho phép bạn mời người dùng vào tổ chức API của mình theo cách lập trình.
So với SCIM, lợi ích lớn nhất của điểm cuối này là nó cho phép bạn chỉ định (các) dự án mà người dùng được mời sẽ thuộc về:
Điều này mang lại thêm một lớp chi tiết và kiểm soát, mà không yêu cầu công việc thủ công của từng lời mời trực tiếp riêng lẻ.
Xử lý người dùng tiêu dùng hiện có
Chúng tôi định nghĩa người dùng tiêu dùng là những người dùng gói cá nhân, Plus hoặc Pro. Thường sẽ có những người dùng tiêu dùng hiện có với miền đã xác minh của bạn đã có tài khoản trước hợp đồng Enterprise của bạn. Vì việc xác minh miền và bật SSO có thể tạo ra tác động lan tỏa đến những người dùng tiêu dùng này, điều quan trọng là phải xác định trước kết quả mong muốn.
Tác động đến người dùng tiêu dùng ChatGPT
Ở phía ChatGPT, tác động đến người dùng tiêu dùng phần lớn được quyết định bởi hai yếu tố:
Họ có được mời vào không gian làm việc Enterprise không?
Nếu AAC được bật, thì mặc định là “Có”
Bạn có bắt buộc SSO không?
Hành vi kết quả có thể được xem bên dưới:
| Lời mời đang chờ? | Bắt buộc SSO? | Kết quả |
| ✅ | ✅ | Tài khoản người dùng tiêu dùng sẽ buộc phải hợp nhất vào Enterprise và chỉ có thể đăng nhập bằng SSO |
| ✅ | ❌ | Tài khoản người dùng tiêu dùng sẽ buộc phải hợp nhất vào Enterprise, người dùng có thể xác thực bằng SSO hoặc Social |
| ❌ | ✅ | Không ảnh hưởng: Người dùng tiêu dùng vẫn duy trì quyền truy cập vào không gian làm việc cá nhân của họ thông qua xác thực bằng Mật khẩu hoặc Social |
| ❌ | ❌ | Không ảnh hưởng: Người dùng tiêu dùng vẫn duy trì quyền truy cập vào không gian làm việc cá nhân của họ thông qua xác thực bằng Mật khẩu hoặc Social |
Nếu mục tiêu của bạn là cuối cùng không cho phép bất kỳ tài khoản tiêu dùng nào, vui lòng liên hệ với Giám đốc Tài khoản của bạn để thảo luận về các phương án khả thi.
Hợp nhất tài khoản
Các điều kiện tiên quyết để kích hoạt việc tự động hợp nhất tài khoản tiêu dùng vào tài khoản Enterprise như sau:
Miền của người dùng đã được xác minh
Người dùng đã nhận được lời mời vào không gian làm việc Enterprise nơi miền của họ được xác minh
⚠️ Hãy nhớ rằng nếu bạn đã bật AAC, điều kiện này sẽ luôn đúng với bất kỳ người dùng nào có miền đã xác minh của bạn.
Khi các điều kiện này được đáp ứng, thì lần tiếp theo người dùng đăng nhập hoặc làm mới ChatGPT, họ sẽ thấy cửa sổ phương thức sau:
Như hình ảnh nhấn mạnh, chúng tôi sẽ tự động hoàn tiền cho mọi gói Plus hoặc Pro hiện có trước khi hợp nhất. Người dùng sẽ có tùy chọn chuyển lịch sử trò chuyện và các GPT hiện có của họ, hoặc xuất lịch sử trò chuyện qua email và bắt đầu không gian làm việc Enterprise của họ như một “trang trắng”.
Sau khi tài khoản tiêu dùng đã được hợp nhất, sẽ không có cách nào khôi phục nó. Nếu người dùng của bạn chọn tùy chọn “Chuyển lịch sử trò chuyện và GPT hiện có” nhưng không thấy điều này được phản ánh trong không gian làm việc Enterprise của họ, vui lòng liên hệ bộ phận Hỗ trợ.
Tác động đến người dùng tiêu dùng API Platform
Vì SSO trên Platform vẫn dựa trên miền (khác với ChatGPT, nơi SSO dành riêng cho không gian làm việc nơi nó được bật), nên người dùng tiêu dùng của bạn sẽ bị ảnh hưởng ngay khi bạn xác minh miền và bật SSO trên bất kỳ tổ chức nào.
Người dùng tiêu dùng sẽ mất khả năng xác thực bằng mật khẩu, vì chúng tôi nhận diện sự khớp miền và chuyển họ đến IdP của bạn. Nếu họ là thành viên của IdP của bạn, họ có thể xác thực thành công. Ngoài ra, họ có thể đăng nhập bằng tùy chọn Social Oauth nếu tùy chọn đó khả dụng với họ. Nếu không, thì bạn đã thực sự khóa họ khỏi các tài khoản Tiêu dùng của họ.
Xem phần Đăng nhập người dùng để có hướng dẫn chi tiết hơn về quy trình này.
Mẫu danh tính và cấp quyền được khuyến nghị
Bây giờ khi chúng ta đã trình bày hành vi cơ bản gắn với việc xác thực danh tính và cấp lời mời, có thể sẽ hữu ích nếu xem lại một số mẫu triển khai phổ biến hơn dành cho người dùng Enterprise:
Luồng đăng nhập của người dùng
Chúng tôi đã thảo luận về tác động của lời mời đang chờ và việc bắt buộc SSO, vì vậy phần này nhằm giúp hình dung luồng/kiểm tra dự kiến mà chúng tôi thực hiện khi người dùng nhập địa chỉ email để đăng nhập.
Luồng đăng nhập ChatGPT
Lưu ý: Sơ đồ này không bao gồm các lần đăng nhập thông qua phương thức Social hoặc qua Tile URL.
Luồng đăng nhập API Platform
Lưu ý: Sơ đồ này không bao gồm các lần đăng nhập thông qua phương thức Social hoặc qua Tile URL.
Các bước tiếp theo
Bây giờ khi bạn đã có ý tưởng về cách triển khai lý tưởng của mình, bạn có thể làm theo tài liệu tương ứng để bật SCIM hoặc SSO: