Để người dùng có thể truy cập không gian làm việc ChatGPT Enterprise hoặc Edu, cần có hai việc xảy ra:
Người dùng cần được cấp quyền trong không gian làm việc
Người dùng cần xác thực danh tính của họ với OpenAI
Xác minh tên miền
Trước khi thiết lập các tùy chọn cấp quyền và xác thực bổ sung, bạn phải xác minh quyền sở hữu một hoặc nhiều miền email trên trang Identity & Provisioning. Việc này liên kết miền email với không gian làm việc ChatGPT Enterprise của bạn. Tìm hiểu thêm về xác minh tên miền cho ChatGPT Enterprise và Edu.
Cấp quyền
Theo mặc định, chủ sở hữu và quản trị viên không gian làm việc cấp quyền cho người dùng bằng cách mời họ qua trang Thành viên của không gian làm việc ChatGPT.
Để tự động hóa quy trình cấp quyền, chủ sở hữu không gian làm việc có thể cấu hình các tùy chọn sau trên trang Identity & Provisioning:
Tạo tài khoản tự động - tự động cấp cho người dùng quyền truy cập vào không gian làm việc dựa trên miền email của họ khi họ cố đăng nhập. Tìm hiểu thêm về Tạo tài khoản tự động.
Đồng bộ thư mục qua SCIM - tự động mời người dùng vào không gian làm việc dựa trên tư cách thành viên của họ trong các nhóm Nhà cung cấp danh tính được chỉ định. Tìm hiểu thêm về cấp quyền SCIM.
Kiểm soát việc các nhóm do SCIM quản lý có thể được tìm thấy trong các luồng chia sẻ như GPT và dự án hay không, xem: Câu hỏi thường gặp về Tích hợp SCIM.
Chủ sở hữu không gian làm việc có thể tùy chọn tắt lời mời tên miền bên ngoài để giới hạn lời mời mới cho người dùng có địa chỉ email khớp với các miền đã xác minh. Hạn chế này chỉ áp dụng cho lời mời mới và không chặn hồi tố người dùng hiện có hoặc các lời mời đã được gửi.
Lưu ý: Các tính năng này hiện chưa khả dụng cho người dùng ChatGPT for Teachers.
Lời mời qua email và di chuyển tài khoản
Khi người dùng được mời vào Không gian làm việc ChatGPT của bạn, dù thủ công hay qua cấp quyền SCIM, OpenAI sẽ mặc định gửi cho họ email mời (xem bài viết này để biết các trường hợp email sẽ không được gửi). Nếu người dùng có địa chỉ email khớp với một miền đã xác minh, họ sẽ tự động được thêm vào không gian làm việc dù chấp nhận liên kết mời trong email hay đăng nhập qua chatgpt.com
Nếu người dùng được mời có địa chỉ email khớp với một miền đã xác minh và đã có tài khoản ChatGPT, họ sẽ được nhắc di chuyển tài khoản của mình sang không gian làm việc Enterprise khi chấp nhận lời mời. Người dùng có thể chọn chuyển dữ liệu hiện có của mình sang không gian làm việc Enterprise, hoặc xuất và xóa dữ liệu của họ. Các gói thuê bao cá nhân trả phí sẽ tự động bị hủy như một phần của quá trình di chuyển.
Lưu ý: Khi người dùng chuyển không gian làm việc cá nhân của họ vào không gian làm việc ChatGPT Enterprise hoặc Edu, các GPT cá nhân đã được chia sẻ hoặc xuất bản trước đó, bao gồm cả GPT được chia sẻ bằng liên kết, sẽ được chuyển thành GPT hiển thị trong không gian làm việc ở không gian làm việc đích. Các GPT ở chế độ riêng tư trước khi chuyển vẫn sẽ giữ riêng tư. Chủ sở hữu không gian làm việc có thể xem lại và cập nhật chế độ hiển thị của các GPT đã chuyển sau khi di chuyển.
Nếu người dùng được mời có tài khoản ChatGPT hiện có gắn với một địa chỉ email không khớp với miền đã xác minh, họ sẽ không được nhắc di chuyển tài khoản và có thể giữ cả tài khoản cá nhân lẫn quyền truy cập vào không gian làm việc Enterprise.
Quy trình di chuyển tài khoản được hiển thị cho người dùng trong giao diện ChatGPT Enterprise.
Lưu ý: Dành cho các gói ChatGPT Business nâng cấp lên gói Enterprise:
Người dùng thuộc không gian làm việc ChatGPT Business sẽ không được nhắc di chuyển không gian làm việc Business của họ sang không gian làm việc Enterprise, nhưng sẽ được nhắc di chuyển không gian làm việc cá nhân của họ.
Xác thực
Theo mặc định, người dùng xác thực với OpenAI bằng địa chỉ email và mật khẩu hoặc bằng cách dùng đăng nhập mạng xã hội (Google, Microsoft hoặc Apple).
Để bảo mật hơn nữa quy trình xác thực, chủ sở hữu không gian làm việc có thể cấu hình Đăng nhập một lần (SSO) sau trên trang Identity & Provisioning:
Bật SSO - Người dùng đã được cấp quyền trong không gian làm việc và có địa chỉ email gắn với một miền đã xác minh có thể xác thực qua Nhà cung cấp danh tính (IdP) đã tích hợp. Khi SSO được bật nhưng chưa bị áp dụng bắt buộc, người dùng vẫn có thể chọn xác thực bằng tên người dùng và mật khẩu hoặc dùng đăng nhập mạng xã hội qua Google, Microsoft và Apple.
Buộc dùng SSO - có thêm tác dụng là vô hiệu hóa đăng nhập mạng xã hội cho người dùng đã được cấp quyền trong không gian làm việc và có địa chỉ email gắn với một miền đã xác minh.
Việc bật hoặc buộc dùng SSO tự nó không ảnh hưởng đến trải nghiệm của các loại người dùng sau:
Người dùng ChatGPT có email khớp với miền đã xác minh nhưng không được cấp quyền trong không gian làm việc. Những người dùng này có thể tiếp tục truy cập tài khoản ChatGPT cá nhân của họ sau khi SSO được cấu hình.
Người dùng ChatGPT có miền email không khớp với miền email đã xác minh nhưng được cấp quyền trong không gian làm việc. Những người dùng này có thể tiếp tục truy cập không gian làm việc ChatGPT Enterprise qua mật khẩu hoặc các phương thức đăng nhập mạng xã hội.
Tìm hiểu thêm về cách cấu hình SSO.
Cấu hình SSO trên các sản phẩm OpenAI
Không gian làm việc ChatGPT Enterprise và tổ chức Nền tảng API OpenAI của bạn dùng chung một kết nối SSO với IdP của bạn. Do đó, các cấu hình xác minh tên miền và SAML SSO được chia sẻ giữa các sản phẩm. Nếu bạn đã cấu hình SSO trong tổ chức Nền tảng API của mình, các miền đã xác minh và thiết lập SAML SSO sẽ được điền sẵn trong ChatGPT. Điều ngược lại cũng đúng.
SSO phải được bật riêng trên ChatGPT và trên Nền tảng API. Tuy nhiên, khi bạn đã cấu hình trên một bên, việc “thiết lập” bên còn lại chủ yếu là bật công tắc và thêm một ứng dụng dấu trang trong IdP nếu muốn.
| SSO của Nền tảng API đã bật | SSO của Nền tảng API đã tắt | |
| SSO của ChatGPT đã bật | ✅ | ✅ |
| SSO của ChatGPT đã tắt | ✅ | ✅ |
Tìm hiểu thêm về cấu hình SSO của Nền tảng API.
Các mô hình danh tính và cấp quyền được khuyến nghị
ChatGPT Enterprise cho phép bạn linh hoạt kết hợp các tùy chọn danh tính và cấp quyền. Các mô hình phổ biến nhất được cung cấp để tham khảo.
| Cấp quyền | Xác thực | Trải nghiệm người dùng | |
| Quyền truy cập tự chọn Bất kỳ người dùng nào xác thực bằng địa chỉ email gắn với miền đã xác minh sẽ tự động được cấp quyền trong không gian làm việc của bạn. | Tạo tài khoản tự động | Mật khẩu hoặc mạng xã hội | Khi đăng ký hoặc đăng nhập vào tài khoản cá nhân, người dùng sẽ được nhắc di chuyển tài khoản cá nhân của họ sang không gian làm việc Enterprise. |
| SSO với lời mời thủ công Người dùng được mời thủ công vào không gian làm việc có thể xác thực bằng SSO. | Thủ công | SSO được bật hoặc bắt buộc | Người dùng vẫn có thể tiếp tục đăng ký hoặc đăng nhập vào tài khoản cá nhân của họ. Sau khi được mời vào không gian làm việc Enterprise, người dùng sẽ được nhắc di chuyển tài khoản cá nhân hiện có của họ. |
| SSO với Tạo tài khoản tự động Bất kỳ người dùng nào xác thực bằng địa chỉ email gắn với miền đã xác minh sẽ tự động được cấp quyền trong không gian làm việc của bạn và sau đó có thể xác thực bằng SSO. | Tạo tài khoản tự động | SSO được bật hoặc bắt buộc | Khi đăng ký hoặc đăng nhập vào tài khoản cá nhân, người dùng sẽ được nhắc di chuyển tài khoản cá nhân của họ sang không gian làm việc Enterprise. Lưu ý: người dùng không có khả năng xác thực qua IdP sẽ không thể đăng nhập vào ChatGPT sau khi di chuyển sang không gian làm việc Enterprise. |
| SSO với SCIM Người dùng là thành viên của một nhóm IdP được chỉ định sẽ tự động được mời vào không gian làm việc và sau đó có thể xác thực bằng SSO. | SCIM | SSO được bật hoặc bắt buộc | Người dùng vẫn có thể tiếp tục đăng ký hoặc đăng nhập vào tài khoản cá nhân. Khi được thêm vào các nhóm IdP được chỉ định, người dùng sẽ nhận email mời và được nhắc di chuyển tài khoản cá nhân hiện có của họ. |