请查看我们的 “SSO 概述”页面,以熟悉本文档中讨论的关键概念。
在验证你的域名之前,请务必考虑以下几个问题:
你希望如何为新用户预配邀请?
你希望如何处理现有个人用户(包括个人账户、Plus 和 Pro 用户)?
你希望用户的登录流程是什么样的?
我们将逐一更详细地了解这些问题,帮助确保你选择最符合自己需求的选项。
邀请新用户
我们目前提供四种不同的方式来为用户预配邀请:
值得注意的是,我们会将邀请分为两种情况:主动发送邀请邮件,或在我们的后端将邀请与用户邮箱静默关联。
邀请邮件会在以下情况下主动发送:
首次通过 SCIM 邀请一位新用户。
直接从 ChatGPT 或 API Platform 邀请用户时。
邀请会在以下情况下静默关联:
某个 SCIM 用户从你的 IdP 群组中移除后又被重新添加时。
自动账户创建适用。
在后一种情况下,用户不会在收件箱中看到邀请,但当他们尝试登录时,仍会被正确引导至相应的工作空间/组织。
SCIM
SCIM 在 ChatGPT 和 API Platform 中均可用。SCIM 允许身份提供商(例如 Okta、Entra ID 等)与 OpenAI 交换用户身份数据,从而根据组织变更自动完成用户邀请预配(以及用户账户取消预配)。
虽然 SCIM 也通过你的 IdP 进行配置,但它可以独立于 SSO 进行设置。因此,域名验证/SSO 并不是使用 SCIM 的必要条件。
如果你决定同时使用 SCIM 和 SSO,需要明确的重要区别是:
SCIM 仅预配邀请
SSO 负责处理身份验证和用户创建
我们认为 SCIM 是整体用户管理中最稳健且可扩展性最强的解决方案。根据你理想的实施方式,如果你要同时跨 ChatGPT 和 API 平台进行部署,我们通常建议以下架构作为最佳实践:
通过这种设置,你可以轻松地独立管理邀请操作,以及 ChatGPT 和 API Platform 的访问权限。这种设置还有一个额外好处:你的管理团队可以直接在 IdP 中集中完成任何必要更改。
如果你要在多个应用中实施 SCIM(例如分别面向 ChatGPT、API 平台和其他账户),你的 SCIM 应用应各自唯一。即使目标用户群体相同,也强烈建议每项 SCIM 实施都应引用你的 IdP 中的一个唯一应用。
如果不满足此要求,可能会导致不一致的问题,最终导致成员资格无效。
来自 ChatGPT 或 API 平台的直接邀请
管理员可以直接在 ChatGPT 和 API Platform 的“成员”页面中,通过电子邮件邀请用户。在 ChatGPT 中,该方法还支持通过上传 CSV 文件进行批量邀请:
虽然直接邀请通常不具备可扩展性,但在你刚开始使用新的工作空间/组织时,我们通常建议采用这种方式。与 SCIM 不同,邀请送达用户收件箱不存在潜在延迟,因此这是提供快速访问权限、修改权限以及进行常规测试的最有效选项。
此外,你也可以日后随时启用 SCIM,并将现有用户归入 SCIM 应用下。因此,无需担心直接受邀用户会被排除在未来的自动化流程之外,除非你希望这样做。
Automatic Account Creation(自动帐户创建,AAC)
与其他选项不同,AAC 仅可在 ChatGPT Identity 页面中使用,并且要求先启用 SSO:
如上所示,AAC 可确保使用已验证电子邮件域名注册或登录的用户会自动添加到你的 Enterprise 工作空间。用户不会收到电子邮件邀请,且整个流程完全自动化。这有利有弊。
如果你的策略是允许任何拥有已验证域名的用户获得开放访问权限,那么 AAC 是一个不错的选择,可避免配置和管理 SCIM 应用所带来的额外开销。
不过,如果你需要对用户访问采取更严格管控、基于审批的方式,AAC 并不理想。
⚠️ 警告 ⚠️
请务必注意,启用 AAC 后,系统实际上会强制将你域名下所有个人用户(Personal/Plus/Pro)的账户合并到你的 Enterprise 工作空间中。更多相关信息,请参阅下方的 “处理现有用户” 部分。请注意,在这种情况下,即使用户不是你 IdP 访问群组的成员,并且在强制执行 SSO 时无法成功访问工作空间,他们仍会占用你 Enterprise 账户中的一个席位。
因此,在大多数情况下,我们通常建议使用 SCIM 或直接邀请,而不是 AAC。此外,为了帮助避免可能造成混淆的情况,如果你确实计划使用 SCIM,我们建议保持 AAC 处于关闭状态。
API 平台管理员邀请端点
我们的 API Platform 支持邀请端点,你可以通过该端点以编程方式邀请用户加入你的 API 组织。
与 SCIM 相比,该端点的主要优势在于,你可以通过它指定受邀用户所属的一个或多个项目:
这提供了额外一层精细化程度和控制能力,而无需手动逐一发送直接邀请。
处理现有个人用户
我们将个人用户定义为使用个人账户、Plus 订阅或 Pro 订阅的用户。通常情况下,可能会有一些使用你已验证域名的现有个人用户,他们在你的 Enterprise 合同生效之前就已经拥有账户。由于验证你的域名并启用 SSO 可能会对这些个人用户造成后续影响,因此请务必提前确定预期结果。
对 ChatGPT 个人用户的影响
在 ChatGPT 方面,对个人用户的影响主要由两个因素决定:
他们会受邀加入 Enterprise 工作空间吗?
你会强制使用 SSO 吗?
由此产生的行为如下所示:
| 是否有待处理邀请? | 是否强制使用 SSO? | 结果 |
|---|---|---|
| 是 | 是 | 个人用户账户将被强制合并到 Enterprise,并且只能通过 SSO 登录。 |
| 是 | 否 | 个人用户账户将被强制合并至 Enterprise,用户可以通过 SSO 或社交登录进行身份验证。 |
| 否 | 是 | 无影响:个人用户仍可通过密码或社交登录访问其个人工作空间。 |
| 否 | 否 | 无影响:个人用户仍可通过密码或社交登录访问其个人工作空间。 |
如果你的目标是最终阻止任何个人账户,请联系你的客户经理,讨论可行的选项。
Account Merge(帐户合并)
触发将个人账户自动合并到 Enterprise 账户的先决条件如下:
用户的域名已通过验证。
用户已收到其域名已验证的 Enterprise 工作空间的邀请。
注意:如果你已启用 AAC,则对于使用你已验证域名的任何用户,此条件将始终成立。
满足这些条件后,用户下次登录或刷新 ChatGPT 时,应会看到以下模态窗口:
如图所示,我们将在合并之前自动退还任何现有的 Plus 或 Pro 订阅费用。用户可以选择迁移其现有的聊天历史和 GPTs,或者通过电子邮件导出聊天历史,并以“全新状态”开始使用其 Enterprise 工作空间。
个人账户一旦合并,就无法恢复。如果你的用户选择了“转移现有聊天记录和 GPTs”选项,但并未在其 Enterprise 工作空间中看到相应变化,请联系支持团队。
对 API 平台个人用户的影响
由于 API Platform 上的 SSO 仍然基于域名(这与 ChatGPT 不同,其 SSO 仅针对启用了该功能的特定工作空间),因此,只要你验证了域名并在任何组织中启用 SSO,你的个人用户就会受到影响。
个人用户将无法再使用密码进行身份验证,因为我们会识别到域名匹配并将他们转到你的 IdP。如果他们是你 IdP 的成员,则可以成功完成身份验证。或者,如果他们可以使用社交 OAuth 登录选项,也可以通过该方式登录。否则,他们实际上将无法访问自己的个人账户。
如需更深入地了解此工作流,请参阅用户登录流程部分。
推荐的身份与预配模式
现在我们已经阐明了与身份验证和预配邀请相关的基本行为,接下来不妨查看一些 Enterprise 用户可采用的常见实施模式:
用户登录流程
我们已经讨论过待处理邀请和强制 SSO 的影响,因此本节旨在帮助用户直观了解当他们输入邮箱地址进行登录时,我们预期会执行的流程和检查。
ChatGPT 登录流程
注意:此图不包括通过社交方式或 Tile URL 进行的登录尝试。
API 平台登录流程
注意:此图不包括通过社交方式或 Tile URL 进行的登录尝试。
后续步骤
现在,你已大致了解自己的理想实施方案,可以按照相应文档启用 SCIM 或 SSO: