用户如需访问 ChatGPT Enterprise 或 Edu 工作空间,需要满足两个条件:
该用户需要配置到相应的工作空间中
该用户需要通过 OpenAI 进行身份验证
域验证
在设置其他预配和身份验证选项之前,你必须在“身份与预配”页面上验证一个或多个电子邮件地址域名的所有权。这会将该电子邮件地址域名与你的 ChatGPT Enterprise 工作空间相关联。了解更多关于 ChatGPT Enterprise 和 Edu 域名验证的信息。
预配
默认情况下,工作空间所有者和管理员会通过ChatGPT 工作空间“成员”页面邀请用户来完成配置。
为了自动执行预配流程,工作空间所有者可以在“身份与预配”页面配置以下选项:
自动创建账户 - 当用户尝试登录时,根据其电子邮件地址域名自动授予其访问工作空间的权限。了解更多关于自动创建账户的信息。
通过 SCIM 进行目录同步 - 根据用户在指定身份提供商群组中的成员身份,自动邀请用户加入工作空间。了解更多关于 SCIM 预配的信息。
控制在 GPT 和项目等共享流程中,SCIM 管理的群组是否可检索;请参阅:SCIM 集成常见问题解答。
工作空间所有者可以选择停用外部域名邀请,将新的邀请限制为仅发送给电子邮件地址与已验证域名匹配的用户。此限制仅适用于新的邀请,不会追溯并阻止现有用户或已发送的邀请。
注意:这些功能目前尚未面向 ChatGPT 教师版用户开放。
电子邮件邀请和帐户迁移
当用户受邀加入你的 ChatGPT 工作空间时,无论是手动操作还是通过 SCIM 预配邀请,OpenAI 默认都会向其发送邀请电子邮件(参阅这篇文章,了解不会发送电子邮件的情况)。如果用户的电子邮件地址与已验证域名匹配,无论其是接受电子邮件中的邀请链接,还是通过 chatgpt.com 登录,都会被自动添加到工作空间。
如果受邀用户已有 ChatGPT 账户,在接受邀请时,系统会提示将其账户迁移到 Enterprise 工作空间。用户可以选择将现有数据迁移到 Enterprise 工作空间,或者导出并删除其数据。在迁移过程中,付费个人订阅会自动取消。
注意:当用户将其个人工作空间转移到 ChatGPT Enterprise 或 Edu 工作空间时,已共享或已发布的个人 GPT(包括通过链接共享的 GPT)会在目标工作空间中转换为工作空间可见的 GPT。转移前为私密状态的 GPT 仍将保持私密状态。工作空间所有者可以在迁移后查看并更新已转移 GPT 的可见性。
如果受邀用户已拥有 ChatGPT 帐户,且与该帐户关联的电子邮件地址不匹配已验证域名,则系统不会提示其迁移帐户;这些用户可以同时保留其个人帐户以及访问 Enterprise 工作空间的权限。
在 ChatGPT Enterprise 用户界面中向用户显示帐户迁移工作流程。
注意:针对升级到 Enterprise 套餐的 ChatGPT Business 套餐:
属于 ChatGPT Business 工作空间的用户不会收到将其 Business 工作空间迁移到 Enterprise 工作空间的提示,但会收到迁移其个人工作空间的提示。
身份验证
默认情况下,用户使用电子邮件地址和密码或社交媒体帐户(Google、Microsoft 或 Apple)在 OpenAI 进行身份验证。
为进一步提升身份验证流程的安全性,工作空间所有者可以在“身份与预配”页面配置以下单点登录 (SSO) 选项:
启用 SSO - 已在该工作空间中配置且电子邮件地址与已验证域名关联的用户,可通过集成身份提供商 (IdP) 进行身份验证。当 SSO 已启用但未强制执行时,用户仍可选择使用其用户名和密码或通过 Google/Microsoft/Apple 等社交媒体帐户进行身份验证。
强制执行 SSO - 对于工作空间中已配置且电子邮件地址关联已验证域名的用户,此操作还会禁用其社交媒体账户登录功能。
启用或强制执行 SSO 本身不会影响以下用户的体验:
电子邮件地址与已验证域名匹配但未在该工作空间中配置的 ChatGPT 用户。这些用户在配置 SSO 后仍可继续访问其个人 ChatGPT 帐户。
电子邮件地址域名与已验证电子邮件地址域名不匹配,但已在该工作空间中配置的 ChatGPT 用户。这些用户可以继续使用密码或社交媒体帐户登录,以访问 ChatGPT Enterprise 工作空间。
在 OpenAI 的各个产品中配置 SSO
你的 ChatGPT Enterprise 工作空间和 OpenAI API 平台组织会与 IdP 共享同一 SSO 连接。因此,域名验证和 SAML SSO 设置会在不同产品之间共享。如果你已在 API 平台组织中配置 SSO,已验证域名和 SAML SSO 设置将预先填充至 ChatGPT。反之亦然。
SSO 需要在 ChatGPT 和 API 平台上分别启用。不过,只要一端已完成配置,另一端通常只需开启开关;如需从 IdP 侧一键进入,可再在 IdP 中添加书签应用。
| API 平台 SSO 已启用 | API 平台 SSO 已禁用 | |
|---|---|---|
| ChatGPT SSO 已启用 | ✅ | ✅ |
| ChatGPT SSO 已禁用 | ✅ | ✅ |
推荐的身份与预配模式
ChatGPT Enterprise 允许你灵活选择身份与预配选项,且提供最常见的模式以供参考。
| 预配 | 身份验证 | 用户体验 | |
|---|---|---|---|
| 选择启用访问权限 任何使用与已验证域名关联的电子邮件地址完成身份验证的用户,都将自动分配到你的工作空间中。 | 自动账户创建 | 密码或社交媒体帐户 | 在注册或登录个人帐户时,系统会提示用户将其个人帐户迁移到 Enterprise 工作空间。 |
| SSO 与手动邀请 手动邀请用户加入工作空间,并通过 SSO 完成身份验证。 | 手动 | SSO 已启用或强制执行 | 用户可以继续注册或登录其个人帐户。 在受邀加入 Enterprise 工作空间后,系统将提示用户迁移其现有个人帐户。 |
| SSO 与自动创建帐户 任何使用与已验证域名关联的电子邮件地址完成身份验证的用户,都将自动配置到你的工作空间中,后续可通过 SSO 进行身份验证。 | 自动账户创建 | SSO 已启用或强制执行 | 在注册或登录个人帐户时,系统会提示用户将其个人帐户迁移到 Enterprise 工作空间。 注意:无法通过 IdP 完成身份验证的用户在迁移到 Enterprise 工作空间后, 无法 登录 ChatGPT。 |
| SSO 与 SCIM 属于指定 IdP 群组成员的用户会自动受邀加入工作空间,随后可通过 SSO 完成身份验证。 | SCIM | SSO 已启用或强制执行 | 用户可以继续注册或登录个人帐户。 系统将用户添加到指定的 IdP 群组后,用户会收到邀请电子邮件,并提示其迁移现有个人帐户。 |