請參閱我們的 「SSO 概覽」頁面,熟悉本文討論的關鍵概念。
在驗證網域之前,請務必先考慮幾個不同問題:
您希望如何向新用戶佈建邀請?
您希望如何處理現有的消費者(個人/Plus/Pro)用戶?
您希望用戶登入流程是怎樣的?
我們會更詳細地逐一探討這些問題,協助確保您選擇最符合需求的選項。
邀請新用戶
我們目前提供四種不同方式,為用戶佈建邀請:
值得注意的是,我們會區分主動傳送邀請電郵的情況,以及在後端靜默地將邀請與用戶電郵關聯的情況。
以下情況會主動傳送邀請電郵:
透過 SCIM 首次邀請新用戶。
從 ChatGPT 或 API Platform 直接邀請用戶。
以下情況會靜默關聯邀請:
SCIM 用戶從您的 IdP 群組移除後再重新加入。
適用自動建立帳戶時。
在後一種情況下,用戶不會在收件箱看到邀請,但在嘗試登入時,仍會被正確導向相應的工作區/組織。
SCIM
SCIM 可用於 ChatGPT 和 API Platform。SCIM 讓身分提供者(例如 Okta、Entra ID 等)與 OpenAI 交換用戶身分資料,並根據組織變更自動佈建邀請(以及取消佈建用戶帳戶)。
雖然 SCIM 也透過您的 IdP 設定,但可獨立於 SSO 進行設定。因此,網域驗證/SSO 並不是 SCIM 的必要條件。
如果您決定同時使用 SCIM 和 SSO,重要的分別在於:
SCIM 只會佈建邀請
SSO 負責驗證和建立用戶
我們認為 SCIM 是整體用戶管理中最穩健且最具擴展性的解決方案。視乎您的理想實作方式而定,如果您同時部署 ChatGPT 和 API Platform,我們通常建議採用以下架構作為最佳實踐:

透過此設定,您可輕鬆分別管理邀請以及存取權(ChatGPT 和 API Platform)。此設定的另一項好處是,您的管理團隊可直接在 IdP 中集中執行任何必要變更。
如果您要在多個應用程式之間實作 SCIM(即 ChatGPT、API Platform 或其他帳戶),您的 SCIM 應用程式應各自獨立。即使目標用戶群完全相同,我們也強烈建議每個 SCIM 實作都應在您的 IdP 中對應至獨立的應用程式。
如果您未符合此要求,可能會造成不一致問題,最終導致成員資格無效。
從 ChatGPT 或 API Platform 直接邀請
管理員可從相應的 ChatGPT 和 Platform「成員」頁面,透過電郵直接邀請用戶。在 ChatGPT 中,此方法亦支援透過上載 CSV 進行批量邀請:

雖然通常不太具擴展性,但在您開始使用新的工作區/組織時,我們通常建議使用直接邀請。與 SCIM 不同,邀請送達用戶收件箱不會有潛在延遲,因此這是提供快速存取權、修改權限和進行一般測試的最有效選項。
此外,您日後仍可隨時啟用 SCIM,並將現有用戶歸入 SCIM 應用程式下。因此,除非您有意這樣做,否則無需擔心直接受邀用戶會被排除在日後的自動化之外。
自動建立帳戶(AAC)
與其他選項不同,AAC 只可在 ChatGPT 的身分頁面使用,並且必須先啟用 SSO:

如上所示,AAC 可確保使用已驗證電郵網域註冊或登入的用戶,會自動加入您的 Enterprise 工作區。用戶不會收到邀請電郵,整個流程會完全自動化。這有利亦有弊。
如果您的政策是允許任何使用您已驗證網域的用戶自由存取,AAC 是很好的選項,可避免設定和管理 SCIM 應用程式所帶來的額外工作。
不過,如果您需要更嚴格、以審批為基礎的用戶存取方式,AAC 並不理想。
⚠️ 警告 ⚠️
請務必注意,啟用 AAC 實際上會強制將您網域下所有消費者(個人/Plus/Pro)用戶合併至您的 Enterprise 工作區。更多相關資訊可參閱下方的「處理現有用戶」一節。
請注意,在此情況下,即使用戶不是您的 IdP 存取群組成員,並且在強制 SSO 時無法成功存取工作區,他們仍會佔用您 Enterprise 帳戶中的一個席位。
因此,在大多數情況下,我們通常建議使用 SCIM 或直接邀請,而非 AAC。為協助避免潛在混淆,如果您計劃使用 SCIM,我們建議將 AAC 保持關閉。
API Platform 管理員邀請 Endpoint
我們的 API Platform 支援 Invites Endpoint,可讓您以程式方式邀請用戶加入您的 API 組織。
與 SCIM 相比,此 endpoint 的主要優點是可讓您指定受邀用戶應屬於哪些專案:

這提供了額外的精細度和控制能力,而無需逐一手動直接邀請。
處理現有消費者用戶
我們將消費者用戶定義為使用個人、Plus 或 Pro 訂閱的用戶。常見情況是,在您簽訂 Enterprise 合約之前,已經有使用您已驗證網域的現有消費者用戶帳戶。由於驗證網域和啟用 SSO 可能會對這些消費者用戶造成下游影響,因此務必事先決定期望的結果。
對 ChatGPT 消費者用戶的影響
在 ChatGPT 方面,對消費者用戶的影響主要取決於兩個因素:
他們會獲邀加入 Enterprise 工作區嗎?
您會強制使用 SSO 嗎?
產生的行為如下:
| 有待處理邀請? | 強制 SSO? | 結果 |
|---|---|---|
| 是 | 是 | 消費者用戶帳戶將被強制合併至 Enterprise,且只能使用 SSO 登入。 |
| 是 | 否 | 消費者用戶帳戶將被強制合併至 Enterprise,用戶可透過 SSO 或社交登入進行驗證。 |
| 否 | 是 | 無影響:消費者用戶可繼續透過密碼或社交驗證存取其個人工作區。 |
| 否 | 否 | 無影響:消費者用戶可繼續透過密碼或社交驗證存取其個人工作區。 |
如果您的目標是最終防止任何消費者帳戶存在,請聯絡您的客戶總監討論可行選項。
帳戶合併
要觸發將消費者帳戶自動合併至 Enterprise 帳戶,須符合以下先決條件:
用戶的網域已通過驗證。
用戶已收到其網域已獲驗證的 Enterprise 工作區邀請。
注意:如果你已啟用 AAC,任何使用你已驗證網域的用戶都會一律符合此條件。
符合這些條件後,用戶下次登入或重新整理 ChatGPT 時,應會看到以下模態視窗:

如圖中所示,我們會在合併前自動退還任何現有 Plus 或 Pro 訂閱費用。用戶可以選擇轉移其現有對話記錄和 GPTs,或者透過電郵匯出對話記錄,然後以「全新開始」方式使用其 Enterprise 工作區。
注意:如果目標 Enterprise 或 Edu 工作區已啟用資料駐留,則無法轉移 Personal 工作區資料。用戶只能匯出其對話並刪除 Personal 工作區。詳情請參閱電郵邀請和帳戶遷移。
消費者帳戶一經合併,便無法還原。如果你的用戶選擇了「轉移現有對話記錄和 GPTs」選項,但在其 Enterprise 工作區中未有看到相應內容,請聯絡支援團隊。
對 API Platform 消費者用戶的影響
由於 Platform 上的 SSO 仍以網域為基礎(不同於 ChatGPT,SSO 只針對已啟用該功能的特定工作區),因此只要您驗證網域並在任何組織啟用 SSO,您的消費者用戶便會受到影響。
消費者用戶將無法再使用密碼驗證,因為我們會識別網域相符並將他們轉送至您的 IdP。如果他們是您的 IdP 成員,便可成功驗證。或者,如果他們可使用社交 OAuth 選項,也可以用該方式登入。否則,實際上您會令他們無法登入自己的消費者帳戶。
如需更深入了解此工作流程,請參閱用戶登入流程一節。
建議的身分與佈建模式
既然我們已說明與身分驗證和邀請佈建相關的基本行為,接下來檢視一些 Enterprise 用戶常用的實作模式,或會有所幫助:

用戶登入流程
我們已討論過待處理邀請和強制 SSO 的影響,因此本節旨在協助您視覺化用戶輸入電郵地址登入時,我們預期會執行的流程/檢查。
ChatGPT 登入流程
注意:此圖不包括透過社交方式或 Tile URL 的登入嘗試。

API Platform 登入流程
注意:此圖不包括透過社交方式或 Tile URL 的登入嘗試。

後續步驟
既然您已了解理想的實作方式,便可參考相應文件來啟用 SCIM 或 SSO:
