OpenAI
此頁面由機器翻譯。查看原文英文文章

了解理想的用戶管理設定

本文旨在協助管理員以最適合其使用情境的方式部署 SSO,以及可能需要的 SCIM。

更新日期:4 days ago

請參閱我們的 「SSO 概覽」頁面,熟悉本文討論的關鍵概念。

在驗證網域之前,請務必先考慮幾個不同問題:

  • 您希望如何向新用戶佈建邀請?

  • 您希望如何處理現有的消費者(個人/Plus/Pro)用戶?

  • 您希望用戶登入流程是怎樣的?

我們會更詳細地逐一探討這些問題,協助確保您選擇最符合需求的選項。

邀請新用戶

我們目前提供四種不同方式,為用戶佈建邀請:

  1. 跨網域身分管理系統(SCIM)

  2. 從 ChatGPT 或 API Platform 直接邀請

  3. 僅限 ChatGPT:自動建立帳戶(AAC)

  4. 僅限 Platform:API Platform 管理員邀請 Endpoint

值得注意的是,我們會區分主動傳送邀請電郵的情況,以及在後端靜默地將邀請與用戶電郵關聯的情況。

以下情況會主動傳送邀請電郵:

  • 透過 SCIM 首次邀請新用戶。

  • 從 ChatGPT 或 API Platform 直接邀請用戶。

以下情況會靜默關聯邀請:

  • SCIM 用戶從您的 IdP 群組移除後再重新加入。

  • 適用自動建立帳戶時。

在後一種情況下,用戶不會在收件箱看到邀請,但在嘗試登入時,仍會被正確導向相應的工作區/組織。

SCIM

SCIM 可用於 ChatGPTAPI Platform。SCIM 讓身分提供者(例如 Okta、Entra ID 等)與 OpenAI 交換用戶身分資料,並根據組織變更自動佈建邀請(以及取消佈建用戶帳戶)。

雖然 SCIM 也透過您的 IdP 設定,但可獨立於 SSO 進行設定。因此,網域驗證/SSO 並不是 SCIM 的必要條件。

如果您決定同時使用 SCIM 和 SSO,重要的分別在於:

  • SCIM 只會佈建邀請

  • SSO 負責驗證和建立用戶

我們認為 SCIM 是整體用戶管理中最穩健且最具擴展性的解決方案。視乎您的理想實作方式而定,如果您同時部署 ChatGPT 和 API Platform,我們通常建議採用以下架構作為最佳實踐:

IdP setup diagram comparing one shared SAML app versus separate SCIM apps for ChatGPT and API Platform users

透過此設定,您可輕鬆分別管理邀請以及存取權(ChatGPT 和 API Platform)。此設定的另一項好處是,您的管理團隊可直接在 IdP 中集中執行任何必要變更。

如果您要在多個應用程式之間實作 SCIM(即 ChatGPT、API Platform 或其他帳戶),您的 SCIM 應用程式應各自獨立。即使目標用戶群完全相同,我們也強烈建議每個 SCIM 實作都應在您的 IdP 中對應至獨立的應用程式。

如果您未符合此要求,可能會造成不一致問題,最終導致成員資格無效。

從 ChatGPT 或 API Platform 直接邀請

管理員可從相應的 ChatGPTPlatform「成員」頁面,透過電郵直接邀請用戶。在 ChatGPT 中,此方法亦支援透過上載 CSV 進行批量邀請:

Workspace invite modal with CSV upload, email entry, and Resend emails for existing invites selected

雖然通常不太具擴展性,但在您開始使用新的工作區/組織時,我們通常建議使用直接邀請。與 SCIM 不同,邀請送達用戶收件箱不會有潛在延遲,因此這是提供快速存取權、修改權限和進行一般測試的最有效選項。

此外,您日後仍可隨時啟用 SCIM,並將現有用戶歸入 SCIM 應用程式下。因此,除非您有意這樣做,否則無需擔心直接受邀用戶會被排除在日後的自動化之外。

自動建立帳戶(AAC)

與其他選項不同,AAC 只可在 ChatGPT 的身分頁面使用,並且必須先啟用 SSO:

Automatic account creation setting for verified-domain users turned off

如上所示,AAC 可確保使用已驗證電郵網域註冊或登入的用戶,會自動加入您的 Enterprise 工作區。用戶不會收到邀請電郵,整個流程會完全自動化。這有利亦有弊。

如果您的政策是允許任何使用您已驗證網域的用戶自由存取,AAC 是很好的選項,可避免設定和管理 SCIM 應用程式所帶來的額外工作。

不過,如果您需要更嚴格、以審批為基礎的用戶存取方式,AAC 並不理想。

⚠️ 警告 ⚠️

請務必注意,啟用 AAC 實際上會強制將您網域下所有消費者(個人/Plus/Pro)用戶合併至您的 Enterprise 工作區。更多相關資訊可參閱下方的「處理現有用戶」一節。

請注意,在此情況下,即使用戶不是您的 IdP 存取群組成員,並且在強制 SSO 時無法成功存取工作區,他們仍會佔用您 Enterprise 帳戶中的一個席位。

因此,在大多數情況下,我們通常建議使用 SCIM 或直接邀請,而非 AAC。為協助避免潛在混淆,如果您計劃使用 SCIM,我們建議將 AAC 保持關閉。

API Platform 管理員邀請 Endpoint

我們的 API Platform 支援 Invites Endpoint,可讓您以程式方式邀請用戶加入您的 API 組織。

與 SCIM 相比,此 endpoint 的主要優點是可讓您指定受邀用戶應屬於哪些專案:

Image

這提供了額外的精細度和控制能力,而無需逐一手動直接邀請。

處理現有消費者用戶

我們將消費者用戶定義為使用個人、Plus 或 Pro 訂閱的用戶。常見情況是,在您簽訂 Enterprise 合約之前,已經有使用您已驗證網域的現有消費者用戶帳戶。由於驗證網域和啟用 SSO 可能會對這些消費者用戶造成下游影響,因此務必事先決定期望的結果。

對 ChatGPT 消費者用戶的影響

在 ChatGPT 方面,對消費者用戶的影響主要取決於兩個因素:

  1. 他們會獲邀加入 Enterprise 工作區嗎?

  2. 您會強制使用 SSO 嗎?

產生的行為如下:

有待處理邀請?強制 SSO?結果
消費者用戶帳戶將被強制合併至 Enterprise,且只能使用 SSO 登入。
消費者用戶帳戶將被強制合併至 Enterprise,用戶可透過 SSO 或社交登入進行驗證。
無影響:消費者用戶可繼續透過密碼或社交驗證存取其個人工作區。
無影響:消費者用戶可繼續透過密碼或社交驗證存取其個人工作區。

如果您的目標是最終防止任何消費者帳戶存在,請聯絡您的客戶總監討論可行選項。

帳戶合併

要觸發將消費者帳戶自動合併至 Enterprise 帳戶,須符合以下先決條件:

  1. 用戶的網域已通過驗證。

  2. 用戶已收到其網域已獲驗證的 Enterprise 工作區邀請。

    • 注意:如果你已啟用 AAC,任何使用你已驗證網域的用戶都會一律符合此條件。

符合這些條件後,用戶下次登入或重新整理 ChatGPT 時,應會看到以下模態視窗:

ChatGPT Enterprise invite flow with options to transfer chat history and GPTs or export and delete the old workspace

如圖中所示,我們會在合併前自動退還任何現有 Plus 或 Pro 訂閱費用。用戶可以選擇轉移其現有對話記錄和 GPTs,或者透過電郵匯出對話記錄,然後以「全新開始」方式使用其 Enterprise 工作區。

  • 注意:如果目標 Enterprise 或 Edu 工作區已啟用資料駐留,則無法轉移 Personal 工作區資料。用戶只能匯出其對話並刪除 Personal 工作區。詳情請參閱電郵邀請和帳戶遷移

消費者帳戶一經合併,便無法還原。如果你的用戶選擇了「轉移現有對話記錄和 GPTs」選項,但在其 Enterprise 工作區中未有看到相應內容,請聯絡支援團隊。

對 API Platform 消費者用戶的影響

由於 Platform 上的 SSO 仍以網域為基礎(不同於 ChatGPT,SSO 只針對已啟用該功能的特定工作區),因此只要您驗證網域並在任何組織啟用 SSO,您的消費者用戶便會受到影響。

消費者用戶將無法再使用密碼驗證,因為我們會識別網域相符並將他們轉送至您的 IdP。如果他們是您的 IdP 成員,便可成功驗證。或者,如果他們可使用社交 OAuth 選項,也可以用該方式登入。否則,實際上您會令他們無法登入自己的消費者帳戶。

如需更深入了解此工作流程,請參閱用戶登入流程一節。

建議的身分與佈建模式

既然我們已說明與身分驗證和邀請佈建相關的基本行為,接下來檢視一些 Enterprise 用戶常用的實作模式,或會有所幫助:

Comparison table of four Enterprise user management setups by provisioning, authentication, and user experience

用戶登入流程

我們已討論過待處理邀請和強制 SSO 的影響,因此本節旨在協助您視覺化用戶輸入電郵地址登入時,我們預期會執行的流程/檢查。

ChatGPT 登入流程

注意:此圖不包括透過社交方式或 Tile URL 的登入嘗試。

Flowchart of ChatGPT login paths for personal accounts, password sign-in, workspace picker, and SSO redirection

API Platform 登入流程

注意:此圖不包括透過社交方式或 Tile URL 的登入嘗試。

Flowchart for platform login and SSO outcomes based on verified domain and IdP access group membership

後續步驟

既然您已了解理想的實作方式,便可參考相應文件來啟用 SCIM 或 SSO:

這篇文章對你有幫助嗎?