請先參閱我哋嘅 「SSO 概覽」頁面,先熟悉本文會討論嘅主要概念。
喺驗證你嘅網域之前,建議先考慮以下幾個問題:
你想用咩方式向新用戶配置邀請?
你想點樣處理現有嘅消費者(個人/Plus/Pro)用戶?
你希望用戶登入流程係點樣?
我哋會更詳細逐一講解以上問題,幫你確保揀選最切合需要嘅方案。
邀請新用戶
目前我哋提供四種唔同方法,為用戶配置邀請:
值得注意嘅係,我哋會區分以下情況:邀請電郵會被主動發送:
新用戶第一次透過 SCIM 被邀請
或者透過應用程式內直接邀請
以及以下情況:邀請會喺我哋後端靜默地同用戶電郵地址關聯:
SCIM 用戶從你嘅 IdP 群組中被移除後再加入
自動建立帳戶
喺後者情況,用戶唔會喺收件匣見到邀請,但當佢哋嘗試登入時,系統仍會正確將佢哋導向相應嘅工作區/組織。
SCIM
SCIM 喺 ChatGPT 同 API Platform 都可用。SCIM 讓身分供應商(例如 Okta、Entra ID 等)可同 OpenAI 交換用戶身分資料,按組織變更自動配置邀請(以及取消配置用戶帳戶)。
雖然 SCIM 同樣係透過你嘅 IdP 設定,但可以獨立於 SSO 進行設定。因此,網域驗證/SSO 並唔係 SCIM 嘅必要條件。
如果你決定同時使用 SCIM 同 SSO,重要分別係:
SCIM 只負責配置邀請
SSO 負責驗證同建立用戶
我哋認為 SCIM 係整體用戶管理中最穩健、最具擴展性嘅方案。如果你打算同時喺 ChatGPT 同 API Platform 部署,我哋一般會建議以下架構作為最佳實務:
透過呢個設定,你可以輕鬆分開管理邀請以及存取權(對 ChatGPT 同 API Platform)。呢個設定仲有一個額外好處,就係任何需要嘅變更都可以由你嘅管理團隊直接喺 IdP 中集中處理。
如果你正喺多個應用程式之間實施 SCIM(例如 ChatGPT、API Platform 或其他帳戶),你嘅 SCIM 應用程式應該各自獨立。即使目標用戶群完全相同,仍強烈建議每個 SCIM 實作喺你嘅 IdP 中都對應一個獨立應用程式。
如果唔符合呢項要求,可能會導致不一致問題,最終造成無效成員資格。
由 ChatGPT 或 API Platform 直接邀請
管理員可以喺相應嘅 ChatGPT 同 Platform 「Members」頁面,直接透過電郵邀請用戶。喺 ChatGPT 中,呢種方式亦支援透過上載 CSV 作大量邀請:
雖然通常唔算具擴展性,但當你啱啱開始使用新工作區/組織時,我哋經常建議使用直接邀請。唔同 SCIM,邀請送達用戶收件匣唔會有潛在延遲,所以呢個係提供快速存取、修改權限同一般測試最有效嘅選項。
另外,你之後隨時都可以啟用 SCIM,並將現有用戶歸入 SCIM 應用程式之下。所以,除非你有意為之,否則毋須擔心直接邀請嘅用戶會被排除喺未來自動化流程之外。
自動建立帳戶(AAC)
同其他選項唔同,AAC 只喺 ChatGPT 嘅 Identity 頁面提供,而且必須先啟用 SSO:
如上圖所示,AAC 可確保以已驗證電郵網域註冊或登入嘅用戶,會自動加入你嘅 Enterprise 工作區。用戶唔會收到邀請電郵,而且整個流程完全自動化。呢個做法有利亦有弊。
如果你嘅政策係容許任何擁有已驗證網域嘅用戶自由存取,AAC 係一個好選擇,因為可以避免設定同管理 SCIM 應用程式帶來嘅額外負擔。
不過,如果你需要對用戶存取採取更嚴格、需要審批嘅方式,AAC 就唔係理想選擇。
⚠️ 警告 ⚠️
請務必留意,啟用 AAC 會實際上強制將你網域下所有消費者(個人/Plus/Pro)用戶合併到你嘅 Enterprise 工作區。有關更多內容,可參閱下方「處理現有用戶」一節。
請注意,即使用戶唔係你 IdP 存取群組成員,並且喺強制執行 SSO 時無法成功存取工作區,喺呢種情況下,佢哋仍然會佔用你 Enterprise 帳戶中嘅席位。
基於以上原因,相比 AAC,我哋一般喺大多數情況下更建議使用 SCIM 或直接邀請。另外,為避免可能出現嘅混淆,如果你打算使用 SCIM,我哋建議將 AAC 保持關閉。
API Platform 管理員邀請端點
我哋嘅 API Platform 支援 Invites Endpoint,讓你可以透過程式方式邀請用戶加入你嘅 API 組織。
相比 SCIM,呢個端點嘅主要好處係你可以指定受邀用戶應屬於邊個或邊幾個專案:
咁樣可以提供額外一層細緻度同控制,同時毋須逐一手動直接邀請。
處理現有消費者用戶
我哋將消費者用戶定義為使用個人、Plus 或 Pro 訂閱嘅用戶。好多時,喺你簽訂 Enterprise 合約之前,已有使用你已驗證網域嘅消費者用戶持有帳戶。由於驗證網域同啟用 SSO 可能會對呢啲消費者用戶帶來後續影響,所以事先確定你想達到嘅結果係非常重要。
對 ChatGPT 消費者用戶嘅影響
喺 ChatGPT 一方,對消費者用戶嘅影響主要由兩個因素決定:
佢哋會唔會被邀請加入 Enterprise 工作區?
如果 AAC 已啟用,咁預設就係「會」
你會唔會強制執行 SSO?
產生嘅行為如下所示:
| 有待處理邀請? | 已強制 SSO? | 結果 |
| ✅ | ✅ | 消費者用戶帳戶會被強制合併到 Enterprise,而且只可透過 SSO 登入 |
| ✅ | ❌ | 消費者用戶帳戶會被強制合併到 Enterprise,用戶可透過 SSO 或社交登入驗證 |
| ❌ | ✅ | 冇影響:消費者用戶可繼續透過密碼或社交登入驗證存取其個人工作區 |
| ❌ | ❌ | 冇影響:消費者用戶可繼續透過密碼或社交登入驗證存取其個人工作區 |
如果你嘅目標係最終避免任何消費者帳戶,請聯絡你嘅客戶總監討論可能方案。
帳戶合併
要觸發將消費者帳戶自動合併到 Enterprise 帳戶,前提如下:
用戶嘅網域已驗證
用戶已收到加入其網域已驗證之 Enterprise 工作區嘅邀請
⚠️ 請留意,如果你已啟用 AAC,咁對任何使用你已驗證網域嘅用戶,呢個條件都會一直成立。
當符合以上條件後,用戶下次登入或重新整理 ChatGPT 時,應該會見到以下彈出視窗:
如圖片所示,我哋會喺合併前自動退還任何現有 Plus 或 Pro 訂閱費用。用戶可以選擇轉移現有聊天記錄同 GPTs,或者透過電郵匯出聊天記錄,再以「全新開始」方式使用佢哋嘅 Enterprise 工作區。
一旦消費者帳戶已合併,就冇辦法恢復。如果你嘅用戶選擇咗「轉移現有聊天記錄和 GPTs」選項,但喺 Enterprise 工作區未見到相關內容,請聯絡支援團隊。
對 API Platform 消費者用戶嘅影響
由於 Platform 上嘅 SSO 仍然係基於網域(相對於 ChatGPT,ChatGPT 嘅 SSO 係針對已啟用嘅特定工作區),所以你一旦喺任何組織驗證網域並啟用 SSO,你嘅消費者用戶就會受到影響。
消費者用戶將失去以密碼驗證嘅能力,因為我哋會識別到網域相符,並將佢哋轉送到你嘅 IdP。如果佢哋係你 IdP 成員,就可以成功驗證。否則,如果佢哋可以使用社交 Oauth 選項,亦可用該方式登入。如果唔得,咁你實際上就已經將佢哋鎖喺自己嘅消費者帳戶之外。
如需更深入了解呢個流程,請參閱用戶登入一節中嘅流程圖。
建議嘅身分與配置模式
依家我哋已經講清楚同身分驗證及邀請配置相關嘅基本行為,接住可能值得睇下 Enterprise 用戶較常見嘅幾種實作模式:
用戶登入流程
我哋之前已經講過待處理邀請同強制執行 SSO 嘅影響,所以呢一節旨在幫你更易想像,當用戶輸入電郵地址登入時,我哋預期會執行嘅流程/檢查。
ChatGPT 登入流程
注意:此圖並未包括透過社交方式或 Tile URL 嘅登入嘗試。
API Platform 登入流程
注意:此圖並未包括透過社交方式或 Tile URL 嘅登入嘗試。
下一步
依家你對理想實作方式已有概念,可以跟隨相應文件去啟用 SCIM 或 SSO: