請審閱我們的 「SSO 概觀」頁面,以熟悉本文件中討論的主要概念。
在驗證你的網域之前,請務必先考量幾個不同的問題:
你想要如何為新使用者部署邀請?
你希望如何處理現有的消費者(個人/Plus/Pro)使用者?
您希望使用者登入流程呈現什麼樣貌?
我們會逐一深入探討這些問題,協助確保你選擇最符合自己需求的選項。
邀請新用戶
我們目前提供四種不同的方法,可為使用者部署邀請:
值得注意的是,我們會區分主動寄出邀請電子郵件的情況,以及邀請在我們的後端以靜默方式與使用者的電子郵件建立關聯的情況。邀請電子郵件會在以下情況主動傳送:
首次透過 SCIM 邀請新使用者
使用者會直接從 ChatGPT 或 API 平台收到邀請。
邀請會在下列情況下自動關聯:
SCIM 使用者已從您的 IdP 群組中移除,然後又重新新增。
啟用自動建立帳戶。
在後一種情況下,使用者不會在收件匣中看到邀請,但當他們嘗試登入時,仍會被正確導向對應的工作區/組織。
SCIM
SCIM 在 ChatGPT 和 API 平台 均可使用。SCIM 允許身分驗證提供者 (如Okta、Entra ID 等)與 OpenAI 交換使用者身分資料,根據組織變更自動化處理邀請的佈建(以及使用者帳戶的撤銷佈建)。
雖然 SCIM 也是透過你的 IdP 設定,但可獨立於 SSO 進行設定。因此,網域驗證/SSO 並非 SCIM 的必要條件。
如果你決定同時使用 SCIM 與 SSO,需要釐清的重要區別是:
SCIM 只會部署邀請
SSO 負責處理身份驗證和使用者建立
我們認為 SCIM 是整體使用者管理最穩健且最具擴充性的解決方案。視您的理想實作方式而定,如果您要同時跨 ChatGPT 和 API 平台部署,我們通常建議採用以下架構作為最佳做法:
透過這項設定,你可以輕鬆分別管理邀請和(ChatGPT 和 API 平台的)存取權。此設定的額外好處是,你的管理團隊可以直接在你的 IdP 中集中執行任何必要變更。
如果你正在跨多個應用程式實施 SCIM(即:ChatGPT、API 平台與其他帳戶),您的 SCIM 應用程式應該是唯一的。即使你的目標使用者群相同,也強烈建議每個 SCIM 實作都應參照你 IDP 中的專屬應用程式。
如果你未符合此要求,可能會導致不一致的問題,最終導致成員資格無效。
來自 ChatGPT 或 API 平台的直接邀請
管理員可直接從 ChatGPT 和 Platform 各自的「成員」頁面,透過電子郵件邀請使用者。在 ChatGPT 中,此方法也支援透過上傳的 CSV 檔案進行批次邀請:
雖然這通常不具擴充性,但在剛開始使用新的工作區或組織時,我們通常建議使用直接邀請。有別於 SCIM,邀請送達使用者收件匣時不會有潛在延遲,因此這是提供快速存取、修改權限及一般測試的最有效選項。
此外,你隨時可以啟用 SCIM,並將現有使用者歸類至 SCIM 應用程式中。因此,不必擔心直接受邀的使用者會被排除在未來的自動化作業之外,除非您希望如此。
自動帳戶建立(AAC)
與其他選項不同,AAC 僅可在 ChatGPT 的 Identity 頁面中使用,且需要先啟用單一登入(SSO):
如上所示,AAC 可確保使用已驗證電子郵件網域註冊或登入的使用者將自動新增至你的 Enterprise 工作區。使用者不會收到電子郵件邀請,而且此流程完全自動化。這有其優缺點。
如果你的政策是允許任何擁有你已驗證網域的使用者開放存取,AAC 是很好的選項,可避免配置和管理 SCIM 應用程式所帶來的額外負擔。
不過,如果需要採取更嚴格控管、以核准為基礎的使用者存取方式,AAC 並非理想選擇。
⚠️ 警告 ⚠️
請記住,啟用 AAC 實際上會強制將您網域底下所有消費版(個人/Plus/Pro)使用者合併至您的 Enterprise 工作區。如需更多相關資訊,請參閱下方的「處理現有使用者」章節。請注意,在此情境中,即使使用者不是您 IdP 存取群組的成員,且在強制使用 SSO 時無法成功存取工作區,他們仍會佔用您 Enterprise 帳戶中的席位。
因此,在大多數情況下,我們通常建議使用 SCIM 或直接邀請,而不是 AAC。此外,為了協助避免可能造成混淆的情況,如果你確實打算使用 SCIM,我們建議讓 AAC 保持關閉。
API 平台管理員邀請端點
我們的 API 平台支援 邀請端點,可讓您以程式設計方式邀請使用者加入您的 API 組織。
相較於 SCIM,此端點的主要優點在於,它可讓你指定受邀使用者應隸屬的一或多個專案:
這可提供額外一層精細度與控制能力,無需手動逐一傳送直接邀請。
既有消費者使用者的處理方式
我們將消費者使用者定義為使用個人、Plus 或 Pro 訂閱方案的使用者。通常會出現這種情況:已有一些使用你已驗證網域的現有消費者使用者,他們在你的企業合約簽訂之前就已經擁有帳戶。由於驗證您的網域並啟用 SSO 可能會對這些消費者使用者產生後續影響,因此務必事先決定您希望達成的結果。
對 ChatGPT 一般使用者的影響
在 ChatGPT 方面,對消費者的影響主要取決於兩項因素:
他們會受邀加入 Enterprise 工作區嗎?
你會強制使用單一登入(SSO)嗎?
產生的行為如下所示:
| 待處理邀請? | 是否已強制使用 SSO? | 成果 |
|---|---|---|
| 是 | 是 | Consumer 使用者帳戶將被強制合併至 Enterprise,且只能使用單一登入(SSO)進行登入。 |
| 是 | 否 | 個人使用者帳戶將被強制合併至 Enterprise,且使用者可以使用單一登入 (SSO) 或社群登入進行驗證。 |
| 否 | 是 | 無影響:消費者仍可透過密碼驗證或社群驗證訪問其個人工作區。 |
| 否 | 否 | 無影響:消費者仍可透過密碼驗證或社群驗證訪問其個人工作區。 |
如果你的最終目標是防止任何消費者帳戶,請聯絡你的帳戶主管,討論潛在選項。
帳戶合併
觸發將消費者帳戶自動合併至 Enterprise 帳戶的先決條件如下:
使用者的網域已驗證。
使用者已收到其網域已驗證的 Enterprise 工作區邀請。
注意:如果你已啟用 AAC,對於任何擁有你已驗證網域的使用者,此條件一律會成立。
當這些條件符合時,使用者下次登入或重新整理 ChatGPT 時,應會看到以下模態視窗:
如圖片所示,我們會在合併前,自動為所有現有的 Plus 或 Pro 訂閱辦理退費。使用者可以選擇轉移其現有的聊天歷程紀錄和 GPT,或透過電子郵件匯出其聊天歷程紀錄,並以「全新開始」的方式開始使用其 Enterprise 工作區。
一旦消費者帳戶完成合併,就無法還原。如果你的使用者選擇了「轉移現有聊天記錄和 GPT」選項,但未在其 Enterprise 工作區中看到相應結果,請聯絡支援團隊。
對 API 平台使用者的影響
由於平台上的 SSO 仍然是基於網域的(相較於 ChatGPT,其 SSO 是針對已啟用此功能的特定工作區),因此,只要你驗證網域並在任何組織上啟用 SSO,你的消費者使用者就會立即受到影響。由於我們會識別網域是否相符,並將他們重新導向至您的 IdP,因此消費者用戶將無法再使用密碼進行驗證。如果他們是您的 IdP 成員,就可以成功完成驗證。或者,如果他們可以使用社交 OAuth 認證選項,也可以透過該選項登入。如果沒有,那麼你實際上就等於讓他們無法存取自己的消費者帳戶。。請參閱 使用者登入流程 一節,以取得此工作流程更深入的指南。
建議的身分與佈建模式
現在我們已經說明了與身分驗證和邀請部署相關的基本行為,接下來不妨回顧一些企業使用者可用的較常見實作模式:
使用者登入流程
我們已經討論過待處理邀請和強制執行 SSO 的影響,因此本節旨在協助視覺化呈現當使用者輸入電子郵件地址以登入時,我們預期會執行的流程/檢查。
ChatGPT 登入流程
注意:此圖不包含透過社交方式或 Tile URL 進行的登入嘗試。
API 平台登入流程
注意:此圖不包含透過社交方式或 Tile URL 進行的登入嘗試。
下一步驟
現在你已經對自己的理想實施方案有了概念,你可以依照各自對應的說明文件來啟用 SCIM 或 SSO: