Veuillez consulter notre page « Présentation du SSO » afin de vous familiariser avec les concepts clés abordés dans ce document.
Avant de vérifier vos domaines, il est important de vous poser quelques questions :
Comment souhaitez-vous provisionner les invitations pour les nouveaux utilisateurs ?
Comment souhaitez-vous gérer les utilisateurs grand public existants (personnels, Plus, Pro) ?
Quel type de flux de connexion souhaitez-vous pour vos utilisateurs ?
Nous examinerons chacune de ces questions plus en détail afin de vous aider à choisir l’option qui répond le mieux à vos besoins.
Invitation de nouveaux utilisateurs
Nous proposons actuellement quatre méthodes différentes pour provisionner des invitations aux utilisateurs :
Il convient de noter que nous faisons bien la distinction entre les cas où les e-mails d’invitation sont effectivement envoyés :
Un nouvel utilisateur est invité pour la première fois via SCIM.
OU invitations directes depuis l’application
Et les cas où une invitation est associée silencieusement à l’adresse e-mail d’un utilisateur dans notre système back-end :
Un utilisateur SCIM a été retiré de votre groupe IdP, puis rajouté.
Création automatique de compte
Dans ce dernier cas, les utilisateurs ne verront pas les invitations dans leur boîte de réception, mais ils seront tout de même correctement redirigés vers l’espace de travail ou l’organisation qui correspond lorsqu’ils tenteront de se connecter.
SCIM
Le SCIM est disponible à la fois dans ChatGPT et dans la plateforme d’API. SCIM permet aux fournisseurs d’identité (p. ex., Okta, Entra ID, etc.) d’échanger des données d’identité utilisateur avec OpenAI, automatisant ainsi le provisionnement des invitations (et le déprovisionnement des comptes utilisateurs) en fonction des changements organisationnels.
Bien que SCIM soit également configuré via votre IdP, il peut être configuré indépendamment du SSO. Par conséquent, la vérification de domaine et le SSO ne sont pas des prérequis pour SCIM.
Si vous décidez d’utiliser à la fois SCIM et SSO, la distinction importante à faire est la suivante :
Le SCIM provisionne uniquement des invitations
Le SSO gère l’authentification et la création d’utilisateurs
Nous considérons le SCIM comme la solution la plus fiable et évolutive pour la gestion globale des utilisateurs. Selon la mise en œuvre que vous souhaitez, nous recommandons généralement l’architecture suivante comme bonne pratique si vous effectuez un déploiement à la fois sur ChatGPT et sur la plateforme d’API :
Avec cette configuration, vous pouvez facilement gérer séparément les invitations et les accès (à ChatGPT et à la plateforme d’API). Cette configuration présente l’avantage supplémentaire de permettre à vos équipes d’administration d’effectuer de manière centralisée toutes les modifications nécessaires directement dans votre IdP.
Si vous mettez en œuvre le SCIM dans plusieurs applications (c.-à-d. ChatGPT, plateforme d’API ou autres comptes), vos applications SCIM doivent être uniques. Même si votre base d’utilisateurs cible est identique, il est fortement recommandé que chaque mise en œuvre SCIM fasse référence à une application unique dans votre IdP.
Le non-respect de cette exigence peut entraîner des problèmes d’incohérence qui aboutissent finalement à des adhésions non valides.
Invitations directes depuis ChatGPT ou la plateforme d’API
Les administrateurs peuvent inviter directement des utilisateurs par e-mail depuis les pages « Membres » respectives de ChatGPT et de la plateforme. Dans ChatGPT, cette méthode prend également en charge les invitations groupées via un fichier CSV importé :
Même si cette méthode n’est généralement pas évolutive, nous recommandons souvent d’utiliser des invitations directes lorsque vous débutez dans un nouvel espace de travail ou une nouvelle organisation. Contrairement au SCIM, il n’y a aucun risque de délai dans l’arrivée des invitations dans les boîtes de réception des utilisateurs ; c’est donc l’option la plus efficace pour accorder un accès rapide, modifier les autorisations et effectuer des tests généraux.
Par ailleurs, vous pouvez toujours activer SCIM ultérieurement et rattacher vos utilisateurs existants à l’application SCIM. Il n’y a donc aucune crainte que les utilisateurs invités directement soient exclus des automatisations futures, sauf si cela est souhaité.
Création automatique de compte (AAC)
Contrairement aux autres options, AAC est uniquement disponible sur la page Identité de ChatGPT et requiert l’activation préalable du SSO :
Comme indiqué ci-dessus, l’AAC garantit que les utilisateurs qui s’inscrivent ou se connectent avec un domaine de messagerie vérifié seront automatiquement ajoutés à votre espace de travail Enterprise. Les utilisateurs ne recevront pas d’e-mail d’invitation, et le processus est entièrement automatisé. Cela a ses avantages et ses inconvénients.
Si votre politique consiste à autoriser un accès ouvert à tout utilisateur associé à votre domaine vérifié, l’AAC est une excellente option qui évite la charge supplémentaire liée à la configuration et à la gestion d’une application SCIM.
Toutefois, l’AAC n’est pas idéale si vous avez besoin d’une approche de l’accès utilisateur davantage verrouillée et basée sur l’approbation.
⚠️ AVERTISSEMENT ⚠️
Il est important de garder à l’esprit que l’activation de l’AAC forcera effectivement la fusion de tous les utilisateurs consommateurs (personnels/Plus/Pro) associés à votre domaine dans votre espace de travail Enterprise. Vous trouverez plus d’informations à ce sujet ci-dessous, dans la section « Gestion des utilisateurs existants ».
Notez que, même si les utilisateurs ne sont pas membres de votre groupe d’accès IdP et ne peuvent pas accéder à l’espace de travail si le SSO est imposé, ils utilisent tout de même une licence de votre compte Enterprise dans ce scénario.
Pour cette raison, nous recommandons généralement d’utiliser SCIM ou des invitations directes dans la plupart des cas, plutôt qu’AAC. Et afin d’éviter toute source potentielle de confusion, nous recommandons de laisser AAC désactivé si vous prévoyez bien d’utiliser SCIM.
Endpoint Invitations admin de la plateforme d’API
Notre plateforme d’API prend en charge un endpoint Invitations, qui vous permet d’inviter des utilisateurs à rejoindre votre organisation API par programmation.
Par rapport au SCIM, le principal avantage de ce endpoint est qu’il vous permet de préciser le ou les projets dont l’utilisateur invité doit faire partie :
Cela apporte un niveau supplémentaire de granularité et de contrôle, sans nécessiter l’envoi manuel d’invitations directes individuelles.
Gestion des utilisateurs consommateurs existants
Nous définissons les utilisateurs consommateurs comme étant ceux ayant un abonnement personnel, Plus ou Pro. Il arrive souvent que des utilisateurs consommateurs existants avec votre domaine vérifié aient déjà eu des comptes avant votre contrat Enterprise. Comme la vérification de votre domaine et l’activation du SSO peuvent avoir un impact en aval sur ces utilisateurs consommateurs, il est essentiel de déterminer au préalable le résultat souhaité.
Impact sur les utilisateurs consommateurs de ChatGPT
Pour ce qui est de ChatGPT, l’impact pour les utilisateurs consommateurs est en grande partie déterminé par deux facteurs :
Seront-ils invités à rejoindre l’espace de travail Enterprise ?
Si AAC est activé, la valeur par défaut est « Oui »
Allez-vous imposer le SSO ?
Le comportement qui en résulte est visible ci-dessous :
| Invitation en attente ? | Le SSO est-il imposé ? | Résultat |
| ✅ | ✅ | Les comptes d’utilisateur consommateur devront obligatoirement être fusionnés avec Enterprise et ne pourront se connecter qu’avec le SSO |
| ✅ | ❌ | Les comptes d’utilisateur consommateur devront obligatoirement être fusionnés avec Enterprise. Les utilisateurs peuvent s’authentifier avec le SSO ou via un réseau social |
| ❌ | ✅ | Aucun impact : les utilisateurs consommateurs conservent l’accès à leurs espaces de travail personnels via l’authentification par mot de passe ou via un réseau social |
| ❌ | ❌ | Aucun impact : les utilisateurs consommateurs conservent l’accès à leurs espaces de travail personnels via l’authentification par mot de passe ou via un réseau social |
Si votre objectif est, à terme, d’empêcher tout compte consommateur, veuillez contacter votre directeur de compte pour discuter des options possibles.
Fusion de compte
Les conditions préalables pour déclencher la fusion automatique du compte consommateur dans un compte Enterprise sont les suivantes :
Le domaine de l’utilisateur est vérifié
L’utilisateur a reçu une invitation à rejoindre l’espace de travail Enterprise où son domaine est vérifié
⚠️ N’oubliez pas que si l’AAC est activé, cette condition sera toujours vraie pour tout utilisateur associé à votre domaine vérifié.
Lorsque ces conditions sont remplies, la prochaine fois que l’utilisateur se connectera à ChatGPT ou l’actualisera, il devrait voir la fenêtre modale suivante :
Comme le souligne l’image, nous rembourserons automatiquement tout abonnement Plus ou Pro existant avant la fusion. Les utilisateurs auront la possibilité de transférer leur historique de conversation et leurs requêtes GPT existantes, ou bien d’exporter leur historique de conversation par e-mail et de démarrer leur espace de travail Enterprise d’un état vierge.
Une fois le compte consommateur fusionné, il est impossible de le restaurer. Si vos utilisateurs ont choisi l’option « Transférer l’historique de conversation et les requêtes GPT existantes », mais que ce changement n’apparaît pas dans leur espace de travail Enterprise, veuillez contacter le service d’assistance.
Impact sur les utilisateurs consommateurs de la plateforme d’API
Comme le SSO sur la plateforme est encore basé sur le domaine (contrairement à ChatGPT, où le SSO est propre à l’espace de travail sur lequel il a été activé), vos utilisateurs consommateurs seront affectés dès que vous aurez vérifié votre domaine et activé le SSO pour n’importe quelle organisation.
Les utilisateurs consommateurs perdront la possibilité de s’authentifier avec des mots de passe, car nous identifions la correspondance de domaine et les redirigeons vers votre IdP. S’ils sont membres de votre IdP, ils peuvent s’authentifier avec succès. Ils peuvent également se connecter avec une option d’authentification OAuth par réseau social si celle-ci est disponible. Si ce n’est pas le cas, vous leur avez effectivement bloqué l’accès à leurs comptes consommateurs.
Consultez les processus de la section Connexion utilisateur pour un guide plus détaillé de ce workflow.
Modèles recommandés d’identité et de provisionnement
Maintenant que nous avons présenté le comportement fondamental lié à l’authentification de l’identité et au provisionnement des invitations, il peut être utile de passer en revue certains des modèles de mise en œuvre les plus courants disponibles pour les utilisateurs Enterprise :
Processus de connexion de l’utilisateur
Nous avons déjà abordé l’impact des invitations en attente et de l’imposition du SSO. Cette section vise donc à aider à visualiser le processus et les contrôles attendus que nous exécutons lorsqu’un utilisateur saisit son adresse e-mail pour se connecter.
Processus de connexion à ChatGPT
Remarque : ce diagramme exclut les tentatives de connexion via une méthode par réseau social ou via une URL de vignette.
Processus de connexion à la plateforme d’API
Remarque : ce diagramme exclut les tentatives de connexion via une méthode par réseau social ou via une URL de vignette.
Étapes suivantes
Maintenant que vous avez une idée de votre mise en œuvre idéale, vous pouvez suivre la documentation correspondante pour activer le SCIM ou le SSO :