Om een gebruiker toegang te geven tot een ChatGPT Enterprise- of Edu-werkruimte, moeten er twee dingen gebeuren:
De gebruiker moet in de werkruimte worden geprovisioned
De gebruiker moet de identiteit verifiëren bij OpenAI
Domeinverificatie
Voordat je aanvullende opties voor provisioning en authenticatie instelt, moet je op de pagina Identiteit en provisioning het eigendom van een of meer e-maildomeinen verifiëren. Hiermee wordt het e-maildomein gekoppeld aan je ChatGPT Enterprise-werkruimte. Meer informatie over domeinverificatie voor ChatGPT Enterprise en Edu.
Provisioning
Standaard provisionen eigenaren en beheerders van werkruimten gebruikers door ze uit te nodigen via de pagina Leden van de ChatGPT-werkruimte.
Om het provisioningproces te automatiseren, kunnen eigenaren van werkruimten de volgende opties configureren op de pagina Identiteit en provisioning:
Automatische accountaanmaak - geeft gebruikers automatisch toegang tot een werkruimte op basis van hun e-maildomein wanneer ze proberen in te loggen. Meer informatie over automatische accountaanmaak.
Directorysynchronisatie via SCIM - nodigt gebruikers automatisch uit voor de werkruimte op basis van hun lidmaatschap van opgegeven identiteitsprovidergroepen. Meer informatie over SCIM-provisioning.
Bepaal of door SCIM beheerde groepen vindbaar zijn in deelstromen zoals GPTs en projecten, zie: Veelgestelde vragen over SCIM-integratie.
Eigenaren van werkruimten kunnen optioneel uitnodigingen voor externe domeinen uitschakelen om nieuwe uitnodigingen te beperken tot gebruikers van wie het e-mailadres overeenkomt met geverifieerde domeinen. Deze beperking geldt alleen voor nieuwe uitnodigingen en blokkeert bestaande gebruikers of al verzonden uitnodigingen niet met terugwerkende kracht.
Opmerking: Deze functies zijn momenteel niet beschikbaar voor ChatGPT for Teachers-gebruikers.
E-mailuitnodigingen en accountmigraties
Wanneer een gebruiker wordt uitgenodigd voor je ChatGPT-werkruimte, handmatig of via SCIM-provisioning, stuurt OpenAI standaard een uitnodigingsmail (zie dit artikel voor gevallen waarin er geen e-mail wordt verzonden). Als de gebruiker een e-mailadres heeft dat overeenkomt met een geverifieerd domein, wordt de gebruiker automatisch toegevoegd aan de werkruimte, ongeacht of die de uitnodigingslink in de e-mail accepteert of inlogt via chatgpt.com
Als een uitgenodigde gebruiker met een e-mailadres dat overeenkomt met een geverifieerd domein al een bestaand ChatGPT-account heeft, wordt die bij het accepteren van de uitnodiging gevraagd het account naar de Enterprise-werkruimte te migreren. Gebruikers kunnen ervoor kiezen hun bestaande gegevens over te zetten naar de Enterprise-werkruimte, of hun gegevens te exporteren en te verwijderen. Betaalde persoonlijke abonnementen worden automatisch geannuleerd als onderdeel van het migratieproces.
Opmerking: Wanneer een gebruiker zijn persoonlijke werkruimte overdraagt naar een ChatGPT Enterprise- of Edu-werkruimte, worden persoonlijke GPT's die al waren gedeeld of gepubliceerd, waaronder GPT's die via een link zijn gedeeld, omgezet in voor de werkruimte zichtbare GPT's in de doelwerkruimte. GPT's die vóór de overdracht privé waren, blijven privé. Eigenaren van werkruimten kunnen na de migratie de zichtbaarheid van overgedragen GPT's controleren en bijwerken.
Als een uitgenodigde gebruiker een bestaand ChatGPT-account heeft dat is gekoppeld aan een e-mailadres dat niet overeenkomt met een geverifieerd domein, wordt die niet gevraagd het account te migreren en kan die zowel het persoonlijke account als de toegang tot de Enterprise-werkruimte behouden.
Workflow voor accountmigratie die aan gebruikers wordt getoond in de ChatGPT Enterprise-UI.
Opmerking: Voor ChatGPT Business-abonnementen die upgraden naar een Enterprise-abonnement:
Gebruikers die tot de ChatGPT Business-werkruimte behoren, worden niet gevraagd hun Business-werkruimte naar de Enterprise-werkruimte te migreren, maar wel hun persoonlijke werkruimte.
Authenticatie
Standaard authenticeren gebruikers zich bij OpenAI met een e-mailadres en wachtwoord, of via sociale login (Google, Microsoft of Apple).
Om het authenticatieproces verder te beveiligen, kunnen eigenaren van werkruimten de volgende Single Sign-On (SSO) configureren op de pagina Identiteit en provisioning:
SSO inschakelen - Gebruikers die in de werkruimte zijn geprovisioned en een e-mailadres hebben dat is gekoppeld aan een geverifieerd domein, kunnen zich authenticeren via de geïntegreerde identiteitsprovider (IdP). Wanneer SSO is ingeschakeld maar niet wordt afgedwongen, kunnen gebruikers er nog steeds voor kiezen zich te authenticeren met hun gebruikersnaam en wachtwoord of met sociale login via Google, Microsoft en Apple.
SSO afdwingen - Heeft als bijkomend effect dat sociale login wordt uitgeschakeld voor gebruikers die in de werkruimte zijn geprovisioned en een e-mailadres hebben dat is gekoppeld aan een geverifieerd domein.
Het inschakelen of afdwingen van SSO op zichzelf heeft geen invloed op de ervaring van de volgende typen gebruikers:
ChatGPT-gebruikers met een e-mailadres dat overeenkomt met een geverifieerd domein en die niet in de werkruimte zijn geprovisioned. Deze gebruikers kunnen toegang blijven houden tot hun persoonlijke ChatGPT-accounts nadat SSO is geconfigureerd.
ChatGPT-gebruikers met een e-maildomein dat niet overeenkomt met een geverifieerd e-maildomein, maar die wel in de werkruimte zijn geprovisioned. Deze gebruikers kunnen toegang blijven houden tot de ChatGPT Enterprise-werkruimte via op wachtwoord gebaseerde methoden of sociale login.
SSO configureren voor OpenAI-producten
Je ChatGPT Enterprise-werkruimte en OpenAI API Platform-organisaties delen één SSO-verbinding met je IdP. Daardoor worden domeinverificaties en SAML SSO-instellingen gedeeld tussen producten. Als je SSO al hebt geconfigureerd in je API Platform-organisatie, worden geverifieerde domeinen en SAML SSO-instellingen vooraf ingevuld in ChatGPT. Het omgekeerde geldt ook.
SSO moet afzonderlijk worden ingeschakeld voor ChatGPT en het API Platform. Maar zodra je het op één plek hebt geconfigureerd, bestaat de ‘installatie’ voor de andere grotendeels uit het omzetten van de schakelaar en, indien gewenst, het toevoegen van een bladwijzer-app in je IdP.
| API Platform SSO ingeschakeld | API Platform SSO uitgeschakeld | |
|---|---|---|
| ChatGPT SSO ingeschakeld | ✅ | ✅ |
| ChatGPT SSO uitgeschakeld | ✅ | ✅ |
Aanbevolen patronen voor identiteit en provisioning
ChatGPT Enterprise geeft je de flexibiliteit om opties voor identiteit en provisioning te combineren. De meest voorkomende patronen worden ter referentie vermeld.
| Provisioning | Authenticatie | Gebruikerservaring | |
|---|---|---|---|
| Opt-in-toegang Elke gebruiker die zich authenticeert met een e-mailadres dat is gekoppeld aan een geverifieerd domein, wordt automatisch geprovisioned in je werkruimte. | Automatische accountaanmaak | Wachtwoord of sociale login | Bij het registreren voor of inloggen op een persoonlijk account worden gebruikers gevraagd hun persoonlijke account naar de Enterprise-werkruimte te migreren. |
| SSO met handmatige uitnodigingen Gebruikers die handmatig worden uitgenodigd voor de werkruimte, kunnen zich met SSO authenticeren. | Handmatig | SSO ingeschakeld of afgedwongen | Gebruikers kunnen zich blijven registreren voor of inloggen op hun persoonlijke accounts. Nadat ze zijn uitgenodigd voor de Enterprise-werkruimte, worden gebruikers gevraagd hun bestaande persoonlijke account te migreren. |
| SSO met automatische accountaanmaak Elke gebruiker die zich authenticeert met een e-mailadres dat is gekoppeld aan een geverifieerd domein, wordt automatisch geprovisioned in je werkruimte en kan zich vervolgens met SSO authenticeren. | Automatische accountaanmaak | SSO ingeschakeld of afgedwongen | Bij het registreren voor of inloggen op hun persoonlijke account worden gebruikers gevraagd hun persoonlijke account naar de Enterprise-werkruimte te migreren. Opmerking: gebruikers die zich niet via de IdP kunnen authenticeren, kunnen niet inloggen op ChatGPT nadat ze naar de Enterprise-werkruimte zijn gemigreerd. |
| SSO met SCIM Gebruikers die lid zijn van een opgegeven IdP-groep, worden automatisch uitgenodigd voor de werkruimte en kunnen zich vervolgens met SSO authenticeren. | SCIM | SSO ingeschakeld of afgedwongen | Gebruikers kunnen zich blijven registreren voor of inloggen op persoonlijke accounts. Wanneer gebruikers aan de opgegeven IdP-groepen worden toegevoegd, ontvangen ze een uitnodigingsmail en worden ze gevraagd hun bestaande persoonlijke account te migreren. |