Aby użytkownik mógł uzyskać dostęp do przestrzeni roboczej ChatGPT Enterprise lub Edu, muszą wydarzyć się dwie rzeczy:
Użytkownik musi zostać aprowizowany w przestrzeni roboczej
Użytkownik musi uwierzytelnić swoją tożsamość w OpenAI
Weryfikacja domeny
Przed skonfigurowaniem dodatkowych opcji aprowizacji i uwierzytelniania musisz zweryfikować własność co najmniej jednej domeny e-mail na stronie Tożsamość i aprowizacja. Powoduje to powiązanie domeny e-mail z Twoją przestrzenią roboczą ChatGPT Enterprise. Dowiedz się więcej o weryfikacji domen w ChatGPT Enterprise i Edu.
Aprowizacja
Domyślnie właściciele i administratorzy przestrzeni roboczej aprowizują użytkowników, zapraszając ich przez stronę Członkowie w przestrzeni roboczej ChatGPT.
Aby zautomatyzować proces aprowizacji, właściciele przestrzeni roboczej mogą skonfigurować następujące opcje na stronie Tożsamość i aprowizacja:
Automatyczne tworzenie kont — automatycznie przyznaje użytkownikom dostęp do przestrzeni roboczej na podstawie ich domeny e-mail, gdy próbują się zalogować. Dowiedz się więcej o automatycznym tworzeniu kont.
Synchronizacja katalogu przez SCIM — automatycznie zaprasza użytkowników do przestrzeni roboczej na podstawie ich członkostwa w określonych grupach dostawcy tożsamości. Dowiedz się więcej o aprowizacji SCIM.
Kontroluj, czy grupy zarządzane przez SCIM są wykrywalne w procesach udostępniania, takich jak GPT i projekty; zobacz: FAQ dotyczące integracji SCIM.
Właściciele przestrzeni roboczej mogą opcjonalnie wyłączyć zaproszenia z domen zewnętrznych, aby ograniczyć nowe zaproszenia do użytkowników, których adresy e-mail są zgodne ze zweryfikowanymi domenami. To ograniczenie dotyczy tylko nowych zaproszeń i nie blokuje wstecznie istniejących użytkowników ani zaproszeń, które już wysłano.
Uwaga: Te funkcje nie są obecnie dostępne dla użytkowników ChatGPT for Teachers.
Zaproszenia e-mail i migracje kont
Gdy użytkownik zostanie zaproszony do Twojej przestrzeni roboczej ChatGPT, ręcznie lub przez aprowizację SCIM, OpenAI domyślnie wyśle mu wiadomość e-mail z zaproszeniem (zobacz ten artykuł, aby poznać przypadki, w których wiadomość e-mail nie zostanie wysłana). Jeśli użytkownik ma adres e-mail zgodny ze zweryfikowaną domeną, zostanie automatycznie dodany do przestrzeni roboczej niezależnie od tego, czy zaakceptuje link z zaproszeniem w wiadomości e-mail, czy zaloguje się przez chatgpt.com
Jeśli zaproszony użytkownik z adresem e-mail zgodnym ze zweryfikowaną domeną ma już konto ChatGPT, po zaakceptowaniu zaproszenia zostanie poproszony o migrację konta do przestrzeni roboczej Enterprise. Użytkownicy mogą wybrać przeniesienie swoich istniejących danych do przestrzeni roboczej Enterprise albo wyeksportowanie i usunięcie swoich danych. Płatne subskrypcje osobiste są automatycznie anulowane w ramach procesu migracji.
Uwaga: Gdy użytkownik przenosi swoją osobistą przestrzeń roboczą do przestrzeni roboczej ChatGPT Enterprise lub Edu, osobiste GPT, które były już udostępnione lub opublikowane, w tym GPT udostępnione za pomocą linku, są przekształcane w GPT widoczne w przestrzeni roboczej docelowej. GPT, które przed przeniesieniem były prywatne, pozostają prywatne. Właściciele przestrzeni roboczej mogą po migracji sprawdzić i zaktualizować widoczność przeniesionych GPT.
Jeśli zaproszony użytkownik ma istniejące konto ChatGPT powiązane z adresem e-mail, który nie jest zgodny ze zweryfikowaną domeną, nie zostanie poproszony o migrację konta i może zachować zarówno swoje konto osobiste, jak i dostęp do przestrzeni roboczej Enterprise.
Proces migracji konta wyświetlany użytkownikom w interfejsie ChatGPT Enterprise.
Uwaga: W przypadku planów ChatGPT Business przechodzących na plan Enterprise:
Użytkownicy należący do przestrzeni roboczej ChatGPT Business nie otrzymają prośby o migrację swojej przestrzeni roboczej Business do przestrzeni roboczej Enterprise, ale otrzymają prośbę o migrację swojej osobistej przestrzeni roboczej.
Uwierzytelnianie
Domyślnie użytkownicy uwierzytelniają się w OpenAI za pomocą adresu e-mail i hasła albo logowania społecznościowego (Google, Microsoft lub Apple).
Aby dodatkowo zabezpieczyć proces uwierzytelniania, właściciele przestrzeni roboczej mogą skonfigurować następujące logowanie jednokrotne (SSO) na stronie Tożsamość i aprowizacja:
Włącz SSO — użytkownicy aprowizowani w przestrzeni roboczej, którzy mają adres e-mail powiązany ze zweryfikowaną domeną, mogą uwierzytelniać się za pomocą zintegrowanego dostawcy tożsamości (IdP). Gdy SSO jest włączone, ale nie jest wymuszane, użytkownicy nadal mogą wybrać uwierzytelnianie przy użyciu nazwy użytkownika i hasła albo logowania społecznościowego przez Google, Microsoft lub Apple.
Wymuś SSO — dodatkowo wyłącza logowanie społecznościowe dla użytkowników aprowizowanych w przestrzeni roboczej, którzy mają adres e-mail powiązany ze zweryfikowaną domeną.
Samo włączenie lub wymuszenie SSO nie wpływa na doświadczenie następujących typów użytkowników:
Użytkownicy ChatGPT z adresem e-mail zgodnym ze zweryfikowaną domeną, którzy nie są aprowizowani w przestrzeni roboczej. Ci użytkownicy mogą nadal uzyskiwać dostęp do swoich osobistych kont ChatGPT po skonfigurowaniu SSO.
Użytkownicy ChatGPT z domeną e-mail, która nie jest zgodna ze zweryfikowaną domeną e-mail, ale którzy są aprowizowani w przestrzeni roboczej. Ci użytkownicy mogą nadal uzyskiwać dostęp do przestrzeni roboczej ChatGPT Enterprise za pomocą metod logowania opartych na haśle lub logowania społecznościowego.
Konfigurowanie logowania jednokrotnego w produktach OpenAI
Twoja przestrzeń robocza ChatGPT Enterprise i organizacje na platformie OpenAI API korzystają z jednego połączenia SSO z Twoim IdP. W rezultacie weryfikacje domen i ustawienia logowania jednokrotnego SAML są współdzielone między produktami. Jeśli masz już skonfigurowane SSO w swojej organizacji na platformie API, zweryfikowane domeny i ustawienia SSO SAML zostaną wstępnie uzupełnione w ChatGPT. Działa to również w drugą stronę.
SSO trzeba włączyć osobno w ChatGPT i na platformie API. Jednak po skonfigurowaniu go w jednym miejscu „konfiguracja” w drugim sprowadza się w dużej mierze do przełączenia opcji i, w razie potrzeby, dodania aplikacji-zakładki w IdP.
| SSO na platformie API włączone | SSO na platformie API wyłączone | |
|---|---|---|
| SSO w ChatGPT włączone | ✅ | ✅ |
| SSO w ChatGPT wyłączone | ✅ | ✅ |
Zalecane wzorce tożsamości i aprowizacji
ChatGPT Enterprise daje elastyczność łączenia różnych opcji tożsamości i aprowizacji. Najczęstsze wzorce podano w celach informacyjnych.
| Aprowizacja | Uwierzytelnianie | Doświadczenie użytkownika | |
|---|---|---|---|
| Dostęp opcjonalny Każdy użytkownik, który uwierzytelni się za pomocą adresu e-mail powiązanego ze zweryfikowaną domeną, zostanie automatycznie aprowizowany w Twojej przestrzeni roboczej. | Automatyczne tworzenie kont | Hasło lub logowanie społecznościowe | Podczas rejestracji konta osobistego lub logowania się na nie użytkownicy zostaną poproszeni o migrację konta osobistego do przestrzeni roboczej Enterprise. |
| SSO z ręcznymi zaproszeniami Użytkownicy ręcznie zaproszeni do przestrzeni roboczej mogą uwierzytelniać się za pomocą SSO. | Ręcznie | SSO włączone lub wymuszane | Użytkownicy mogą nadal rejestrować konta osobiste lub logować się na nie. Po zaproszeniu do przestrzeni roboczej Enterprise użytkownicy zostaną poproszeni o migrację istniejącego konta osobistego. |
| SSO z automatycznym tworzeniem kont Każdy użytkownik, który uwierzytelni się za pomocą adresu e-mail powiązanego ze zweryfikowaną domeną, zostanie automatycznie aprowizowany w Twojej przestrzeni roboczej, a następnie będzie mógł uwierzytelniać się za pomocą SSO. | Automatyczne tworzenie kont | SSO włączone lub wymuszane | Podczas rejestracji konta osobistego lub logowania się na nie użytkownicy zostaną poproszeni o migrację konta osobistego do przestrzeni roboczej Enterprise. Uwaga: użytkownicy bez możliwości uwierzytelnienia się za pomocą IdP nie będą mogli zalogować się do ChatGPT po migracji do przestrzeni roboczej Enterprise. |
| SSO z SCIM Użytkownicy należący do określonej grupy IdP są automatycznie zapraszani do przestrzeni roboczej, a następnie mogą uwierzytelniać się za pomocą SSO. | SCIM | SSO włączone lub wymuszane | Użytkownicy mogą nadal rejestrować konta osobiste lub logować się na nie. Po dodaniu do określonych grup IdP użytkownicy otrzymują wiadomość e-mail z zaproszeniem i są proszeni o migrację istniejącego konta osobistego. |