Integrace OpenAI SCIM umožňuje poskytovatelům identit vyměňovat si s OpenAI data o identitě uživatelů, čímž automatizuje zřizování pozvánek do ChatGPT a API Platform a odebírání uživatelů z pracovních prostorů ChatGPT a organizací API Platform. Na rozdíl od SSO není SCIM sdílen napříč pracovními prostory ChatGPT a organizacemi API.
Integrace SCIM je dostupná pouze pro organizace API Platform s fakturačními plány Custom nebo Unlimited a pracovní prostory ChatGPT s plány Enterprise nebo EDU. SCIM není v ChatGPT for Teachers k dispozici. Další informace o těchto fakturačních plánech získáte, když kontaktujete obchodní tým OpenAI.
Časté dotazy ke SCIM
Jak nastavím integraci SCIM?
SCIM pro ChatGPT lze nastavit na kartě Identity and Provisioning. SCIM pro API Platform lze nastavit v nastavení Identity. Uživatelé s přístupem Owner mohou povolit „directory sync“, který je provede nastavením synchronizace adresáře s vaším poskytovatelem IdP přes portál WorkOS. Zde je pohled na portál WorkOS:
Které IDP integrace SCIM podporuje?
Mezi podporované IdP patří Okta, Entra ID (Azure AD), Google Workspace, PingFederate, OneLogin, Rippling a další, včetně možností vlastních implementací SCIM a koncového bodu SFTP pro zřizování pomocí souborů CSV.
Co znamená „managed by SCIM“?
„Managed by SCIM“ znamená, že účet uživatele je řízen automatizovaným zřizováním a rušením zřizování na základě synchronizovaných informací z adresáře. Ručně přidaní uživatelé nejsou spravováni přes SCIM, pokud nejsou později synchronizováni z adresáře.
Lze uživatele přidávat ručně i při používání SCIM?
Ano. Uživatele ChatGPT lze do pracovního prostoru přidat ručně přes stránku Members. Uživatele API Platform lze do organizace přidat ručně přes stránku People v nastavení Platform nebo přes Administration API. Seznamy členů budou rozlišovat, kteří uživatelé jsou spravováni přes SCIM a kteří byli přidáni ručně.
Co se stane, když se křestní jméno a příjmení uživatele v ChatGPT neshodují s údaji v IDP?
Uživatelé ChatGPT si mohou své jméno v našich službách upravit, ale u uživatelů spravovaných přes SCIM mohou změny jména z vašeho IdP aktualizovat jméno zobrazované v ChatGPT. SCIM však uživatele stále páruje podle e-mailové adresy, takže samotný nesoulad jména by neměl bránit zřizování ani změnám členství.
Co se stane, když uživatel aktualizuje svůj e-mail v IDP?
Aktualizaci e-mailové adresy přidružené k účtům ChatGPT nepodporujeme. Pokud uživatel aktualizuje svou e-mailovou adresu ve vašem IDP, nepřepíše se tím e-mail v ChatGPT.
Pokud chcete, aby účet ChatGPT uživatele odrážel jeho nový e-mail, bude nakonec potřebovat nový účet OpenAI navázaný na novou e-mailovou adresu. To znamená, že nový účet nebude mít předchozí historii chatů uživatele ani vlastní GPT.
Abyste toho přes SCIM dosáhli, budete muset:
Zrušit zřizování uživatele z aplikace SCIM ve vašem IdP
Potvrdit, že uživatel spravovaný přes SCIM se starým e-mailem byl z pracovního prostoru odebrán
Znovu zřídit uživatele do aplikace SCIM ve vašem IdP
To však může vést k problémům s ověřováním, pokud už byl jeho autentizační profil namapován na původní e-mail uživatele (např. pokud používáte SSO, může být profil SAML uložen v mezipaměti a vyžadovat pomoc podpory k jeho odpojení). Místo toho můžete v IdP vytvořit samostatného uživatele navázaného na novou e-mailovou adresu a přidat tohoto uživatele do příslušných skupin SCIM.
Jak často se synchronizuje adresář SCIM?
Většina služeb se synchronizuje každých 30 až 40 minut (některé služby se synchronizují okamžitě, například Okta).
Existuje způsob, jak vynutit synchronizaci adresáře?
V tuto chvíli neexistuje způsob, jak synchronizaci adresáře SCIM vynutit. Pokud máte s adresářem SCIM potíže, kontaktujte podporu vytvořením tiketu v dolním rohu této stránky nápovědy.
ChatGPT
Co se stane, když je uživatel ChatGPT pozván přes SCIM?
Pokud už uživatel je v pracovním prostoru a začne být spravován přes SCIM, e-mail nedostane.
Pokud je uživatel zřízen pomocí SCIM a není ještě členem pracovního prostoru, bude mu zaslán e-mail s informací, že byl do pracovního prostoru pozván.
Uživatel může pozvánku přijmout pomocí odkazu v pozvánkovém e-mailu nebo přihlášením přes chatgpt.com. Pokud uživatel pozvánku nepřijme, bude se na kartě Members nadále zobrazovat jako „Pending Invite“.
Jak Automatic Account Creation spolupracuje se SCIM?
Automatic Account Creation zřizuje uživatele reaktivně, v okamžiku, kdy se pokusí zaregistrovat nebo přihlásit. Tomu se říká zřizování „just-in-time“. Naproti tomu SCIM zřizuje uživatele proaktivně, jakmile jsou přidáni do určené skupiny IdP.
Jako osvědčený postup důrazně doporučujeme nepovolovat zároveň Automatic Account Creation i SCIM. Povolení obou funkcí u vašeho účtu může vést k poskytnutí přístupu uživatelům bez správy. Pamatujte, že pouze uživatele spravované přes SCIM lze automaticky deaktivovat v reakci na změny členství ve skupinách IdP.
Jak povolím Groups v rámci integrace SCIM?
Když povolíte synchronizaci adresáře s ChatGPT, vaše stávající synchronizované adresáře se automaticky synchronizují se skupinami ChatGPT. Jakákoli skupina, kterou se rozhodnete synchronizovat se svým IdP, se automaticky promítne do ChatGPT.
Stále budete mít možnost vytvářet skupiny ručně v nastavení pracovního prostoru ChatGPT.
Mohou vlastníci pracovního prostoru řídit, zda se skupiny spravované přes SCIM zobrazují při sdílení?
Vlastníci pracovního prostoru mohou řídit, zda budou skupiny spravované přes SCIM viditelné pro uživatele pracovního prostoru při sdílení, například u GPT a projektů.
Přejděte do Workspace settings.
Vyberte Identity & access.
Zkontrolujte Discoverable by workspace users.
Upozorňujeme, že toto nastavení skupiny neodstraní ze synchronizace SCIM ani nezastaví zřizování skupin. Je-li povoleno, skupiny spravované přes SCIM se nebudou zobrazovat v různých funkcích sdílení v ChatGPT.
Pokud je projekt nebo GPT už sdílen s jednou či více skupinami spravovanými přes SCIM, budou tyto skupiny při další aktualizaci projektu nebo GPT ze seznamu sdílení odebrány.
Přepíše skupina SCIM skupinu ChatGPT?
Ano. Pokud už v ChatGPT máte skupinu se stejným názvem jako skupina synchronizovaná z vašeho IdP, stávající skupina ChatGPT začne být spravována přes SCIM namísto vytvoření duplicitní skupiny. Její členství pak řídí váš IdP, proto skupinu ve svém IdP před povolením synchronizace zkontrolujte, pokud má stávající skupina ChatGPT ručně spravované členy.
Jak poznám, kteří uživatelé nebo skupiny byli přidáni přes SCIM?
V sekcích Members a Groups v nastavení vašeho pracovního prostoru ChatGPT bude mít každý uživatel nebo skupina vedle názvu štítek označující, zda byli přidáni přes SCIM.
Co se stane s daty uživatele, pokud je přes SCIM odebrán a poté znovu přidán?
Odebrání a opětovné přidání uživatele přes SCIM se řídí stejným chováním uchovávání dat jako ruční odebrání a zpracovává se podle zásad uchovávání dat pracovního prostoru. Podrobnosti najdete v našem článku: Uchovávání dat při odebrání člena z pracovního prostoru
Mohu uživatele spravovaného přes SCIM dočasně pozastavit nebo zakázat, aniž bych vypnul SCIM?
Ne pouze v rámci ChatGPT. U pracovních prostorů ChatGPT spravovaných přes SCIM je vaším zdrojem pravdy pro přístup uživatelů poskytovatel identity (IdP). Pokud uživatel zůstane ve vašem IdP přiřazen k aplikaci ChatGPT nebo ke skupině zřízené přes SCIM, může být jeho ruční odebrání z pracovního prostoru jen dočasné. Uživatel může být při pozdější synchronizaci SCIM nebo ruční opětovné synchronizaci znovu přidán.
Chcete-li dočasně zabránit přístupu a zároveň ponechat SCIM povolený pro zbytek pracovního prostoru, aktualizujte přístup uživatele ve svém IdP. Nejspolehlivější postup je odebrat uživatele z přiřazení aplikace ChatGPT nebo ze zřizovací skupiny, která uděluje přístup. Až budete chtít přístup obnovit, přidejte uživatele zpět ve svém IdP a SCIM ho znovu zřídí.
Poznámka: V závislosti na vašem IdP nemusí pozastavení nebo zakázání uživatelského účtu odebrat přiřazení aplikace ChatGPT. Pokud přiřazení zůstane aktivní, uživatel může být stále znovu zřízen. Ani skupina „no permissions“ uvnitř ChatGPT není spolehlivou náhradou za pozastavení přístupu.
API Platform
Co se stane, když je uživatel API Platform pozván přes SCIM?
Když je uživatel zřízen přes SCIM, obdrží pozvánku do organizace Platform. Zřízený uživatel musí pozvánku přijmout nebo se znovu přihlásit, aby se stal členem organizace. Pokud uživatel pozvánku nepřijme, bude se na kartě Members nadále zobrazovat jako „Pending Invite“.
Pokud je uživatel zřízen pomocí SCIM a ještě není členem organizace, bude mu zaslán e-mail s informací, že byl do organizace pozván. Pokud už je uživatel v organizaci a začne být spravován přes SCIM, e-mail nedostane.
Jak poznám, kteří uživatelé byli přidáni přes SCIM?
V části Organization Members v nastavení vaší Platform bude mít každý uživatel nebo pozvánka vedle názvu štítek označující, zda byli přidáni přes SCIM.
Jaké aktualizace mohu u svých uživatelů provádět přes SCIM?
Aktuálně podporujeme synchronizaci změn jména z vašeho poskytovatele identity (IdP). Upozorňujeme, že pokud uživatel patří do více organizací, všechny změny jména se projeví ve všech z nich. Uživatelé si také mohou své jméno kdykoli ručně aktualizovat.
Mohu v rámci integrace API Platform SCIM povolit Groups?
Ano. Skupiny lze přes SCIM synchronizovat z vašeho poskytovatele identity (IdP), což automaticky udržuje členství aktuální. Těmto skupinám pak můžete v rámci OpenAI Platform přiřazovat role.