Die OpenAI-SCIM-Integration ermöglicht Identitätsanbietern den Austausch von Benutzeridentitätsdaten mit OpenAI und automatisiert die Bereitstellung von ChatGPT- und API-Plattform-Einladungen sowie die Entfernung von Benutzer:innen aus ChatGPT-Workspaces und API-Plattform-Organisationen. Im Gegensatz zu SSO wird SCIM nicht über ChatGPT-Workspaces und API-Organisationen hinweg geteilt.
Die SCIM-Integration steht nur API-Plattform-Organisationen mit Custom- oder Unlimited-Abrechnungstarifen sowie ChatGPT-Workspaces mit Enterprise- oder EDU-Plänen zur Verfügung. SCIM steht in ChatGPT für Lehrkräfte nicht zur Verfügung. Um mehr über diese Abrechnungspläne zu erfahren, wende dich bitte an das OpenAI-Vertriebsteam.
Häufige Fragen zu SCIM
Wie richte ich die SCIM-Integration ein?
ChatGPT-SCIM kann in der Registerkarte Identität und Bereitstellung konfiguriert werden. API-Plattform-SCIM kann in den Identitätseinstellungen konfiguriert werden. Nutzer:innen mit Eigentümerzugriff können die „Verzeichnissynchronisierung“ aktivieren und werden anschließend über das WorkOS-Portal durch die Einrichtung der Verzeichnissynchronisierung mit ihrem IdP-Anbieter geführt. Hier siehst du das WorkOS-Portal:
Welche IDPs unterstützt die SCIM-Integration?
Zu den unterstützten IdPs zählen Okta, Entra ID (Azure AD), Google Workspace, PingFederate, OneLogin, Rippling und weitere. Darüber hinaus stehen Optionen für benutzerdefinierte SCIM-Implementierungen sowie ein SFTP-Endpunkt für die Bereitstellung per CSV-Datei zur Verfügung.
Was bedeutet „über SCIM verwaltet“?
„Über SCIM verwaltet“ bedeutet, dass das Benutzerkonto über eine automatisierte Bereitstellung und Deaktivierung auf Grundlage synchronisierter Verzeichnisinformationen gesteuert wird. Manuell hinzugefügte Benutzer werden nicht über SCIM verwaltet, es sei denn, sie werden zu einem späteren Zeitpunkt aus dem Verzeichnis synchronisiert.
Können Benutzer zusätzlich zur SCIM-Inegration auch manuell hinzugefügt werden?
Ja. ChatGPT-Nutzer:innen können dem Workspace manuell über die Seite „Mitglieder“ hinzugefügt werden. Nutzer:innen der API-Plattform können der Organisation manuell über die Seite „Personen“ in den Plattform-Einstellungen oder die Administrations-API hinzugefügt werden. Die Mitgliederlisten zeigen an, welche Nutzer:innen über SCIM verwaltet werden und welche manuell hinzugefügt wurden.
Was passiert, wenn Vor- und Nachname eines Benutzers in ChatGPT nicht mit den Angaben im IdP übereinstimmen?
ChatGPT-Nutzer:innen können ihren Namen in unseren Diensten bearbeiten, aber bei Nutzer:innen, die über SCIM verwaltet werden, können Namensänderungen von deinem IdP den in ChatGPT angezeigten Namen aktualisieren. SCIM gleicht Nutzer:innen weiterhin anhand der E-Mail-Adresse ab, daher sollte eine Nichtübereinstimmung des Namens allein die Bereitstellung oder Änderungen an Mitgliedschaften nicht verhindern.
Was passiert, wenn ein Benutzer seine E-Mail im IdP aktualisiert?
Wir unterstützen derzeit keine Aktualisierung der E-Mail-Adresse für bestehende ChatGPT-Konten. Wenn ein Benutzer seine E-Mail-Adresse im IdP ändert, wird diese Änderung also nicht automatisch im ChatGPT-Konto übernommen.
Wenn das ChatGPT-Konto die neue E-Mail-Adresse widerspiegeln soll, ist ein neues OpenAI-Benutzerkonto erforderlich, das mit der neuen E-Mail-Adresse verknüpft ist. Dabei ist zu beachten, dass das neue Konto keinen Zugriff auf frühere Chatverläufe oder benutzerdefinierte GPTs des alten Kontos hat.
Um dies über SCIM umzusetzen, sind folgende Schritte erforderlich:
Den Benutzer in deinem IdP aus der SCIM-Anwendung deprovisionieren
Sicherstellen, dass der SCIM-verwaltete Benutzer mit der alten E-Mail-Adresse aus dem Workspace entfernt wurde
Den Benutzer in deinem IdP erneut für die SCIM-Anwendung provisionieren.
Dieses Vorgehen kann jedoch zu Anmeldeproblemen führen, wenn das Authentifizierungsprofil bereits dem ursprünglichen Benutzer mit der alten E-Mail-Adresse zugeordnet ist. Das kann beispielsweise bei der Nutzung von SSO der Fall sein, wenn das SAML-Profil zwischengespeichert ist und eine Entkopplung nur durch den Support möglich ist. In diesem Fall ist es besser, im IdP einen separaten Benutzer mit der neuen E-Mail-Adresse anzulegen und ihn den entsprechenden SCIM-Gruppen zuzuordnen.
Wie oft wird das SCIM-Verzeichnis synchronisiert?
Die meisten Dienste werden alle 30 bis 40 Minuten synchronisiert. Einige Dienste, z. B. Okta, werden sofort synchronisiert.
Gibt es eine Möglichkeit, die Verzeichnissynchronisierung zu erzwingen?
Im Moment gibt es keine Möglichkeit, eine Verzeichnissynchronisierung manuell auszulösen. Wenn es Probleme mit deinem SCIM-Verzeichnis gibt, wende dich bitte an den Support, indem du unten auf dieser Hilfeseite ein Ticket erstellst.
ChatGPT
Was passiert, wenn ein:e ChatGPT-Benutzer:in über SCIM eingeladen wird?
Ist der Benutzer bereits Mitglied des Workspaces und wird anschließend über SCIM verwaltet, wird keine E-Mail versendet.
Wird ein Benutzer über SCIM bereitgestellt und ist noch kein Mitglied des Workspaces, erhält er eine E-Mail mit einer Einladung zum Workspace.
Der Benutzer kann die Einladung annehmen, indem er den Link in seiner E-Mail-Einladung verwendet oder sich über ChatGPT.com anmeldet. Nimmt der Benutzer die Einladung nicht an, wird im Mitgliederbereich weiterhin mit dem Status „Ausstehende Einladung“ angezeigt.
Wie wirkt sich die automatische Kontoerstellung auf SCIM aus?
Bei der automatischen Kontenerstellung werden Benutzer reaktiv bereitgestellt, d. h. in dem Moment, in dem sie sich registrieren oder anmelden. Dieses Verfahren wird auch als Just-in-Time-Provisioning bezeichnet. SCIM stellt Benutzer dagegen proaktiv bereit, sobald sie einer bestimmten IdP-Gruppe hinzugefügt werden.
Als Best Practice empfehlen wir, die automatische Kontoerstellung und SCIM nicht gleichzeitig zu aktivieren. Werden beide Funktionen parallel genutzt, kann es passieren, dass nicht verwaltete Benutzer Zugriff erhalten. Beachte außerdem: Nur über SCIM verwaltete Benutzer können automatisch deaktiviert werden, wenn sich ihre Gruppenmitgliedschaft im IdP ändert.
Wie aktiviere ich Gruppen in meiner SCIM-Integration?
Wenn du die Verzeichnissynchronisierung mit ChatGPT aktivierst, werden deine bereits synchronisierten Verzeichnisse automatisch mit ChatGPT-Gruppen abgeglichen. Jede Gruppe, die du mit deinem IdP synchronisierst, wird automatisch auch in ChatGPT übernommen.
Zusätzlich hast du weiterhin die Möglichkeit, Gruppen manuell in den Workspace-Einstellungen von ChatGPT anzulegen.
Können Workspace-Eigentümer:innen steuern, ob SCIM-verwaltete Gruppen in Freigabeabläufen angezeigt werden?
Workspace-Eigentümer:innen können steuern, ob über SCIM verwaltete Gruppen für Workspace-Benutzer:innen in Freigabeabläufen wie GPTs und Projekten sichtbar sind.
Gehe zu Workspace-Einstellungen.
Wähle Identität und Zugriff.
Überprüfe Für Workspace-Benutzer:innen sichtbar.
Beachte, dass diese Einstellung die Gruppen nicht aus der SCIM-Synchronisierung entfernt oder die Gruppenbereitstellung beendet. Wenn diese Option aktiviert ist, werden SCIM-verwaltete Gruppen in verschiedenen Freigabefunktionen in ChatGPT nicht angezeigt.
Wenn ein Projekt oder GPT bereits mit einer oder mehreren SCIM-verwalteten Gruppen geteilt wurde, werden diese Gruppen aus der Freigabeliste entfernt, sobald das Projekt oder GPT das nächste Mal aktualisiert wird.
Überschreibt eine SCIM-Gruppe eine bestehende ChatGPT-Gruppe?
Ja. Wenn du bereits eine ChatGPT-Gruppe mit demselben Namen wie eine von deinem IdP synchronisierte Gruppe hast, wird die bestehende ChatGPT-Gruppe von SCIM verwaltet, anstatt eine doppelte Gruppe zu erstellen. Die Gruppenmitgliedschaft wird dann von deinem IdP gesteuert. Überprüfe daher die Gruppe in deinem IdP, bevor du die Synchronisierung aktivierst, wenn die bestehende ChatGPT-Gruppe manuell verwaltete Mitglieder hat.
Wie kann ich feststellen, welche Benutzer oder Gruppen über SCIM hinzugefügt wurden?
In den Bereichen Mitglieder und Gruppen der Workspace-Einstellungen von ChatGPT ist neben dem Namen jedes Benutzers bzw. jeder Gruppe ein Badge sichtbar, das angibt, ob er bzw. sie über SCIM hinzugefügt wurde.
Was passiert mit den Daten eines Benutzers, wenn dieser entfernt und später erneut über SCIM hinzugefügt wird?
Das Entfernen und erneute Hinzufügen eines Nutzers über SCIM folgt demselben Verhalten bei der Datenaufbewahrung wie eine manuelle Entfernung und erfolgt gemäß der Datenaufbewahrungsrichtlinie des Workspaces. Weitere Informationen findest du hier: Datenaufbewahrung, wenn Mitglieder aus einem Workspace entfernt werden
Kann ich eine:n SCIM-verwalteten Benutzer:in vorübergehend sperren oder deaktivieren, während SCIM weiterhin aktiviert bleibt?
Nicht allein aus ChatGPT heraus. Bei SCIM-verwalteten ChatGPT-Workspaces ist dein Identitätsanbieter (IdP) die maßgebliche Quelle für den Benutzerzugriff. Wenn ein:e Benutzer:in weiterhin der ChatGPT-Anwendung oder einer über SCIM bereitgestellten Gruppe in deinem IdP zugewiesen ist, könnte das manuelle Entfernen aus dem Workspace nur vorübergehend sein. Der/die Benutzer:in kann bei einer späteren SCIM-Synchronisierung oder einer manuellen erneuten Synchronisierung wieder hinzugefügt werden.
Um den Zugriff vorübergehend zu verhindern, während SCIM für den Rest deines Workspaces aktiviert bleibt, aktualisiere die Zugriffsrechte des/der Benutzer:in in deinem IdP. Der zuverlässigste Ansatz besteht darin, den/die Benutzer:in aus der ChatGPT-App-Zuweisung oder aus der Bereitstellungsgruppe zu entfernen, die den Zugriff gewährt. Wenn du bereit bist, den Zugriff wiederherzustellen, füge den/die Benutzer:in in deinem IdP wieder hinzu, und SCIM wird ihn/sie erneut bereitstellen.
Hinweis: Je nach verwendetem Identitätsanbieter wird durch das Sperren oder Deaktivieren des Benutzerkontos die Zuweisung der ChatGPT-App möglicherweise nicht aufgehoben. Wenn die Zuweisung weiterhin aktiv ist, können Benutzer:innen möglicherweise weiterhin erneut bereitgestellt werden. Eine Gruppe „ohne Berechtigungen“ innerhalb von ChatGPT ist ebenfalls kein verlässlicher Ersatz für die Sperrung des Zugriffs.
API-Plattform
Was passiert, wenn ein:e Benutzer:in der API-Plattform über SCIM eingeladen wird?
Wird ein Benutzer über SCIM bereitgestellt, erhält er eine Einladung zur Organisation auf der Plattform. Um Mitglied der Organisation zu werden, muss der Benutzer die Einladung annehmen oder sich erneut anmelden. Nimmt der Benutzer die Einladung nicht an, wird im Mitgliederbereich weiterhin mit dem Status „Ausstehende Einladung“ angezeigt.
Wird ein Benutzer über SCIM bereitgestellt und ist noch kein Mitglied der Organisation, erhält er eine E-Mail mit einer Einladung zur Organisation. Ist der Benutzer bereits Mitglied der Organisation und wird anschließend über SCIM verwaltet, wird keine E-Mail versendet.
Wie kann ich feststellen, welche Benutzer über SCIM hinzugefügt wurden?
Im Bereich Organisationsmitglieder deiner Plattform-Einstellungen ist bei jedem Benutzer bzw. jeder Einladung ein Hinweis neben dem Namen zu sehen, der angibt, ob die Person über SCIM hinzugefügt wurde.
Welche Aktualisierungen kann ich für meine Benutzer über SCIM vornehmen?
Derzeit unterstützen wir die Synchronisierung von Namensänderungen, die bei deinem Identitätsanbieter (IdP) vorgenommen werden. Bitte beachte, dass Namensänderungen organisationsübergreifend übernommen werden, wenn ein Benutzer mehreren Organisationen angehört. Unabhängig davon können Benutzer ihren Namen jederzeit auch manuell ändern.
Kann ich Gruppen mit meiner API-Plattform-SCIM-Integration aktivieren?
Ja, Gruppen können über SCIM vom Identitätsanbieter (IdP) synchronisiert werden, wodurch die Mitgliedschaften automatisch aktuell gehalten werden. Anschließend kannst du diesen Gruppen innerhalb der OpenAI-Plattform Rollen zuweisen.