La integración de SCIM de OpenAI permite a los proveedores de identidad intercambiar datos de identidad de usuarios con OpenAI, al automatizar el aprovisionamiento de invitaciones para ChatGPT y la plataforma API, así como la eliminación de usuarios de los espacios de trabajo de ChatGPT y las organizaciones de la plataforma API. A diferencia de SSO, SCIM no se comparte entre los espacios de trabajo de ChatGPT y las organizaciones de la plataforma API.
La integración de SCIM está disponible únicamente para organizaciones de la plataforma API con planes de facturación personalizados o ilimitados, y para espacios de trabajo de ChatGPT con planes Enterprise o EDU. SCIM no está disponible en ChatGPT para docentes. Para obtener más información sobre estos planes de facturación, comunícate con el equipo de ventas de OpenAI.
Preguntas frecuentes sobre SCIM
¿Cómo configuro la integración SCIM?
SCIM para ChatGPT se puede configurar en la pestaña Identidad y aprovisionamiento. SCIM para la plataforma API se puede configurar en los ajustes de identidad. Los usuarios con acceso de propietario pueden habilitar la “sincronización de directorios”, la cual los guiará en la configuración de la sincronización con su proveedor de identidad (IdP) a través del portal de WorkOS. Esta es una vista del portal de WorkOS:
¿Qué IDP son compatibles con la integración SCIM?
Los IDP compatibles incluyen Okta, Entra ID (Azure AD), Google espacio de trabajo, PingFederate, OneLogin, Rippling y más, con opciones para implementaciones personalizadas de SCIM y un punto final SFTP para el aprovisionamiento de archivos CSV.
¿Qué significa estar “administrado por SCIM”?
“Gestionado por SCIM” significa que la cuenta de un usuario está controlada mediante el aprovisionamiento y desaprovisionamiento automatizados basados en la información de directorio sincronizada Los usuarios agregados manualmente no son gestionados por SCIM a menos que luego se sincronicen desde el directorio.
¿Pueden los usuarios ser agregados manualmente además de usar SCIM?
Sí. Se pueden agregar manualmente los usuarios de ChatGPT al espacio de trabajo a través de la página de Miembros. Se pueden agregar manualmente los usuarios de la plataforma API a la organización mediante la configuración de la plataforma en la página Personas o la API de administración. Las listas de miembros indicarán qué usuarios se gestionan mediante SCIM y cuáles se agregaron manualmente.
¿Qué pasa si el nombre y el apellido de un usuario en ChatGPT no coinciden con lo que está en el IDP?
Los usuarios de ChatGPT pueden editar su nombre en nuestros servicios, pero, en el caso de los usuarios administrados mediante SCIM, los cambios de nombre provenientes de tu IdP pueden actualizar el nombre que se muestra en ChatGPT. SCIM sigue buscando coincidencias de usuarios por dirección de correo electrónico, por lo que una discrepancia únicamente en el nombre no debería impedir el aprovisionamiento ni los cambios de membresía.
¿Qué sucede si un usuario actualiza su correo electrónico en el IdP?
No admitimos la actualización de la dirección de correo electrónico asociada a las cuentas de ChatGPT. Si el usuario actualiza su dirección de correo electrónico en tu IDP, esto no cambiará la dirección de correo electrónico en ChatGPT.
Si quieres que la cuenta de ChatGPT del usuario refleje su nuevo correo electrónico, al final necesitarán una nueva cuenta de OpenAI vinculada a la nueva dirección de correo electrónico. Esto significa que la nueva cuenta no tendrá el historial de chats anterior del usuario ni los GPT personalizados.
Para lograr esto mediante SCIM, necesitarás:
Desaprovisiona al usuario de la aplicación SCIM en tu IDP
Confirma que el usuario gestionado por SCIM con el correo electrónico antiguo ha sido eliminado de tu espacio de trabajo
Reaprovisiona al usuario en la aplicación SCIM de tu IDP
Sin embargo, esto puede causar problemas de autenticación si su perfil de autenticación ya ha sido vinculado a la dirección de correo electrónico del usuario original (por ejemplo, si estás usando SSO, el perfil SAML podría estar en caché y necesitar la ayuda de Soporte para desvincularlo). Dado eso, puedes crear un usuario separado en el IdP vinculado a la nueva dirección de correo electrónico y añadirlo a los grupos SCIM correspondientes.
¿Con qué frecuencia se sincroniza el directorio SCIM?
La mayoría de los servicios se sincronizan cada 30 a 40 minutos (algunos servicios, como Okta, se sincronizan inmediatamente).
¿Existe alguna forma de forzar sincronizar directorios?
Por el momento, no hay manera de forzar que se sincronice un directorio SCIM. Contacta a Soporte creando un ticket en la esquina inferior de esta página de ayuda si tienes problemas con tu directorio SCIM.
ChatGPT
¿Qué ocurre cuando un usuario de ChatGPT recibe una invitación mediante SCIM?
Si el usuario ya está en el espacio de trabajo y pasa a ser gestionado por SCIM, no recibirá un correo electrónico.
Si un usuario tiene aprovisionamiento con SCIM y no es ya miembro del espacio de trabajo, se le enviará un correo electrónico informándole que ha sido invitado al espacio de trabajo.
El usuario puede aceptar la invitación usando el enlace en su correo electrónico o iniciando sesión en chatgpt.com. Si el usuario no acepta la invitación, seguirá apareciendo como "Invitación pendiente" en la pestaña Miembros.
¿Cómo interactúa la creación automática de cuentas con SCIM?
Creación automática de cuentas realiza el aprovisionamiento a los usuarios reactivamente, en el momento en que intentan registrarse o iniciar sesión. Esto se conoce como aprovisionamiento "justo a tiempo". Por el contrario, el aprovisionamiento SCIM de usuarios se realiza proactivamente, tan pronto como se agregan a un grupo especificado en el IdP.
Como práctica recomendada, desaconsejamos enérgicamente habilitar tanto la creación automática de cuentas como SCIM. Activar ambas funciones en tu cuenta puede resultar en aprovisionamiento a usuarios no gestionados. Recuerda que solo los usuarios gestionados por SCIM pueden ser desactivados automáticamente en respuesta a cambios en la membresía de grupos del IdP.
¿Cómo puedo habilitar grupos con mi integración SCIM?
Cuando habilitas la sincronización de directorios con ChatGPT, tus directorios ya sincronizados se sincronizarán automáticamente con los Grupos de ChatGPT. Cualquier grupo que elijas sincronizar con tu IdP se reflejará automáticamente en ChatGPT.
Aún podrás crear grupos manualmente en la configuración del espacio de trabajo de ChatGPT.
¿Pueden los propietarios del espacio de trabajo controlar si los grupos gestionados por SCIM aparecen en los flujos de uso compartido?
Los propietarios del espacio de trabajo pueden controlar si los grupos gestionados por SCIM son visibles para los usuarios del espacio de trabajo en flujos de uso compartido, como GPT y proyectos.
Ve a Configuración del espacio de trabajo.
Selecciona Identidad y acceso.
Revisa Visible por los usuarios del espacio de trabajo.
Ten en cuenta que esta configuración no elimina los grupos de la sincronización de SCIM ni detiene el aprovisionamiento de grupos. Si se habilita, los grupos administrados por SCIM no aparecerán en diversas funciones para compartir dentro de ChatGPT.
Si un proyecto o GPT ya está compartido con uno o más grupos gestionados por SCIM, esos grupos se eliminarán de la lista de uso compartido la próxima vez que se actualice el proyecto o el GPT.
¿El grupo SCIM reemplazará al grupo ChatGPT?
Sí. Si ya tienes un grupo de ChatGPT con el mismo nombre que un grupo sincronizado desde tu IdP, el grupo de ChatGPT existente pasa a estar administrado mediante SCIM en lugar de crear un grupo duplicado. A partir de ese momento, tu IdP controla su membresía, así que revisa el grupo en tu IdP antes de habilitar la sincronización si el grupo de ChatGPT existente tiene miembros administrados manualmente.
¿Cómo puedo saber qué usuarios o grupos se añadieron mediante SCIM?
En la sección de Miembros y Grupos en las secciones de configuración de tu espacio de trabajo de ChatGPT, cada usuario o grupo tendrá una insignia junto a su nombre para indicar si fue agregado a través de SCIM.
¿Qué sucede con los datos de un usuario si es eliminado y luego agregado atrás mediante SCIM?
Eliminar y volver a agregar a un usuario mediante SCIM sigue el mismo comportamiento de retención de datos que la eliminación manual y se gestiona según la Política de retención de datos del espacio de trabajo. Para más detalles, consulta nuestro artículo: Retención de datos al eliminar a un miembro de un espacio de trabajo
¿Puedo suspender o deshabilitar temporalmente a un usuario administrado por SCIM sin deshabilitar SCIM?
No desde ChatGPT únicamente. Para los espacios de trabajo de ChatGPT administrados por SCIM, tu proveedor de identidad (IdP) es la fuente principal para el acceso de los usuarios. Si un usuario sigue asignado a la aplicación de ChatGPT o a un grupo aprovisionado por SCIM en tu IdP, eliminarlo manualmente del espacio de trabajo puede ser solo temporal. Se puede agregar al usuario nuevamente en una sincronización posterior de SCIM o en una resincronización manual.
Para impedir temporalmente el acceso mientras mantienes SCIM habilitado para el resto del espacio de trabajo, actualiza el acceso del usuario en tu IdP. El enfoque más confiable es eliminar al usuario de la asignación de la aplicación de ChatGPT o del grupo de aprovisionamiento que le otorga acceso. Cuando estés listo para restablecer el acceso, vuelve a agregar al usuario en tu IdP y SCIM lo volverá a aprovisionar.
Nota: En función de tu IdP, suspender o deshabilitar la cuenta de usuario puede no eliminar la asignación de la aplicación de ChatGPT. Si la asignación permanece activa, el usuario podría volver a ser aprovisionado. Un grupo “sin permisos” dentro de ChatGPT tampoco es un sustituto confiable para suspender el acceso.
Plataforma API
¿Qué ocurre cuando un usuario de la plataforma API recibe una invitación mediante SCIM?
Cuando un usuario es creado mediante el aprovisionamiento SCIM, recibe una invitación para la organización de la plataforma. El usuario de aprovisionamiento necesita aceptar la invitación o iniciar sesión nuevamente para convertirse en miembro de la organización. Si el usuario no acepta la invitación, continuará como “Invitación pendiente” en la pestaña Miembros.
Si a un usuario se le realiza el aprovisionamiento con SCIM y aún no es miembro de la organización, se le enviará un correo electrónico informándole que ha sido invitado a unirse a la organización. Si el usuario ya está en la organización y pasa a ser gestionado por SCIM, no recibirá un correo electrónico.
¿Cómo puedo identificar qué usuarios fueron añadidos a través de SCIM?
En la sección Miembros de la Organización de la configuración de tu plataforma, cada usuario o invitación tendrá una insignia junto a su nombre para indicar si fue agregado mediante SCIM.
¿Qué actualizaciones puedo realizar a mis usuarios a través de SCIM?
Actualmente, admitimos sincronizar las actualizaciones de nombres desde tu proveedor de identidad (IdP). Ten en cuenta que si un usuario pertenece a múltiples organizaciones, cualquier cambio de nombre se aplicará en todas ellas. Los usuarios también pueden actualizar manualmente su nombre en cualquier momento.
¿Puedo habilitar grupos con mi integración de SCIM de la plataforma API?
Sí. Los Grupos pueden sincronizarse desde tu proveedor de identidad (IdP) a través de SCIM, lo que mantiene la membresía actualizada automáticamente. Luego puedes asignar roles a esos grupos dentro de la Plataforma OpenAI.