La integración SCIM de OpenAI permite a los proveedores de identidad intercambiar datos de identidad de usuarios con OpenAI, automatizando el aprovisionamiento de invitaciones de ChatGPT y la plataforma API, y la eliminación de usuarios de áreas de trabajo de ChatGPT y organizaciones de la plataforma API. A diferencia de SSO, SCIM no se comparte entre áreas de trabajo de ChatGPT y organizaciones de API.
La integración SCIM solo está disponible para organizaciones de la plataforma API con planes de facturación Custom o Unlimited y áreas de trabajo de ChatGPT con planes Enterprise o EDU. SCIM no está disponible en ChatGPT para profesores. Para obtener más información sobre estos planes de facturación, contacta con el equipo de Ventas de OpenAI.
Preguntas frecuentes sobre SCIM
¿Cómo configuro la integración SCIM?
ChatGPT SCIM se puede configurar en la pestaña Identidad y aprovisionamiento. SCIM de la plataforma API se puede configurar en Configuración de identidad. Los usuarios con acceso de propietario pueden activar «sincronización de directorio», que les guía para configurar la sincronización de directorio con tu proveedor de IdP a través del portal de WorkOS. Esta es una vista del portal de WorkOS:
¿Qué IDP son compatibles con la integración SCIM?
Entre los IdP compatibles se incluyen Okta, Entra ID (Azure AD), Google Workspace, PingFederate, OneLogin, Rippling y más, con opciones para implementaciones SCIM personalizadas y un punto de acceso SFTP para el aprovisionamiento mediante archivos CSV.
¿Qué significa estar «gestionado por SCIM»?
«Gestionado por SCIM» significa que la cuenta de un usuario se controla mediante aprovisionamiento y desaprovisionamiento automáticos basados en la información sincronizada del directorio. Los usuarios añadidos manualmente no están gestionados por SCIM, a menos que después se sincronicen desde el directorio.
¿Se pueden añadir usuarios manualmente además de usar SCIM?
Sí. Los usuarios de ChatGPT se pueden añadir manualmente al área de trabajo a través de la página Miembros. Los usuarios de la plataforma API se pueden añadir manualmente a la organización a través de la página Personas de la configuración de la plataforma o de la API de administración. Las listas de miembros indicarán qué usuarios están gestionados por SCIM frente a los que se añadieron manualmente.
¿Qué ocurre si el nombre y el apellido de un usuario en ChatGPT no coinciden con lo que figura en el IDP?
Los usuarios de ChatGPT pueden editar su nombre en nuestros servicios, pero en el caso de los usuarios gestionados por SCIM, los cambios de nombre desde tu IdP pueden actualizar el nombre que se muestra en ChatGPT. SCIM sigue asociando a los usuarios por dirección de correo electrónico, por lo que una discrepancia solo en el nombre no debería impedir el aprovisionamiento ni los cambios de membresía.
¿Qué ocurre si un usuario actualiza su correo electrónico en el IDP?
No admitimos la actualización de la dirección de correo electrónico asociada a las cuentas de ChatGPT. Si el usuario actualiza su dirección de correo electrónico en tu IDP, esto no anulará el correo electrónico en ChatGPT.
Si quieres que la cuenta de ChatGPT del usuario refleje su nuevo correo electrónico, en última instancia necesitará una nueva cuenta de OpenAI vinculada a la nueva dirección de correo electrónico. Esto significa que la nueva cuenta no tendrá el historial de chat anterior del usuario ni sus GPT personalizados.
Para hacerlo mediante SCIM, tendrás que:
Desaprovisionar al usuario de la aplicación SCIM en tu IdP
Confirmar que el usuario gestionado por SCIM con el correo anterior se haya eliminado de tu área de trabajo
Volver a aprovisionar al usuario en la aplicación SCIM de tu IdP
Sin embargo, esto puede provocar problemas de autenticación si su perfil de autenticación ya se ha asignado a la dirección de correo electrónico original del usuario (por ejemplo, si usas SSO, es posible que el perfil SAML esté en caché y requiera ayuda de Soporte para desvincularlo). Teniendo esto en cuenta, puedes crear en su lugar un usuario independiente en el IdP vinculado a la nueva dirección de correo electrónico y añadirlo a los grupos SCIM correspondientes.
¿Con qué frecuencia se sincroniza el directorio SCIM?
La mayoría de los servicios se sincronizan cada 30 a 40 minutos (algunos servicios se sincronizan de inmediato, como Okta).
¿Hay alguna forma de forzar las sincronizaciones del directorio?
Por el momento, no hay forma de forzar una sincronización del directorio SCIM. Contacta con Soporte creando un ticket en la esquina inferior de esta página de Ayuda si tienes problemas con tu directorio SCIM.
ChatGPT
¿Qué ocurre cuando se invita a un usuario de ChatGPT mediante SCIM?
Si el usuario ya está en el área de trabajo y pasa a estar gestionado por SCIM, no recibirá ningún correo electrónico.
Si se aprovisiona a un usuario con SCIM y el usuario no es ya miembro del área de trabajo, se le enviará un correo electrónico para informarle de que ha sido invitado al área de trabajo.
El usuario puede aceptar la invitación usando el enlace de su correo de invitación o iniciando sesión a través de chatgpt.com. Si el usuario no acepta la invitación, seguirá apareciendo como «Invitación pendiente» en la pestaña Miembros.
¿Cómo interactúa la creación automática de cuentas con SCIM?
La creación automática de cuentas aprovisiona usuarios de forma reactiva, en el momento en que intentan registrarse o iniciar sesión. Esto se conoce como aprovisionamiento «just-in-time». En cambio, SCIM aprovisiona usuarios de forma proactiva, en cuanto se añaden a un grupo especificado del IdP.
Como práctica recomendada, recomendamos encarecidamente no habilitar tanto la creación automática de cuentas como SCIM. Habilitar ambas funciones en tu cuenta puede dar lugar a que se aprovisione acceso a usuarios no gestionados. Recuerda que solo los usuarios gestionados por SCIM se pueden desactivar automáticamente en respuesta a cambios en la membresía de grupos del IdP.
¿Cómo habilito los grupos con mi integración SCIM?
Cuando habilitas la sincronización de directorio con ChatGPT, tus directorios sincronizados existentes se sincronizarán automáticamente con los grupos de ChatGPT. Cualquier grupo que elijas sincronizar con tu IdP se reflejará automáticamente en ChatGPT.
Seguirás teniendo la posibilidad de crear grupos manualmente en la configuración del área de trabajo de ChatGPT.
¿Pueden los propietarios del área de trabajo controlar si los grupos gestionados por SCIM aparecen en los flujos para compartir?
Los propietarios del área de trabajo pueden controlar si los grupos gestionados por SCIM pueden descubrirse por los usuarios del área de trabajo en flujos para compartir como GPT y proyectos.
Ve a Configuración del área de trabajo.
Selecciona Identidad y acceso.
Revisa Visible para los usuarios del área de trabajo.
Ten en cuenta que esta configuración no elimina los grupos de la sincronización SCIM ni detiene el aprovisionamiento de grupos. Si está habilitada, los grupos gestionados por SCIM no aparecerán en varias funciones para compartir dentro de ChatGPT.
Si un proyecto o GPT ya está compartido con uno o varios grupos gestionados por SCIM, esos grupos se eliminarán de la lista para compartir la próxima vez que se actualice el proyecto o GPT.
¿Sobrescribirá el grupo de SCIM al grupo de ChatGPT?
Sí. Si ya tienes un grupo de ChatGPT con el mismo nombre que un grupo sincronizado desde tu IdP, el grupo de ChatGPT existente pasa a estar gestionado por SCIM en lugar de crear un grupo duplicado. Su membresía pasa entonces a estar controlada por tu IdP, así que revisa el grupo en tu IdP antes de habilitar la sincronización si el grupo de ChatGPT existente tiene miembros gestionados manualmente.
¿Cómo puedo saber qué usuarios o grupos se añadieron mediante SCIM?
En las secciones Miembros y Grupos de la configuración de tu área de trabajo de ChatGPT, cada usuario o grupo tendrá una insignia junto a su nombre para indicar si se añadió mediante SCIM.
¿Qué ocurre con los datos de un usuario si se elimina y luego se vuelve a añadir mediante SCIM?
Eliminar y volver a añadir a un usuario mediante SCIM sigue el mismo comportamiento de retención de datos que la eliminación manual, y se gestiona según la Política de retención de datos del área de trabajo. Para conocer todos los detalles, consulta nuestro artículo: Retención de datos cuando se elimina a un miembro de un área de trabajo
¿Puedo suspender o desactivar temporalmente a un usuario gestionado por SCIM manteniendo SCIM habilitado?
No solo desde ChatGPT. En las áreas de trabajo de ChatGPT gestionadas por SCIM, tu proveedor de identidad (IdP) es la fuente de verdad para el acceso de los usuarios. Si un usuario sigue asignado a la aplicación de ChatGPT o a un grupo aprovisionado por SCIM en tu IdP, eliminarlo manualmente del área de trabajo puede ser solo temporal. Se puede volver a añadir al usuario en una sincronización posterior de SCIM o en una resincronización manual.
Para impedir temporalmente el acceso mientras mantienes SCIM habilitado para el resto del área de trabajo, actualiza el acceso del usuario en tu IdP. La forma más fiable es eliminar al usuario de la asignación de la aplicación de ChatGPT o del grupo de aprovisionamiento que concede acceso. Cuando quieras restaurar el acceso, vuelve a añadir al usuario en tu IdP y SCIM lo aprovisionará de nuevo.
Nota: Según tu IdP, suspender o desactivar la cuenta del usuario puede no eliminar la asignación de la aplicación de ChatGPT. Si la asignación sigue activa, es posible que el usuario vuelva a aprovisionarse. Un grupo de «sin permisos» dentro de ChatGPT tampoco es un sustituto fiable para suspender el acceso.
Plataforma API
¿Qué ocurre cuando se invita a un usuario de la plataforma API mediante SCIM?
Cuando se aprovisiona a un usuario mediante SCIM, este recibe una invitación a la organización de la plataforma. El usuario aprovisionado debe aceptar la invitación o volver a iniciar sesión para convertirse en miembro de la organización. Si el usuario no acepta la invitación, seguirá apareciendo como «Invitación pendiente» en la pestaña Miembros.
Si se aprovisiona a un usuario con SCIM y el usuario no es ya miembro de la organización, se le enviará un correo electrónico para informarle de que ha sido invitado a la organización. Si el usuario ya está en la organización y pasa a estar gestionado por SCIM, no recibirá ningún correo electrónico.
¿Cómo puedo saber qué usuarios se añadieron mediante SCIM?
En la sección Miembros de la organización de la configuración de tu plataforma, cada usuario o invitación tendrá una insignia junto a su nombre para indicar si se añadió mediante SCIM.
¿Qué actualizaciones puedo hacer a mis usuarios mediante SCIM?
Actualmente admitimos la sincronización de actualizaciones de nombre desde tu proveedor de identidad (IdP). Ten en cuenta que, si un usuario pertenece a varias organizaciones, cualquier cambio de nombre se aplicará en todas ellas. Los usuarios también pueden actualizar manualmente su propio nombre en cualquier momento.
¿Puedo habilitar grupos con mi integración SCIM de la plataforma API?
Sí. Los grupos se pueden sincronizar desde tu proveedor de identidad (IdP) mediante SCIM, lo que mantiene la membresía actualizada automáticamente. Después puedes asignar roles a esos grupos dentro de la plataforma de OpenAI.