La integración SCIM de OpenAI permite a los proveedores de identidad intercambiar datos de identidad de usuarios con OpenAI, automatizando el aprovisionamiento de invitaciones a ChatGPT y a la Plataforma API, así como las eliminaciones de usuarios de áreas de trabajo de ChatGPT y organizaciones de la Plataforma API. A diferencia de SSO, SCIM no se comparte entre áreas de trabajo de ChatGPT y organizaciones de API.
La integración SCIM solo está disponible para organizaciones de la Plataforma API con planes de facturación Custom o Unlimited, y para áreas de trabajo de ChatGPT con planes Enterprise o EDU. SCIM no está disponible en ChatGPT for Teachers. Para obtener más información sobre estos planes de facturación, ponte en contacto con el equipo de ventas de OpenAI.
Preguntas frecuentes sobre SCIM
¿Cómo configuro la integración SCIM?
SCIM de ChatGPT se puede configurar en la pestaña Identidad y aprovisionamiento. SCIM de la Plataforma API se puede configurar en la configuración de identidad. Los usuarios con acceso de propietario pueden activar «sincronización de directorio», que les guía por la configuración de la sincronización de directorio con su proveedor de IdP a través del portal de WorkOS. Aquí tienes una vista del portal de WorkOS:
¿Qué IdP admite la integración SCIM?
Los IdP admitidos incluyen Okta, Entra ID (Azure AD), Google Workspace, PingFederate, OneLogin, Rippling y otros, con opciones para implementaciones SCIM personalizadas y un punto de acceso SFTP para aprovisionamiento de archivos CSV.
¿Qué significa estar «gestionado por SCIM»?
«Gestionado por SCIM» significa que la cuenta de un usuario se controla mediante aprovisionamiento y desaprovisionamiento automatizados basados en información de directorio sincronizada. Los usuarios añadidos manualmente no están gestionados por SCIM a menos que más tarde se sincronicen desde el directorio.
¿Se pueden añadir usuarios manualmente además de usar SCIM?
Sí. Los usuarios de ChatGPT se pueden añadir manualmente al área de trabajo desde la página Miembros. Los usuarios de la Plataforma API se pueden añadir manualmente a la organización desde la página Personas de la configuración de la plataforma o mediante la API de administración. Las listas de miembros indicarán qué usuarios están gestionados por SCIM y cuáles se añadieron manualmente.
¿Qué ocurre si el nombre y los apellidos de un usuario en ChatGPT no coinciden con lo que hay en el IdP?
Los usuarios de ChatGPT pueden editar su nombre en nuestros servicios, pero para los usuarios gestionados por SCIM, los cambios de nombre desde tu IdP pueden actualizar el nombre mostrado en ChatGPT. SCIM sigue emparejando a los usuarios por dirección de correo electrónico, por lo que una discrepancia solo en el nombre no debería impedir el aprovisionamiento ni los cambios de pertenencia.
¿Qué ocurre si un usuario actualiza su correo electrónico en el IdP?
Cuando el correo electrónico de un usuario cambia en el proveedor de identidad, se envía un evento mediante SCIM para notificar el cambio a OpenAI. Si se cumplen los criterios de cambio administrativo de correo electrónico, se cambiará la dirección de correo electrónico del usuario.
Si no se consigue cambiar la dirección de correo electrónico del usuario, revisa los criterios y ponte en contacto con support@openai.com para obtener ayuda si es necesario.
¿Con qué frecuencia se sincroniza el directorio SCIM?
La mayoría de los servicios se sincronizan cada 30 a 40 minutos (algunos servicios se sincronizan de inmediato, como Okta).
¿Hay alguna forma de forzar las sincronizaciones de directorio?
Por el momento, no hay forma de forzar una sincronización de directorio SCIM. Ponte en contacto con Soporte creando un ticket en la esquina inferior de esta página de ayuda si tienes problemas con tu directorio SCIM.
ChatGPT
¿Qué ocurre cuando se invita a un usuario de ChatGPT mediante SCIM?
Si el usuario ya está en el área de trabajo y pasa a estar gestionado por SCIM, no recibirá ningún correo electrónico.
Si se aprovisiona a un usuario con SCIM y el usuario no es ya miembro del área de trabajo, se le enviará un correo electrónico para informarle de que se le ha invitado al área de trabajo.
El usuario puede aceptar la invitación usando el enlace de su invitación por correo electrónico o iniciando sesión a través de chatgpt.com. Si el usuario no acepta la invitación, seguirá apareciendo como «Invitación pendiente» en la pestaña Miembros.
¿Cómo interactúa la creación automática de cuentas con SCIM?
La creación automática de cuentas aprovisiona usuarios de forma reactiva, en el momento en que intentan registrarse o iniciar sesión. Esto se conoce como aprovisionamiento «just-in-time». En cambio, SCIM aprovisiona usuarios de forma proactiva, en cuanto se añaden a un grupo de IdP especificado.
Como práctica recomendada, desaconsejamos encarecidamente activar tanto la creación automática de cuentas como SCIM. Activar ambas funciones en tu cuenta puede dar lugar al aprovisionamiento de acceso a usuarios no gestionados. Recuerda que solo los usuarios gestionados por SCIM se pueden desactivar automáticamente en respuesta a cambios en la pertenencia a grupos de IdP.
¿Cómo activo Grupos con mi integración SCIM?
Cuando actives la sincronización de directorio con ChatGPT, tus directorios sincronizados existentes se sincronizarán automáticamente con Grupos de ChatGPT. Cualquier grupo que elijas sincronizar con tu IdP se reflejará automáticamente en ChatGPT.
Seguirás teniendo la posibilidad de crear grupos manualmente en la configuración de tu área de trabajo de ChatGPT.
¿Pueden los propietarios del área de trabajo controlar si los grupos gestionados por SCIM aparecen en los flujos para compartir?
Los propietarios del área de trabajo pueden controlar si los grupos gestionados por SCIM son visibles para los usuarios del área de trabajo en flujos para compartir, como GPT y proyectos.
Ve a Configuración del área de trabajo.
Selecciona Identidad y acceso.
Revisa Visible para los usuarios del área de trabajo.
Ten en cuenta que esta opción no elimina los grupos de la sincronización SCIM ni detiene el aprovisionamiento de grupos. Si está activada, los grupos gestionados por SCIM no aparecerán en varias funcionalidades para compartir dentro de ChatGPT.
Si un proyecto o GPT ya está compartido con uno o más grupos gestionados por SCIM, esos grupos se eliminarán de la lista de uso compartido la próxima vez que se actualice el proyecto o GPT.
¿El grupo SCIM sobrescribirá el grupo de ChatGPT?
Sí. Si ya tienes un grupo de ChatGPT con el mismo nombre que un grupo sincronizado desde tu IdP, el grupo de ChatGPT existente pasa a estar gestionado por SCIM en lugar de crear un grupo duplicado. Su pertenencia queda controlada por tu IdP, así que revisa el grupo en tu IdP antes de activar la sincronización si el grupo de ChatGPT existente tiene miembros gestionados manualmente.
¿Cómo puedo saber qué usuarios o grupos se añadieron mediante SCIM?
En las secciones Miembros y Grupos de la configuración del área de trabajo de ChatGPT, cada usuario o grupo tendrá una insignia junto a su nombre para indicar si se añadió mediante SCIM.
¿Qué ocurre con los datos de un usuario si se elimina y luego se vuelve a añadir mediante SCIM?
Eliminar y volver a añadir a un usuario mediante SCIM sigue el mismo comportamiento de retención de datos que la eliminación manual, y se gestiona de acuerdo con la política de retención de datos del área de trabajo. Para obtener todos los detalles, consulta nuestro artículo: Retención de datos cuando se elimina a un miembro de un área de trabajo
¿Puedo suspender o desactivar temporalmente a un usuario gestionado por SCIM manteniendo SCIM activado?
No solo desde ChatGPT. En las áreas de trabajo de ChatGPT gestionadas por SCIM, tu proveedor de identidad (IdP) es la fuente de autoridad para el acceso de los usuarios. Si un usuario sigue asignado a la aplicación ChatGPT o a un grupo aprovisionado por SCIM en tu IdP, eliminarlo manualmente del área de trabajo puede ser solo temporal. El usuario se puede volver a añadir en una sincronización SCIM posterior o en una resincronización manual.
Para impedir temporalmente el acceso y mantener SCIM activado para el resto del área de trabajo, actualiza el acceso del usuario en tu IdP. El enfoque más fiable es quitar al usuario de la asignación de la aplicación ChatGPT o del grupo de aprovisionamiento que concede acceso. Cuando quieras restaurar el acceso, vuelve a añadir al usuario en tu IdP y SCIM lo aprovisionará de nuevo.
Nota: según tu IdP, suspender o desactivar la cuenta de usuario puede no eliminar la asignación de la aplicación ChatGPT. Si la asignación sigue activa, es posible que el usuario se vuelva a aprovisionar. Un grupo «sin permisos» dentro de ChatGPT tampoco es un sustituto fiable para suspender el acceso.
Plataforma API
¿Qué ocurre cuando se invita a un usuario de la Plataforma API mediante SCIM?
Cuando se aprovisiona a un usuario mediante SCIM, el usuario recibe una invitación a la organización de la plataforma. El usuario aprovisionado debe aceptar la invitación o volver a iniciar sesión para convertirse en miembro de la organización. Si el usuario no acepta la invitación, seguirá apareciendo como «Invitación pendiente» en la pestaña Miembros.
Si se aprovisiona a un usuario con SCIM y el usuario no es ya miembro de la organización, se le enviará un correo electrónico para informarle de que se le ha invitado a la organización. Si el usuario ya está en la organización y pasa a estar gestionado por SCIM, no recibirá ningún correo electrónico.
¿Cómo puedo saber qué usuarios se añadieron mediante SCIM?
En la sección Miembros de la organización de la configuración de la plataforma, cada usuario o invitación tendrá una insignia junto a su nombre para indicar si se añadió mediante SCIM.
¿Qué actualizaciones puedo hacer a mis usuarios mediante SCIM?
Actualmente admitimos la sincronización de actualizaciones de nombres desde tu proveedor de identidad (IdP). Ten en cuenta que, si un usuario pertenece a varias organizaciones, cualquier cambio de nombre se aplicará en todas ellas. Los usuarios también pueden actualizar manualmente su propio nombre en cualquier momento.
¿Puedo activar Grupos con mi integración SCIM de la Plataforma API?
Sí. Los grupos se pueden sincronizar desde tu proveedor de identidad (IdP) mediante SCIM, lo que mantiene la pertenencia actualizada automáticamente. A continuación, puedes asignar roles a esos grupos dentro de la plataforma OpenAI.