L’intégration SCIM d’OpenAI permet aux fournisseurs d’identité d’échanger des données d’identité utilisateur avec OpenAI, en automatisant le provisionnement des invitations à ChatGPT et à l’API Platform ainsi que le retrait d’utilisateurs des espaces de travail ChatGPT et des organisations de l’API Platform. Contrairement à l’authentification unique (SSO), SCIM n’est pas partagé entre les espaces de travail ChatGPT et les organisations API.
L’intégration SCIM est disponible uniquement pour les organisations de l’API Platform ayant des forfaits de facturation Custom ou Unlimited, et pour les espaces de travail ChatGPT avec des forfaits Enterprise ou EDU. SCIM n’est pas disponible dans ChatGPT for Teachers. Pour en savoir plus sur ces forfaits de facturation, veuillez communiquer avec l’équipe des ventes d’OpenAI.
Questions fréquentes sur SCIM
Comment configurer l’intégration SCIM?
SCIM pour ChatGPT peut être configuré dans l’onglet Identité et provisionnement. SCIM pour l’API Platform peut être configuré dans les paramètres d’identité. Les utilisateurs ayant un accès Propriétaire peuvent activer la « synchronisation du répertoire », qui les guide dans la configuration de la synchronisation du répertoire avec votre fournisseur IdP via le portail WorkOS. Voici un aperçu du portail WorkOS :
Quels fournisseurs d’identité (IdP) sont pris en charge par l’intégration SCIM?
Les IdP pris en charge comprennent Okta, Entra ID (Azure AD), Google Workspace, PingFederate, OneLogin, Rippling, et plus encore, avec des options pour les implémentations SCIM personnalisées et un endpoint SFTP pour le provisionnement de fichiers CSV.
Que signifie être « géré par SCIM »?
« Géré par SCIM » signifie que le compte d’un utilisateur est contrôlé par le provisionnement et le déprovisionnement automatisés en fonction des renseignements de répertoire synchronisés. Les utilisateurs ajoutés manuellement ne sont pas gérés par SCIM, sauf s’ils sont synchronisés ultérieurement depuis le répertoire.
Les utilisateurs peuvent-ils être ajoutés manuellement en plus d’utiliser SCIM?
Oui. Les utilisateurs de ChatGPT peuvent être ajoutés manuellement à l’espace de travail depuis la page Membres. Les utilisateurs de l’API Platform peuvent être ajoutés manuellement à l’organisation depuis la page Personnes des paramètres de la plateforme ou l’API d’administration. Les listes de membres indiqueront quels utilisateurs sont gérés par SCIM et lesquels ont été ajoutés manuellement.
Que se passe-t-il si le prénom et le nom d’un utilisateur dans ChatGPT ne correspondent pas à ceux dans l’IdP?
Les utilisateurs de ChatGPT peuvent modifier leur nom dans nos services, mais pour les utilisateurs gérés par SCIM, les changements de nom provenant de votre IdP peuvent mettre à jour le nom affiché dans ChatGPT. SCIM associe toujours les utilisateurs par adresse courriel; une différence de nom à elle seule ne devrait donc pas empêcher le provisionnement ou les changements d’appartenance.
Que se passe-t-il si un utilisateur met à jour son adresse courriel dans l’IdP?
Lorsqu’une adresse courriel d’un utilisateur change dans le fournisseur d’identité, un événement est envoyé via SCIM pour informer OpenAI du changement. Si les critères de changement administratif d’adresse courriel sont remplis, l’adresse courriel de l’utilisateur sera modifiée.
Si l’adresse courriel de l’utilisateur ne peut pas être modifiée, veuillez consulter les critères et communiquer avec support@openai.com pour obtenir de l’aide au besoin.
À quelle fréquence le répertoire SCIM se synchronise-t-il?
La plupart des services se synchronisent toutes les 30 à 40 minutes (certains services se synchronisent immédiatement, comme Okta).
Existe-t-il un moyen de forcer les synchronisations du répertoire?
Pour le moment, il n’existe aucun moyen de forcer une synchronisation de répertoire SCIM. Veuillez communiquer avec le soutien en créant un billet dans le coin inférieur de cette page d’aide si vous rencontrez des problèmes avec votre répertoire SCIM.
ChatGPT
Que se passe-t-il lorsqu’un utilisateur ChatGPT est invité via SCIM?
Si l’utilisateur est déjà dans l’espace de travail et devient géré par SCIM, il ne recevra pas de courriel.
Si un utilisateur est provisionné avec SCIM et que l’utilisateur n’est pas déjà membre de l’espace de travail, il recevra un courriel l’informant qu’il a été invité à l’espace de travail.
L’utilisateur peut accepter l’invitation en utilisant le lien dans son courriel d’invitation ou en se connectant via chatgpt.com. Si l’utilisateur n’accepte pas l’invitation, il continuera d’apparaître comme « Invitation en attente » dans l’onglet Membres.
Comment la création automatique de compte interagit-elle avec SCIM?
La création automatique de compte provisionne les utilisateurs de façon réactive, au moment où ils tentent de s’inscrire ou de se connecter. C’est ce qu’on appelle le provisionnement « juste à temps ». À l’inverse, SCIM provisionne les utilisateurs de façon proactive, dès qu’ils sont ajoutés à un groupe IdP précisé.
À titre de bonne pratique, nous déconseillons fortement d’activer à la fois la création automatique de compte et SCIM. Activer les deux fonctionnalités sur votre compte peut entraîner le provisionnement d’accès à des utilisateurs non gérés. N’oubliez pas que seuls les utilisateurs gérés par SCIM peuvent être désactivés automatiquement en réponse aux changements d’appartenance aux groupes IdP.
Comment activer les groupes avec mon intégration SCIM?
Lorsque vous activez la synchronisation du répertoire avec ChatGPT, vos répertoires synchronisés existants seront automatiquement synchronisés avec les groupes ChatGPT. Tout groupe que vous choisissez de synchroniser avec votre IdP sera automatiquement reflété dans ChatGPT.
Vous pourrez toujours créer manuellement des groupes dans les paramètres de votre espace de travail ChatGPT.
Les propriétaires de l’espace de travail peuvent-ils contrôler si les groupes gérés par SCIM apparaissent dans les flux de partage?
Les propriétaires de l’espace de travail peuvent contrôler si les groupes gérés par SCIM peuvent être découverts par les utilisateurs de l’espace de travail dans les flux de partage comme les GPT et les projets.
Accédez aux paramètres de l’espace de travail.
Sélectionnez Identité et accès.
Consultez Visible par les utilisateurs de l’espace de travail.
Notez que ce paramètre ne supprime pas les groupes de la synchronisation SCIM et n’arrête pas le provisionnement des groupes. Si ce paramètre est activé, les groupes gérés par SCIM n’apparaîtront pas dans diverses fonctionnalités de partage dans ChatGPT.
Si un projet ou un GPT est déjà partagé avec un ou plusieurs groupes gérés par SCIM, ces groupes seront retirés de la liste de partage la prochaine fois que le projet ou le GPT sera mis à jour.
Le groupe SCIM écrasera-t-il le groupe ChatGPT?
Oui. Si vous avez déjà un groupe ChatGPT portant le même nom qu’un groupe synchronisé depuis votre IdP, le groupe ChatGPT existant devient géré par SCIM au lieu de créer un groupe en double. Son appartenance est alors contrôlée par votre IdP; vérifiez donc le groupe dans votre IdP avant d’activer la synchronisation si le groupe ChatGPT existant comprend des membres gérés manuellement.
Comment puis-je savoir quels utilisateurs ou groupes ont été ajoutés via SCIM?
Dans les sections Membres et Groupes des paramètres de votre espace de travail ChatGPT, chaque utilisateur ou groupe aura un badge à côté de son nom pour indiquer s’il a été ajouté via SCIM.
Qu’arrive-t-il aux données d’un utilisateur s’il est retiré puis rajouté via SCIM?
Le retrait et le rajout d’un utilisateur via SCIM suivent le même comportement de conservation des données que le retrait manuel, et sont traités conformément à la politique de conservation des données de l’espace de travail. Pour tous les détails, veuillez consulter notre article : Conservation des données lorsqu’un membre est retiré d’un espace de travail
Puis-je suspendre temporairement ou désactiver un utilisateur géré par SCIM tout en gardant SCIM activé?
Pas uniquement depuis ChatGPT. Pour les espaces de travail ChatGPT gérés par SCIM, votre fournisseur d’identité (IdP) est la source de vérité pour l’accès des utilisateurs. Si un utilisateur reste affecté à l’application ChatGPT ou à un groupe provisionné par SCIM dans votre IdP, le retirer manuellement de l’espace de travail pourrait n’être que temporaire. L’utilisateur peut être rajouté lors d’une synchronisation SCIM ultérieure ou d’une resynchronisation manuelle.
Pour empêcher temporairement l’accès tout en gardant SCIM activé pour le reste de votre espace de travail, mettez à jour l’accès de l’utilisateur dans votre IdP. L’approche la plus fiable consiste à retirer l’utilisateur de l’affectation à l’application ChatGPT ou du groupe de provisionnement qui accorde l’accès. Lorsque vous êtes prêt à rétablir l’accès, rajoutez l’utilisateur dans votre IdP et SCIM le provisionnera de nouveau.
Remarque : Selon votre IdP, suspendre ou désactiver le compte utilisateur pourrait ne pas retirer l’affectation à l’application ChatGPT. Si l’affectation reste active, l’utilisateur pourrait tout de même être reprovisionné. Un groupe « sans autorisations » dans ChatGPT ne constitue pas non plus une solution de rechange fiable à la suspension de l’accès.
API Platform
Que se passe-t-il lorsqu’un utilisateur de l’API Platform est invité par SCIM?
Lorsqu’un utilisateur est provisionné par SCIM, il reçoit une invitation à rejoindre l’organisation de la plateforme. L’utilisateur provisionné doit accepter l’invitation ou se reconnecter pour devenir membre de l’organisation. Si l’utilisateur n’accepte pas l’invitation, il continuera d’apparaître comme « Invitation en attente » dans l’onglet Membres.
Si un utilisateur est provisionné avec SCIM et qu’il n’est pas déjà membre de l’organisation, il recevra un courriel l’informant qu’il a été invité à l’organisation. Si l’utilisateur est déjà dans l’organisation et devient géré par SCIM, il ne recevra pas de courriel.
Comment puis-je savoir quels utilisateurs ont été ajoutés via SCIM?
Dans la section Membres de l’organisation des paramètres de votre plateforme, chaque utilisateur ou invitation aura un badge à côté de son nom pour indiquer s’il a été ajouté via SCIM.
Quelles mises à jour puis-je apporter à mes utilisateurs via SCIM?
Nous prenons actuellement en charge la synchronisation des mises à jour de noms depuis votre fournisseur d’identité (IdP). Veuillez noter que si un utilisateur appartient à plusieurs organisations, tout changement de nom sera appliqué à chacune d’elles. Les utilisateurs peuvent aussi mettre à jour manuellement leur propre nom en tout temps.
Puis-je activer les groupes avec mon intégration SCIM de l’API Platform?
Oui. Les groupes peuvent être synchronisés depuis votre fournisseur d’identité (IdP) via SCIM, ce qui maintient automatiquement l’appartenance à jour. Vous pouvez ensuite attribuer des rôles à ces groupes dans l’OpenAI Platform.