L’intégration SCIM d’OpenAI permet aux fournisseurs d’identité d’échanger des données d’identité utilisateur avec OpenAI, en automatisant l’attribution des invitations à ChatGPT et à la plateforme API ainsi que la suppression d’utilisateurs des espaces de travail ChatGPT et des organisations de la plateforme API. Contrairement à l’authentification unique (SSO), SCIM n’est pas partagé entre les espaces de travail ChatGPT et les organisations API.
L’intégration SCIM est offerte uniquement pour les organisations de la plateforme API avec des forfaits de facturation Custom ou Unlimited et les espaces de travail ChatGPT avec des forfaits Enterprise ou EDU. SCIM n’est pas offert dans ChatGPT pour les enseignants. Pour en savoir plus sur ces forfaits de facturation, veuillez contacter l’équipe des ventes d’OpenAI.
Questions courantes sur SCIM
Comment configurer l’intégration SCIM?
ChatGPT SCIM peut être configuré dans l’onglet Identity and Provisioning. SCIM de la plateforme API peut être configuré dans les paramètres d’identité. Les utilisateurs ayant un accès Owner peuvent activer « synchro de répertoire », qui les guidera dans la configuration de cette synchronisation avec votre fournisseur IdP via le portail WorkOS. Voici un aperçu du portail WorkOS :
Quels IDP sont pris en charge par l’intégration SCIM?
Les IdP pris en charge comprennent Okta, Entra ID (Azure AD), Google Workspace, PingFederate, OneLogin, Rippling et plus encore, avec des options pour des implémentations SCIM personnalisées et un endpoint SFTP pour l’attribution par fichier CSV.
Que signifie être « géré par SCIM »?
« Géré par SCIM » signifie que le compte d’un utilisateur est contrôlé par l’attribution et la désattribution automatisées selon les renseignements synchronisés du répertoire. Les utilisateurs ajoutés manuellement ne sont pas gérés par SCIM, sauf s’ils sont ensuite synchronisés à partir du répertoire.
Peut-on ajouter manuellement des utilisateurs en plus d’utiliser SCIM?
Oui. Les utilisateurs ChatGPT peuvent être ajoutés manuellement à l’espace de travail via la page Members. Les utilisateurs de la plateforme API peuvent être ajoutés manuellement à l’organisation via la page People dans les paramètres de la plateforme ou l’API d’administration. Les listes de membres indiqueront quels utilisateurs sont gérés par SCIM par rapport à ceux ajoutés manuellement.
Que se passe-t-il si le prénom et le nom de famille d’un utilisateur dans ChatGPT ne correspondent pas à ceux dans l’IDP?
Il est prévu qu’un utilisateur ChatGPT puisse modifier son nom dans nos services. Lorsque vous implémentez SCIM, le nom associé au courriel dans votre IdP ne remplacera pas celui qui figure dans ChatGPT. Cela ne devrait poser aucun problème pour SCIM si les noms ne correspondent pas, puisque les utilisateurs sont liés uniquement par leur adresse courriel.
Que se passe-t-il si un utilisateur met à jour son courriel dans l’IDP?
Nous ne prenons pas en charge la mise à jour de l’adresse courriel associée aux comptes ChatGPT. Si l’utilisateur met à jour son adresse courriel dans votre IdP, cela ne remplacera pas le courriel dans ChatGPT.
Si vous voulez que le compte ChatGPT de l’utilisateur reflète sa nouvelle adresse courriel, il lui faudra ultimement un nouveau compte OpenAI lié à cette nouvelle adresse courriel. Cela signifie que le nouveau compte n’aura pas l’historique de clavardage précédent de l’utilisateur ni ses GPT personnalisés.
Pour y parvenir via SCIM, vous devrez :
Désattribuer l’utilisateur de l’application SCIM dans votre IdP
Confirmer que l’utilisateur géré par SCIM avec l’ancienne adresse courriel a été retiré de votre espace de travail
Réattribuer l’utilisateur à l’application SCIM dans votre IdP
Cependant, cela peut entraîner des problèmes d’authentification si son profil d’authentification a déjà été associé à l’adresse courriel originale de l’utilisateur (p. ex., si vous utilisez l’authentification unique (SSO), le profil SAML peut être mis en cache et nécessiter l’aide du support pour le dissocier). Dans ce cas, vous pouvez plutôt créer un utilisateur distinct dans l’IdP lié à la nouvelle adresse courriel et ajouter cet utilisateur aux groupes SCIM correspondants.
À quelle fréquence la synchronisation du répertoire SCIM s’effectue-t-elle?
La plupart des services se synchronisent toutes les 30 à 40 minutes (certains services se synchronisent immédiatement, comme Okta).
Y a-t-il un moyen de forcer les synchronisations du répertoire?
Pour le moment, il n’existe aucun moyen de forcer une synchronisation du répertoire SCIM. Veuillez communiquer avec le support en créant un billet dans le coin inférieur de cette page d’aide si vous éprouvez des problèmes avec votre répertoire SCIM.
ChatGPT
Que se passe-t-il lorsqu’un utilisateur ChatGPT est invité via SCIM?
Si l’utilisateur est déjà dans l’espace de travail et devient géré par SCIM, il ne recevra pas de courriel.
Si un utilisateur est attribué avec SCIM et que l’utilisateur n’est pas déjà membre de l’espace de travail, il recevra un courriel l’informant qu’il a été invité dans l’espace de travail.
L’utilisateur peut accepter l’invitation en utilisant le lien dans son courriel d’invitation ou en se connectant via chatgpt.com. Si l’utilisateur n’accepte pas l’invitation, il continuera d’apparaître comme « invitation en attente » dans l’onglet Members.
Comment la création automatique de compte interagit-elle avec SCIM?
Automatic Account Creation attribue les utilisateurs de façon réactive, au moment où ils tentent de s’inscrire ou de se connecter. C’est ce qu’on appelle l’attribution « juste à temps ». En revanche, SCIM attribue les utilisateurs de façon proactive, dès qu’ils sont ajoutés à un groupe IdP précis.
Comme pratique exemplaire, nous recommandons fortement de ne pas activer à la fois Automatic Account Creation et SCIM. Activer ces deux fonctionnalités sur votre compte peut entraîner l’attribution d’un accès à des utilisateurs non gérés. Rappelez-vous que seuls les utilisateurs gérés par SCIM peuvent être automatiquement désactivés en réponse aux changements d’appartenance aux groupes IdP.
Comment activer les groupes avec mon intégration SCIM?
Lorsque vous activez la synchronisation du répertoire avec ChatGPT, vos répertoires synchronisés existants seront automatiquement synchronisés avec les groupes ChatGPT. Tout groupe que vous choisissez de synchroniser avec votre IdP sera automatiquement reflété dans ChatGPT.
Vous pourrez toujours créer manuellement des groupes dans les paramètres de votre espace de travail ChatGPT.
Les propriétaires d’espace de travail peuvent-ils contrôler si les groupes gérés par SCIM apparaissent dans les flux de partage?
Les propriétaires d’espace de travail peuvent contrôler si les groupes gérés par SCIM sont visibles pour les utilisateurs de l’espace de travail dans les flux de partage tels que les GPT et les projets.
Allez à Paramètres de l’espace de travail.
Sélectionnez Identity & access.
Vérifiez Discoverable by workspace users.
Notez que ce paramètre ne retire pas les groupes de la synchronisation SCIM et n’arrête pas l’attribution des groupes. S’il est activé, les groupes gérés par SCIM n’apparaîtront pas dans diverses fonctionnalités de partage à l’intérieur de ChatGPT.
Si un projet ou un GPT est déjà partagé avec un ou plusieurs groupes gérés par SCIM, ces groupes seront retirés de la liste de partage la prochaine fois que le projet ou le GPT sera mis à jour.
Le groupe SCIM remplacera-t-il le groupe ChatGPT?
Non. Si un groupe portant le même nom existe déjà dans votre espace de travail ChatGPT, il ne sera pas remplacé par le groupe SCIM. Le groupe SCIM nouvellement créé portera le même nom que le groupe ChatGPT et pourra être distingué grâce à l’étiquette SCIM à côté de son nom.
Comment puis-je savoir quels utilisateurs ou groupes ont été ajoutés via SCIM?
Dans les sections Members and Groups des paramètres de votre espace de travail ChatGPT, chaque utilisateur ou groupe aura un badge à côté de son nom pour indiquer s’il a été ajouté via SCIM.
Que devient les données d’un utilisateur s’il est retiré puis ajouté de nouveau via SCIM?
Le retrait puis le réajout d’un utilisateur via SCIM suit le même comportement de conservation des données qu’un retrait manuel et est traité conformément à la politique de conservation des données de l’espace de travail. Pour tous les détails, veuillez consulter notre article : Conservation des données lorsqu’un membre est retiré d’un espace de travail
Puis-je suspendre ou désactiver temporairement un utilisateur géré par SCIM tout en gardant SCIM activé?
Pas à partir de ChatGPT seulement. Pour les espaces de travail ChatGPT gérés par SCIM, votre fournisseur d’identité (IdP) est la source de vérité pour l’accès utilisateur. Si un utilisateur demeure attribué à l’application ChatGPT ou à un groupe attribué par SCIM dans votre IdP, le retirer manuellement de l’espace de travail pourrait n’être que temporaire. L’utilisateur pourra être ajouté de nouveau lors d’une prochaine synchronisation SCIM ou d’une resynchronisation manuelle.
Pour empêcher temporairement l’accès tout en gardant SCIM activé pour le reste de votre espace de travail, mettez à jour l’accès de l’utilisateur dans votre IdP. L’approche la plus fiable consiste à retirer l’utilisateur de l’attribution à l’application ChatGPT ou du groupe d’attribution qui accorde l’accès. Lorsque vous serez prêt à rétablir l’accès, rajoutez l’utilisateur dans votre IdP et SCIM l’attribuera de nouveau.
Remarque : selon votre IdP, suspendre ou désactiver le compte utilisateur peut ne pas retirer l’attribution à l’application ChatGPT. Si l’attribution demeure active, l’utilisateur peut quand même être réattribué. Un groupe « aucune autorisation » dans ChatGPT n’est pas non plus un substitut fiable à la suspension de l’accès.
Plateforme API
Que se passe-t-il lorsqu’un utilisateur de la plateforme API est invité par SCIM?
Lorsqu’un utilisateur est attribué par SCIM, il reçoit une invitation à l’organisation de la plateforme. L’utilisateur attribué doit accepter l’invitation ou se reconnecter pour devenir membre de l’organisation. Si l’utilisateur n’accepte pas l’invitation, il continuera d’apparaître comme « invitation en attente » dans l’onglet Members.
Si un utilisateur est attribué avec SCIM et que l’utilisateur n’est pas déjà membre de l’organisation, il recevra un courriel l’informant qu’il a été invité dans l’organisation. Si l’utilisateur est déjà dans l’organisation et devient géré par SCIM, il ne recevra pas de courriel.
Comment puis-je savoir quels utilisateurs ont été ajoutés via SCIM?
Dans la section Organization Members des paramètres de votre plateforme, chaque utilisateur ou invitation aura un badge à côté de son nom pour indiquer s’il a été ajouté via SCIM.
Quelles mises à jour puis-je apporter à mes utilisateurs via SCIM?
Nous prenons actuellement en charge la synchronisation des mises à jour de nom à partir de votre fournisseur d’identité (IdP). Veuillez noter que si un utilisateur appartient à plusieurs organisations, toute modification du nom sera appliquée à l’ensemble de celles-ci. Les utilisateurs peuvent aussi mettre à jour manuellement leur propre nom en tout temps.
Puis-je activer les groupes avec mon intégration SCIM de la plateforme API?
Oui. Les groupes peuvent être synchronisés à partir de votre fournisseur d’identité (IdP) via SCIM, ce qui permet de garder les adhésions à jour automatiquement. Vous pouvez ensuite attribuer des rôles à ces groupes dans la plateforme OpenAI.