L'intégration SCIM d'OpenAI permet aux fournisseurs d'identité d'échanger des données d'identité utilisateur avec OpenAI, automatisant ainsi l'envoi d'invitations à ChatGPT et à la plateforme d'API, ainsi que la suppression d'utilisateurs des espaces de travail ChatGPT et des organisations de la plateforme d'API. Contrairement au SSO, le SCIM n'est pas partagé entre les espaces de travail ChatGPT et les organisations API.
L’intégration SCIM est uniquement disponible pour les organisations API Platform ayant des forfaits de facturation personnalisés ou illimités, ainsi que pour les espaces de travail ChatGPT avec des plans Enterprise ou EDU. Le SCIM n’est pas disponible dans ChatGPT pour les enseignants. Pour en savoir plus sur ces forfaits de facturation, veuillez contacter l’équipe commerciale d’OpenAI.
Questions courantes sur SCIM
Comment configurer l’intégration SCIM ?
ChatGPT SCIM peut être configuré dans l’onglet Identité et provisionnement. SCIM de la plateforme d’API peut être configuré dans les paramètres d’identité. Les utilisateurs ayant un accès propriétaire peuvent activer la « synchronisation d’annuaire », ce qui les guide à travers la configuration de la synchronisation d’annuaire avec votre fournisseur IdP via le portail WorkOS. Voici une vue du portail WorkOS :
Quels IdP sont pris en charge par l’intégration SCIM ?
Les IdP pris en charge incluent Okta, Entra ID (Azure AD), Google Workspace, PingFederate, OneLogin, Rippling et plus encore, avec des options pour des implémentations SCIM personnalisées et un point de terminaison SFTP pour le provisionnement de fichiers CSV.
Que signifie être « géré par le SCIM » ?
« Géré par le SCIM » signifie qu’un compte utilisateur est contrôlé par un système de provisionnement et de déprovisionnement automatisé basés sur des informations d’annuaire synchronisées. Les utilisateurs ajoutés manuellement ne sont pas gérés par le SCIM, sauf s’ils sont ensuite synchronisés depuis l’annuaire.
Est-il possible d’ajouter manuellement des utilisateurs en plus d’utiliser le SCIM ?
Oui. Les utilisateurs de ChatGPT peuvent être ajoutés manuellement à l’espace de travail via la page Membres. Les utilisateurs de la plateforme d’API peuvent être ajoutés manuellement à l’organisation via la page Personnes des paramètres de la plateforme ou l’API d’administration. Les listes de membres indiqueront quels utilisateurs sont gérés par le SCIM par opposition à ceux ajoutés manuellement.
Que se passe-t-il si le prénom et le nom de famille d’un utilisateur dans ChatGPT ne correspondent pas à ceux indiqués dans l’IDP ?
Les utilisateurs de ChatGPT peuvent modifier leur nom dans nos services, mais pour les utilisateurs gérés via SCIM, les changements de nom effectués depuis votre fournisseur d’identité (IdP) peuvent mettre à jour le nom affiché dans ChatGPT. SCIM continue d’identifier les utilisateurs par leur adresse e-mail ; par conséquent, une simple divergence de nom ne devrait pas empêcher l’approvisionnement ou les modifications d’adhésion.
Que se passe-t-il si un utilisateur met à jour son adresse e-mail dans l’IDP ?
Nous ne prenons pas en charge la mise à jour de l’adresse e-mail associée aux comptes ChatGPT. Si l’utilisateur met à jour son adresse e-mail dans votre IDP, cela ne remplacera pas l’adresse e-mail dans ChatGPT.
Si vous voulez que le compte ChatGPT de l’utilisateur reflète sa nouvelle adresse e-mail, ce dernier devra ouvrir nouveau compte OpenAI lié à sa nouvelle adresse e-mail. Cela signifie que le nouveau compte ne disposera pas de l’historique des chats de l’utilisateur ni de ses GPT personnalisés.
Pour ce faire, vous devez utiliser le SCIM pour :
Désactiver l’utilisateur de l’application SCIM dans votre IDP
Confirmer que l’utilisateur géré par le SCIM avec l’ancien e-mail est supprimé de votre espace de travail
Réactiver l’utilisateur pour l’application SCIM dans votre IDP
Toutefois, cela peut entraîner des problèmes d’authentification si le profil d’authentification de l’utilisateur a déjà été associé à l’adresse e-mail de l’utilisateur initial (par exemple, si vous utilisez le SSO, le profil SAML peut être mis en cache et nécessiter l’aide du service d’assistance pour être découplé). Dans ce cas, vous pouvez créer un utilisateur distinct dans l’IdP lié à la nouvelle adresse e-mail et ajouter cet utilisateur aux groupes SCIM correspondants.
À quelle fréquence l’annuaire SCIM se synchronise-t-il ?
La plupart des services se synchronisent toutes les 30 à 40 minutes (certains services, comme Okta, se synchronisent immédiatement).
Existe-t-il un moyen de forcer la synchronisation des annuaires ?
Pour le moment, il n'existe aucun moyen de forcer la synchronisation d’un annuaire SCIM. Veuillez contacter le service d’assistance en créant un ticket dans le coin inférieur de cette page d’aide si vous rencontrez des problèmes avec votre annuaire SCIM.
ChatGPT
Que se passe-t-il lorsqu'un utilisateur de ChatGPT est invité via le SCIM ?
Si l’utilisateur fait déjà partie de l’espace de travail et que sa gestion est affectée au SCIM, il ne recevra pas d’e-mail.
Si un utilisateur est provisionné avec le SCIM et qu’il n’est pas déjà membre de l’espace de travail, il recevra un e-mail l’informant qu’il a été invité à rejoindre l’espace de travail.
L’utilisateur peut accepter l’invitation en utilisant le lien figurant dans son e-mail d’invitation ou en se connectant via chatgpt.com. Si l’utilisateur n’accepte pas l’invitation, il continuera à apparaître comme « Pending Invite » (Invitation en attente) dans l’onglet Membres.
Comment la création automatique de comptes interagit-elle avec le SCIM ?
La création automatique de compte utilise le provisionnement des utilisateurs de manière réactive, au moment où ils tentent de s’inscrire ou de se connecter. C’est ce qu’on appelle le « provisionnement juste-à-temps ». En revanche, le SCIM utilise le provisionnement des utilisateurs de manière proactive, dès qu’ils sont ajoutés à un groupe IdP donné.
Nous vous recommandons vivement de ne pas activer à la fois la création automatique de comptes et le SCIM. L’activation de ces deux fonctionnalités sur votre compte peut entraîner le provisionnement de l’accès à des utilisateurs non gérés. N’oubliez pas que seuls les utilisateurs gérés par le SCIM peuvent être automatiquement désactivés en réponse aux modifications de l’appartenance à un groupe de l’IdP.
Comment activer les groupes avec mon intégration SCIM ?
Lorsque vous activez la synchronisation des annuaires avec ChatGPT, vos annuaires synchronisés existants seront automatiquement synchronisés avec le groupe ChatGPT. Tout groupe que vous choisissez de synchroniser avec votre IdP sera automatiquement reflété dans ChatGPT.
Vous aurez toujours la possibilité de créér manuellement des groupes dans les paramètres de votre espace de travail ChatGPT.
Les propriétaires d'espaces de travail peuvent-ils contrôler si les groupes gérés par SCIM apparaissent dans les flux de partage ?
Les propriétaires de l'espace de travail peuvent contrôler si les groupes gérés par SCIM sont visibles pour les utilisateurs de l'espace de travail dans les flux de partage, tels que les GPT et les projets.
Allez dans Paramètres de l'espace de travail.
Sélectionnez Identité et accès.
Vérifiez Découvrable par les utilisateurs de l'espace de travail.
Notez que ce paramètre ne supprime pas les groupes de la synchronisation SCIM et n'arrête pas l'approvisionnement des groupes. Si cette option est activée, les groupes gérés par SCIM n'apparaîtront pas dans les différentes fonctionnalités de partage de ChatGPT.
Si un projet ou un GPT est déjà partagé avec un ou plusieurs groupes gérés par SCIM, ces groupes seront retirés de la liste de partage la prochaine fois que le projet ou le GPT sera mis à jour.
Le groupe SCIM écrasera-t-il le groupe ChatGPT ?
Oui. Si vous disposez déjà d’un groupe ChatGPT portant le même nom qu’un groupe synchronisé depuis votre IdP, le groupe ChatGPT existant sera géré par SCIM au lieu de créer un groupe en double. La composition de ce groupe sera alors contrôlée par votre IdP ; veuillez donc vérifier le groupe dans votre IdP avant d’activer la synchronisation si le groupe ChatGPT existant comprend des membres gérés manuellement.
Comment savoir quels utilisateurs ou groupes ont été ajoutés via le SCIM ?
Dans les sections Membres et groupes des paramètres de votre espace de travail ChatGPT, chaque utilisateur ou groupe aura un badge à côté de son nom pour indiquer s’il a été ajouté via le SCIM.
Qu’advient-il des données d’un utilisateur si celui-ci est supprimé puis réintégré via le SCIM ?
Le retrait puis le réajout d’un utilisateur via SCIM suivent les mêmes modalités de conservation des données qu’un retrait manuel, et sont traités conformément à la politique de conservation de l’espace de travail. Pour plus de détails, veuillez consulter notre article : Conservation des données lorsqu’un membre est retiré d’un espace de travail
Puis-je suspendre ou désactiver temporairement un utilisateur géré par SCIM tout en laissant SCIM activé ?
Pas uniquement depuis ChatGPT lui-même. Pour les espaces de travail ChatGPT gérés par SCIM, votre fournisseur d'identité (IdP) est la source de référence pour l'accès des utilisateurs. Si un utilisateur reste affecté à l'application ChatGPT ou à un groupe provisionné via SCIM dans votre IdP, le fait de le supprimer manuellement de l'espace de travail peut n'être qu'une solution temporaire. L'utilisateur peut être ajouté de nouveau lors d'une synchronisation SCIM ultérieure ou d'une resynchronisation manuelle.
Pour empêcher temporairement l'accès tout en laissant SCIM activé pour le reste de votre espace de travail, mettez à jour l'accès de l'utilisateur dans votre IdP. L'approche la plus fiable consiste à retirer l'utilisateur de l'attribution de l'application ChatGPT ou du groupe de provisionnement qui accorde l'accès. Lorsque vous êtes prêt à rétablir l'accès, ajoutez de nouveau l'utilisateur dans votre IdP et SCIM effectuera de nouveau son provisionnement.
Remarque : selon votre IdP, la suspension ou la désactivation du compte utilisateur peut ne pas supprimer l'attribution de l'application ChatGPT. Si l'attribution reste active, l'utilisateur peut toujours être reprovisionné. Un groupe « sans autorisations » dans ChatGPT ne constitue pas non plus une solution de remplacement fiable à la suspension de l'accès.
Plateforme API
Que se passe-t-il lorsqu'un utilisateur de la plateforme d'API est invité par SCIM ?
Lors du provisionnement d’un utilisateur par le SCIM, celui-ci reçoit une invitation à rejoindre l’organisation de la plateforme. L’utilisateur provisionné doit accepter l’invitation ou se connecter à nouveau pour devenir membre de l’organisation. Si l’utilisateur n’accepte pas l’invitation, il continuera à apparaître comme « Pending Invite » (Invitation en attente) dans l’onglet Membres.
Si un utilisateur est provisionné avec le SCIM et qu’il n’est pas déjà membre de l’organisation, il recevra un e-mail l’informant qu’il a été invité à rejoindre l’organisation. Si l’utilisateur fait déjà partie de l’organisation et qu’il est géré par le SCIM, il ne recevra pas d’e-mail.
Comment savoir quels utilisateurs ont été ajoutés via le SCIM ?
Dans la section Membres de l’organisation de vos paramètres de la plateforme, chaque utilisateur ou invitation aura un badge à côté de son nom pour indiquer s’il a été ajouté via le SCIM.
Quelles mises à jour puis-je apporter à mes utilisateurs via le SCIM ?
Nous prenons actuellement en charge la synchronisation des mises à jour de noms à partir de votre fournisseur d’identité (IdP). Veuillez noter que si un utilisateur appartient à plusieurs organisations, tout changement de nom sera appliqué à l’ensemble de ces organisations. Les utilisateurs peuvent également mettre leur nom à jour manuellement, à tout moment.
Puis-je activer les groupes avec mon intégration SCIM de la plateforme d'API ?
Oui. Les groupes peuvent être synchronisés depuis votre fournisseur d’identité (IdP) via le SCIM, ce qui permet de maintenir les adhésions à jour automatiquement. Vous pouvez ensuite assigner des rôles à ces groupes au sein d’OpenAI.