L'integrazione SCIM di OpenAI consente ai provider di identità di scambiare i dati relativi all'identità degli utenti con OpenAI, automatizzando il provisioning degli inviti a ChatGPT e alla piattaforma API, nonché la rimozione degli utenti dalle aree di lavoro di ChatGPT e dalle organizzazioni della piattaforma API. A differenza di SSO, SCIM non viene condiviso tra le aree di lavoro di ChatGPT e le organizzazioni della piattaforma API.
L'integrazione SCIM è disponibile solo per le organizzazioni della piattaforma API con piani di fatturazione personalizzati o illimitati e per le aree di lavoro ChatGPT con piani Enterprise o EDU. SCIM non è disponibile su ChatGPT per gli insegnanti. Per ulteriori informazioni su questi piani di fatturazione, contatta il team vendite di OpenAI.
Domande frequenti su SCIM
Come posso configurare l'integrazione SCIM?
ChatGPT SCIM può essere configurato nella scheda Identità e provisioning. SCIM della piattaforma API può essere configurato nelle Impostazioni di identità. Gli utenti con accesso Proprietario possono abilitare la "sincronizzazione della directory", che li guida nella configurazione della sincronizzazione della directory con il proprio provider IdP tramite il portale WorkOS. Ecco una panoramica del portale WorkOS:
Quali IDP sono supportati dall'integrazione SCIM?
Gli IdP supportati includono Okta, Entra ID (Azure AD), Google Workspace, PingFederate, OneLogin, Rippling e altri, con opzioni per implementazioni SCIM personalizzate e un endpoint SFTP per il provisioning di file CSV.
Cosa significa essere "gestiti da SCIM"?
"Gestiti da SCIM" significa che l'account di un utente è controllato tramite provisioning e deprovisioning automatizzati basati sulle informazioni sincronizzate della directory. Gli utenti aggiunti manualmente non sono gestiti da SCIM a meno che non vengano successivamente sincronizzati dalla directory.
È possibile aggiungere manualmente degli utenti oltre all'utilizzo di SCIM?
Sì. Gli utenti di ChatGPT possono essere aggiunti manualmente all'area di lavoro tramite la pagina Membri. Gli utenti della piattaforma API possono essere aggiunti manualmente all'organizzazione tramite la pagina Persone nelle impostazioni della piattaforma o tramite l'API di amministrazione. Gli elenchi dei membri indicheranno quali utenti sono gestiti da SCIM e quali sono stati aggiunti manualmente.
Cosa succede se il nome e il cognome di un utente in ChatGPT non corrispondono a quelli presenti nell'IDP?
Gli utenti di ChatGPT possono modificare il proprio nome nei nostri servizi, ma per gli utenti gestiti tramite SCIM, le modifiche al nome apportate dal proprio IdP possono aggiornare il nome visualizzato su ChatGPT. SCIM continua a identificare gli utenti in base all'indirizzo e-mail, quindi una semplice discrepanza nel nome non dovrebbe impedire il provisioning o le modifiche relative all'iscrizione.
Cosa succede se un utente aggiorna il proprio indirizzo e-mail nell'IDP?
Non supportiamo l'aggiornamento dell'indirizzo e-mail associato agli account ChatGPT. Se l'utente aggiorna il proprio indirizzo e-mail nel tuo IDP, questo non sovrascriverà l'indirizzo e-mail in ChatGPT.
Se desideri che l'account ChatGPT dell'utente rifletta il suo nuovo indirizzo e-mail, sarà necessario creare un nuovo account OpenAI collegato al nuovo indirizzo e-mail. Ciò significa che il nuovo account non conterrà la cronologia delle chat precedenti dell'utente né i GPT personalizzati.
Per realizzare questo tramite SCIM, dovrai:
Rimuovere l'utente dall'applicazione SCIM nel tuo IDP
Controllare che l'utente gestito da SCIM con il vecchio indirizzo email sia stato rimosso dall'area di lavoro
Aggiungere di nuovo l'utente all'applicazione SCIM nel tuo IDP
Tuttavia, ciò può causare problemi di autenticazione se il loro profilo di autenticazione è già stato mappato all'indirizzo e-mail dell'utente originale (ad esempio, se si utilizza SSO, il profilo SAML potrebbe essere memorizzato nella cache e richiedere l'assistenza del supporto tecnico per essere scollegato). In tal caso, è possibile creare un utente separato nell'IdP collegato al nuovo indirizzo e-mail e aggiungere questo utente ai gruppi SCIM corrispondenti.
Ogni quanto si sincronizza la directory SCIM?
La maggior parte dei servizi si sincronizza ogni 30-40 minuti (alcuni servizi, come Okta, si sincronizzano immediatamente).
Esiste un modo per forzare la sincronizzazione della directory?
Al momento non è possibile forzare la sincronizzazione della directory SCIM. Se riscontri problemi con la tua directory SCIM, contatta l'assistenza creando un ticket nell'angolo in basso di questa pagina della Guida.
ChatGPT
Cosa succede quando un utente di ChatGPT viene invitato tramite SCIM?
Se l'utente è già nell'area di lavoro e diventa gestito da SCIM, non riceverà alcuna e-mail.
Se un utente viene fornito con SCIM e non è già membro dell'area di lavoro, gli verrà inviata un'email per informarlo che è stato invitato a far parte dell'area di lavoro.
L'utente può accettare l'invito utilizzando il link contenuto nell'e-mail di invito o effettuando l'accesso tramite chatgpt.com. Se l'utente non accetta l'invito, continuerà a essere visualizzato come "Invito in sospeso" nella scheda Membri.
In che modo la creazione automatica degli account interagisce con SCIM?
La creazione automatica di account viene fornita agli utenti in modo reattivo, nel momento in cui tentano di registrarsi o di effettuare l'accesso. Questo è noto come provisioning "just-in-time". Al contrario, SCIM fornisce gli utenti in modo proattivo, non appena vengono aggiunti a un gruppo IdP specificato.
Come best practice, sconsigliamo vivamente di abilitare sia la creazione automatica di account che SCIM. L'abilitazione di entrambe le funzionalità sul tuo account potrebbe comportare la fornitura di accesso a utenti non gestiti. Ricorda che solo gli utenti gestiti da SCIM possono essere disattivati automaticamente in risposta alle modifiche nell'appartenenza al gruppo IdP.
Come posso abilitare i gruppi con la mia integrazione SCIM?
Quando abiliti la sincronizzazione delle directory con ChatGPT, le directory sincronizzate esistenti verranno automaticamente sincronizzate con i gruppi ChatGPT. Qualsiasi gruppo che scegli di sincronizzare con il tuo IdP verrà automaticamente riportato su ChatGPT.
Avrai comunque la possibilità di creare manualmente dei gruppi nelle impostazioni dell'area di lavoro di ChatGPT.
I proprietari dell'area di lavoro possono decidere se i gruppi gestiti tramite SCIM debbano apparire nei flussi di condivisione?
I proprietari dell'area di lavoro possono decidere se i gruppi gestiti tramite SCIM debbano essere visibili agli utenti dell'area di lavoro nei flussi di condivisione, come i GPT e i progetti.
Vai su Impostazioni dell'area di lavoro.
Seleziona Identità e accesso.
Controlla l'opzione Visibile agli utenti dell'area di lavoro.
È importante notare che questa impostazione non elimina i gruppi dalla sincronizzazione SCIM né interrompe la creazione dei gruppi. Se abilitata, i gruppi gestiti tramite SCIM non appariranno nelle diverse funzionalità di condivisione all'interno di ChatGPT.
Se un progetto o un GPT è già condiviso con uno o più gruppi gestiti tramite SCIM, tali gruppi verranno rimossi dall'elenco di condivisione al successivo aggiornamento del progetto o del GPT.
Il gruppo SCIM sovrascriverà il gruppo ChatGPT?
Sì. Se disponi già di un gruppo ChatGPT con lo stesso nome di un gruppo sincronizzato dal tuo IdP, il gruppo ChatGPT esistente verrà gestito tramite SCIM, anziché creare un gruppo duplicato. L'appartenenza al gruppo sarà quindi controllata dal tuo IdP; pertanto, se il gruppo ChatGPT esistente ha membri gestiti manualmente, ti consigliamo di verificare il gruppo nel tuo IdP prima di abilitare la sincronizzazione.
Come posso capire quali utenti o gruppi sono stati aggiunti tramite SCIM?
Nelle sezioni Membri e Gruppi delle impostazioni dell'area di lavoro ChatGPT, ogni utente o gruppo avrà un badge accanto al proprio nome per indicare se è stato aggiunto tramite SCIM.
Cosa succede ai dati di un utente se vengono rimossi e poi aggiunti nuovamente tramite SCIM?
Rimuovere e aggiungere nuovamente un utente tramite SCIM comporta lo stesso comportamento in materia di conservazione dei dati della rimozione manuale ed è gestito in base alla politica di conservazione dei dati dell'area di lavoro. Per ulteriori dettagli, consulta il nostro articolo: Conservazione dei dati quando un membro viene rimosso da un'area di lavoro
È possibile sospendere o disabilitare temporaneamente un utente gestito tramite SCIM mantenendo attivo il protocollo SCIM?
Non solo all'interno di ChatGPT. Per le aree di lavoro ChatGPT gestite tramite SCIM, il tuo provider di identità (IdP) è l'autorità di riferimento per l'accesso degli utenti. Se un utente rimane assegnato all'applicazione ChatGPT o a un gruppo fornito tramite SCIM nel tuo IdP, la sua rimozione manuale dall'area di lavoro potrebbe essere solo temporanea. L'utente può essere aggiunto nuovamente in occasione di una successiva sincronizzazione SCIM o di una risincronizzazione manuale.
Per impedire temporaneamente l'accesso mantenendo SCIM abilitato per il resto del tuo spazio di lavoro, aggiorna le autorizzazioni dell'utente nel tuo IdP. Il metodo più affidabile consiste nel rimuovere l'utente dall'assegnazione dell'app ChatGPT o dal gruppo di provisioning che concede l'accesso. Quando sarai pronto a ripristinare l'accesso, aggiungi nuovamente l'utente nel tuo IdP e SCIM provvederà a riassegnargli le autorizzazioni.
Nota: a seconda del proprio IdP, la sospensione o la disattivazione dell'account utente potrebbe non comportare la rimozione dell'assegnazione dell'app ChatGPT. Se l'assegnazione rimane attiva, l'utente potrebbe comunque essere nuovamente abilitato. Inoltre, un gruppo "senza autorizzazioni" all'interno di ChatGPT non costituisce un sostituto affidabile della sospensione dell'accesso.
Piattaforma API
Cosa succede quando un utente della piattaforma API viene invitato da SCIM?
Quando un utente viene fornito da SCIM, riceve un invito all'organizzazione della piattaforma. L'utente fornito deve accettare l'invito o effettuare nuovamente l'accesso per diventare membro dell'organizzazione. Se l'utente non accetta l'invito, continuerà a essere visualizzato come "Invito in sospeso" nella scheda Membri.
Se un utente viene fornito con SCIM e non è già membro dell'organizzazione, gli verrà inviata un'e-mail per informarlo che è stato invitato a far parte dell'organizzazione. Se l'utente fa già parte dell'organizzazione e diventa gestito da SCIM, non riceverà alcuna e-mail.
Come posso sapere quali utenti sono stati aggiunti tramite SCIM?
Nella sezione Membri dell'organizzazione delle impostazioni della tua piattaforma, ogni utente o invito avrà un badge accanto al proprio nome per indicare se è stato aggiunto tramite SCIM.
Quali aggiornamenti posso apportare ai miei utenti tramite SCIM?
Attualmente supportiamo la sincronizzazione degli aggiornamenti dei nomi dal tuo Identity Provider (IdP). Ti preghiamo di notare che se un utente appartiene a più organizzazioni, qualsiasi modifica al nome verrà applicata a tutte le organizzazioni. Gli utenti possono anche aggiornare manualmente il proprio nome in qualsiasi momento.
Posso abilitare i Gruppi con la mia integrazione SCIM della piattaforma API?
Sì. I gruppi possono essere sincronizzati dal tuo Identity Provider (IdP) tramite SCIM, che mantiene automaticamente aggiornata l'appartenenza. È quindi possibile assegnare ruoli a tali gruppi all'interno della piattaforma OpenAI.