OpenAI の SCIM 連携を使用すると、ID プロバイダーは OpenAI とユーザーの ID データを交換し、ChatGPT および API プラットフォームへの招待の発行や、ChatGPT ワークスペースおよび API プラットフォーム組織からのユーザー削除を自動化できます。SSO とは異なり、SCIM は ChatGPT ワークスペースおよび API 組織間で共有されません。
SCIM 連携は、カスタムまたは無制限の料金プランをご利用の API プラットフォーム組織、および Enterprise または EDU プランをご利用の ChatGPT ワークスペースでのみご利用いただけます。SCIM は ChatGPT for Teachers では利用できません。これらの請求プランの詳細については、OpenAI の営業チームにお問い合わせください。
SCIM に関するよくある質問
SCIM 連携はどのように設定しますか?
ChatGPT SCIM は、「ID とプロビジョニング」タブで設定できます。API プラットフォーム SCIM は「ID 設定」で設定できます。所有者権限を持つ ChatGPT ユーザーは、WorkOS ポータル経由で IDP とのディレクトリ同期を設定できます。以下は WorkOS ポータル画面の例です。
SCIM 連携に対応している IDP はどれですか?
対応している IDP には、Okta、Entra ID(Azure AD)、Google Workspace、PingFederate、OneLogin、Rippling などがあり、カスタム SCIM 実装や、CSV ファイルによるプロビジョニング用の SFTP エンドポイントも利用できます。
「SCIM によって管理される」とはどういう意味ですか?
「SCIM によって管理される」とは、同期されたディレクトリ情報に基づいて、ユーザーアカウントが自動的にプロビジョニング(作成)およびデプロビジョニング(削除)されることを指します。手動で追加されたユーザーは、後にディレクトリ同期の対象にならない限り、SCIM によって管理されません。
SCIM 連携に加えて、ユーザーを手動で追加することもできますか?
はい。「メンバー」ページから、ChatGPT ユーザーをワークスペースに手動で追加できます。API プラットフォームのユーザーは、「ユーザー」ページまたは管理 API を使用して、プラットフォームの設定から組織に手動で追加できます。「メンバー」リストでは、SCIM によって管理されているユーザーと、手動で追加されたユーザーを区別して表示します。
ChatGPT 上のユーザーの名前(名・姓)が IDP の情報と一致しない場合はどうなりますか?
ChatGPT ユーザーは当社サービス内で自分の名前を編集できますが、SCIM によって管理されているユーザーについては、IdP 側での名前変更によって ChatGPT に表示される名前が更新される場合があります。SCIM は引き続きメールアドレスによってユーザーを照合するため、名前の不一致だけでプロビジョニングやメンバーシップの変更が妨げられることはありません。
ユーザーが IDP でメールアドレスを更新した場合はどうなりますか?
ChatGPT アカウントに紐づくメールアドレスの更新はサポートしていません。ユーザーが IDP 側でメールアドレスを更新しても、その変更が ChatGPT 上のメールアドレスを上書きすることはありません。
ユーザーの新しいメールアドレスを ChatGPT アカウントに反映させたい場合は、新しいメールアドレスに紐づいた OpenAI アカウントを新規に作成する必要があります。そのため、新しいアカウントには、これまでのチャット履歴やカスタム GPT は引き継がれません。
これを SCIM 経由で行うには、以下の手順が必要になります。
IDP 側の SCIM アプリケーションからユーザーをデプロビジョニング(削除)する。
旧メールアドレスの SCIM 管理ユーザーがワークスペースから削除されていることを確認する。
ユーザーを新しいメールアドレスで IDP 側の SCIM アプリケーションに再プロビジョニング(再登録)する。
ただし、既に認証プロファイルがすでに元のメールアドレスに紐づいた状態で残っている場合、認証エラーが発生する可能性があります(たとえば、SSO を使用している場合は、SAML プロファイルがキャッシュとして残っていて、これを切り離すためにサポートの対応が必要になることがあります)。そのため、代わりに、IDP 側で新しいメールアドレスに紐づく別のユーザーを作成し、そのユーザーを該当する SCIM グループに追加するという方法もあります。
SCIM のディレクトリ同期はどのくらいの頻度で行われますか?
ほとんどのサービスは30〜40分ごとに同期されますが、Okta のように即時に同期されるサービスもあります。
ディレクトリ同期を強制的に実行する方法はありますか?
現時点では、SCIM のディレクトリ同期を強制的に実行する方法はありません。SCIM ディレクトリで問題が発生した場合は、このヘルプページ右下からチケットを作成し、サポートまでご連絡ください。
ChatGPT
ChatGPT ユーザーが SCIM 経由で招待された場合、どうなりますか?
既にワークスペースに存在するユーザーが SCIM 管理対象になった場合、招待メールは送信されません。
ユーザーが SCIM によってプロビジョニングされ、まだワークスペースのメンバーでない場合、ワークスペースに招待されたことを知らせるメールが送信されます。
ユーザーは、メール内の招待リンクを使用するか、chatgpt.com にログインすることで招待を承諾できます。ユーザーが招待を承諾しない場合、「メンバー」タブ内では引き続き「招待保留」として表示されます。
自動アカウント作成機能は SCIM とどのように連携しますか?
自動アカウント作成は、ユーザーがサインアップまたはログインしようとしたタイミングで、その場でユーザーをプロビジョニングします。これは「ジャストインタイム」プロビジョニングと呼ばれます。一方、SCIM は、指定された IDP グループにユーザーが追加された時点で、事前にユーザーをプロビジョニングします。
ベストプラクティスとして、自動アカウント作成と SCIM を同時に有効にしないことを強くお勧めします。両方の機能を有効にすると、SCIM 管理されていないユーザーにアクセス権が付与されてしまう可能性があります。SCIM によって管理されているユーザーだけが、IDP グループの変更に応じて自動的に無効化されることに注意してください。
SCIM 連携でグループ機能を有効にするにはどうすればよいですか?
ChatGPT とのディレクトリ同期を有効にすると、既存の同期済みディレクトリが自動的に ChatGPT のグループに同期されます。IDP で同期対象として選択したグループは、ChatGPT 上にも自動的に反映されます。
ChatGPT のワークスペース設定では、引き続き手動でグループを作成することもできます。
ワークスペースの所有者は、SCIMで管理されているグループが共有フローに表示されるかどうかを制御できますか?
ワークスペースの所有者は、SCIM で管理されているグループが、GPT やプロジェクトなどの共有フローにおいてワークスペースのユーザーが検索できるかどうかを制御できます。
「ワークスペース設定」>に移動します。
「ID とアクセス」を選択します。
ワークスペースのユーザーによって検索可能を確認してください。
この設定を行っても、SCIM 同期からグループが削除されたり、グループのプロビジョニングが停止されたりすることはありません。有効にした場合、SCIM で管理されているグループは、ChatGPT 内の各種共有機能には表示されなくなります。
プロジェクトまたは GPT がすでに1つ以上の SCIM 管理グループと共有されている場合、それらのグループは、次回そのプロジェクトまたは GPT が更新される際に共有リストから削除されます。
SCIM グループが ChatGPT のグループを上書きすることはありますか?
はい。IdP から同期されたグループと同じ名前の ChatGPT グループがすでに存在する場合、重複するグループが作成されるのではなく、既存の ChatGPT グループが SCIM によって管理されるようになります。そのメンバーシップは IdP によって制御されるようになるため、既存の ChatGPT グループに手動管理のメンバーがいる場合は、同期を有効にする前に IdP 内のグループを確認してください。
SCIM を通じて追加されたユーザーやグループをどのように見分けられますか?
ChatGPT のワークスペース設定内の「Members(メンバー)」と「Groups(グループ)」セクションでは、各ユーザーやグループの名前の横に、SCIM 経由で追加されたことを示すバッジが表示されます。
ユーザーが一度削除され、その後 SCIM を通じて再追加された場合、そのユーザーデータはどうなりますか?
SCIM を介してユーザーを削除および再追加する場合、データ保持に関する動作は手動による削除と同じであり、ワークスペースのデータ保持ポリシーに従って処理されます。詳細については、こちらの記事をご覧ください:メンバーがワークスペースから削除された場合のデータ保持
SCIM を有効にしたまま、SCIM で管理されているユーザーを一時的に停止または無効化することはできますか?
ChatGPT 単体ではできません。SCIM で管理されている ChatGPT ワークスペースの場合、ユーザーへのアクセス権限に関する最終的な判断は、ID プロバイダー(IdP)が行います。ユーザーが IdP 内の ChatGPT アプリケーションまたは SCIM でプロビジョニングされたグループに割り当てられたままである場合、ワークスペースから手動で削除しても、一時的な対応にとどまる可能性があります。そのユーザーは、その後の SCIM 同期または手動での再同期の際に、再び追加されてしまう可能性があります。
ワークスペースの他の部分で SCIM を有効にしたまま、一時的にアクセスを制限するには、IdP でユーザーのアクセス権を更新してください。最も確実な方法は、ChatGPT アプリへの割り当て、またはアクセス権を付与するプロビジョニンググループからユーザーを削除することです。アクセスを復元する準備が整ったら、IdP でユーザーを再度追加すると、SCIM によって再びプロビジョニングされます。
注:IdP によっては、ユーザーアカウントを一時停止または無効化しても、ChatGPT アプリの割り当てが削除されない場合があります。割り当てが有効なままの場合、ユーザーは再プロビジョニングされる可能性があります。また、ChatGPT 内の「権限なし」グループも、アクセスの一時停止に代わる確実な手段ではありません。
API プラットフォーム
API プラットフォームのユーザーが SCIM によって招待された場合、どうなりますか?
SCIM によってユーザーがプロビジョニングされると、ユーザーはプラットフォーム組織への招待を受け取ります。プロビジョニングされたユーザーは、招待を承諾するか、再度ログインして組織のメンバーになる必要があります。ユーザーが招待を承諾しない場合、「Members(メンバー)」タブ内では引き続き「Pending Invite(招待保留)」として表示されます。
ユーザーが SCIM によってプロビジョニングされ、まだ組織のメンバーでない場合、組織に招待されたことを知らせるメールが送信されます。既に組織に存在するユーザーが SCIM 管理対象になった場合、招待メールは送信されません。
SCIM を通じて追加されたユーザーをどのように見分けられますか?
プラットフォーム設定の「Organization Members(組織メンバー)」セクションでは、各ユーザーまたは招待の名前の横に、SCIM 経由で追加されたことを示すバッジが表示されます。
SCIM 経由でユーザーに対してどのような更新を行うことができますか?
現在、ID プロバイダー(IdP)からの名前更新の同期をサポートしています。ユーザーが複数の組織に所属している場合、名前の変更はすべての組織に適用されることにご注意ください。ユーザーはいつでも自分の名前を手動で更新できます。
API プラットフォームの SCIM 連携でグループを有効にすることはできますか?
はい。グループは SCIM 経由で ID プロバイダー(IdP)から同期できるため、メンバーシップは自動的に最新の状態に保たれます。その後、OpenAI プラットフォーム内でそれらのグループにロールを割り当てることができます。