OpenAI SCIM-integrasjonen lar identitetsleverandører utveksle brukeridentitetsdata med OpenAI, og automatiserer klargjøring av invitasjoner til ChatGPT og API-plattformen samt fjerning av brukere fra ChatGPT-arbeidsområder og API-plattformorganisasjoner. I motsetning til SSO deles ikke SCIM på tvers av ChatGPT-arbeidsområder og API-organisasjoner.
SCIM-integrasjon er bare tilgjengelig for API-plattformorganisasjoner med Custom- eller Unlimited-abonnementer og ChatGPT-arbeidsområder med Enterprise- eller EDU-abonnementer. SCIM er ikke tilgjengelig i ChatGPT for Teachers. Hvis du vil vite mer om disse abonnementene, kan du kontakte OpenAI sitt salgsteam.
Vanlige SCIM-spørsmål
Hvordan setter jeg opp SCIM-integrasjonen?
ChatGPT SCIM kan konfigureres i fanen Identity and Provisioning. API-plattformens SCIM kan konfigureres i Identity settings. Brukere med eiertilgang kan aktivere «directory sync», som veileder dem gjennom oppsett av katalogsynkronisering med din IdP-leverandør via WorkOS-portalen. Her er en visning av WorkOS-portalen:
Hvilke IDP-er støttes av SCIM-integrasjonen?
Støttede IdP-er inkluderer Okta, Entra ID (Azure AD), Google Workspace, PingFederate, OneLogin, Rippling og flere, med alternativer for tilpassede SCIM-implementeringer og et SFTP-endepunkt for klargjøring via CSV-filer.
Hva betyr det å være «administrert av SCIM»?
«Administrert av SCIM» betyr at en brukers konto styres gjennom automatisert klargjøring og avklargjøring basert på synkronisert kataloginformasjon. Brukere som legges til manuelt, administreres ikke av SCIM med mindre de senere synkroniseres fra katalogen.
Kan brukere legges til manuelt i tillegg til å bruke SCIM?
Ja. ChatGPT-brukere kan legges til i arbeidsområdet manuelt via Members page. API-plattformbrukere kan legges til i organisasjonen manuelt via plattforminnstillingene People page eller Administration API. Medlemslistene vil vise hvilke brukere som administreres av SCIM versus de som er lagt til manuelt.
Hva skjer hvis en brukers fornavn og etternavn i ChatGPT ikke samsvarer med det som er i IDP-en?
Det er forventet at en ChatGPT-bruker skal kunne redigere navnet sitt i tjenestene våre. Når du implementerer SCIM, vil ikke navnet som er knyttet til e-postadressen i din IDP overstyre det som står i ChatGPT. Det bør ikke være noe problem for SCIM hvis navnene ikke samsvarer, siden brukere kun kobles via e-postadressen sin.
Hva skjer hvis en bruker oppdaterer e-postadressen sin i IDP-en?
Vi støtter ikke oppdatering av e-postadressen knyttet til ChatGPT-kontoer. Hvis brukeren oppdaterer e-postadressen sin i din IDP, vil ikke dette overstyre e-posten i ChatGPT.
Hvis du vil at brukerens ChatGPT-konto skal gjenspeile den nye e-postadressen, må vedkommende til slutt ha en ny OpenAI-konto knyttet til den nye e-postadressen. Dette betyr at den nye kontoen ikke vil ha brukerens tidligere chathistorikk eller tilpassede GPT-er.
For å få dette til via SCIM må du:
Avklargjøre brukeren fra SCIM-applikasjonen i din IDP
Bekrefte at den SCIM-administrerte brukeren med den gamle e-postadressen er fjernet fra arbeidsområdet ditt
Klargjøre brukeren på nytt til SCIM-applikasjonen i din IDP
Dette kan imidlertid føre til autentiseringsproblemer hvis autentiseringsprofilen deres allerede er knyttet til den opprinnelige brukerens e-postadresse (f.eks. hvis du bruker SSO, kan SAML-profilen være bufret og kreve hjelp fra support for å kobles fra). Derfor kan du i stedet opprette en separat bruker i IdP-en knyttet til den nye e-postadressen og legge denne brukeren til i de tilsvarende SCIM-gruppene.
Hvor ofte synkroniseres SCIM-katalogen?
De fleste tjenester synkroniserer hvert 30. til 40. minutt (noen tjenester synkroniserer umiddelbart, som Okta).
Finnes det en måte å tvinge katalogsynkroniseringer på?
For øyeblikket finnes det ingen måte å tvinge en SCIM-katalogsynkronisering på. Kontakt support ved å opprette en sak nederst i hjørnet på denne hjelpesiden hvis du opplever problemer med SCIM-katalogen din.
ChatGPT
Hva skjer når en ChatGPT-bruker inviteres via SCIM?
Hvis brukeren allerede er i arbeidsområdet og blir SCIM-administrert, vil vedkommende ikke motta en e-post.
Hvis en bruker klargjøres med SCIM og brukeren ikke er medlem av arbeidsområdet fra før, vil brukeren få en e-post som forteller at vedkommende har blitt invitert til arbeidsområdet.
Brukeren kan godta invitasjonen ved å bruke lenken i e-postinvitasjonen eller ved å logge inn via chatgpt.com. Hvis brukeren ikke godtar invitasjonen, vil brukeren fortsatt vises som en «Pending Invite» i Members-fanen.
Hvordan samhandler Automatic Account Creation med SCIM?
Automatic Account Creation klargjør brukere reaktivt, når de forsøker å registrere seg eller logge inn. Dette er kjent som «just-in-time»-klargjøring. I motsetning til dette klargjør SCIM brukere proaktivt, så snart de legges til i en spesifisert IdP-gruppe.
Som beste praksis anbefaler vi sterkt ikke å aktivere både Automatic Account Creation og SCIM. Hvis du aktiverer begge funksjonene på kontoen din, kan det føre til at klargjøringstilgang gis til ikke-administrerte brukere. Husk at bare brukere som administreres av SCIM, kan deaktiveres automatisk som følge av endringer i medlemskap i IdP-grupper.
Hvordan aktiverer jeg grupper med SCIM-integrasjonen min?
Når du aktiverer katalogsynkronisering med ChatGPT, vil de eksisterende synkroniserte katalogene dine automatisk synkroniseres med ChatGPT-grupper. Enhver gruppe du velger å synkronisere med IdP-en din, vil automatisk gjenspeiles i ChatGPT.
Du vil fortsatt ha muligheten til å opprette grupper manuelt i innstillingene for ChatGPT-arbeidsområdet.
Kan eiere av arbeidsområdet kontrollere om SCIM-administrerte grupper vises i delingsflyter?
Eiere av arbeidsområdet kan kontrollere om SCIM-administrerte grupper kan oppdages av brukere i arbeidsområdet i delingsflyter som GPT-er og prosjekter.
Gå til Workspace settings.
Velg Identity & access.
Se gjennom Discoverable by workspace users.
Merk at denne innstillingen ikke fjerner gruppene fra SCIM-synkronisering eller stopper gruppeklargjøring. Hvis den er aktivert, vil SCIM-administrerte grupper ikke vises i ulike delingsfunksjoner inne i ChatGPT.
Hvis et prosjekt eller en GPT allerede er delt med én eller flere SCIM-administrerte grupper, vil disse gruppene bli fjernet fra delingslisten neste gang prosjektet eller GPT-en oppdateres.
Vil SCIM-gruppen overskrive ChatGPT-gruppen?
Nei. Hvis en gruppe med samme navn allerede finnes i ChatGPT-arbeidsområdet ditt, vil den ikke bli overskrevet av SCIM-gruppen. Den nylig opprettede SCIM-gruppen vil ha samme navn som ChatGPT-gruppen og kan skilles ved hjelp av SCIM-merket ved siden av navnet.
Hvordan kan jeg se hvilke brukere eller grupper som ble lagt til via SCIM?
I Members and Groups-seksjonene i innstillingene for ChatGPT-arbeidsområdet ditt vil hver bruker eller gruppe ha et merke ved siden av navnet sitt som viser om den ble lagt til via SCIM.
Hva skjer med en brukers data hvis vedkommende fjernes og deretter legges til igjen via SCIM?
Fjerning og ny tilleggelse av en bruker via SCIM følger samme atferd for dataoppbevaring som manuell fjerning, og håndteres i henhold til arbeidsområdets retningslinjer for oppbevaring. For fullstendige detaljer, se artikkelen vår: Oppbevaring av data når et medlem fjernes fra et arbeidsområde
Kan jeg midlertidig suspendere eller deaktivere en SCIM-administrert bruker mens SCIM fortsatt er aktivert?
Ikke bare fra ChatGPT alene. For SCIM-administrerte ChatGPT-arbeidsområder er identitetsleverandøren (IdP) din kilden til sannhet for brukertilgang. Hvis en bruker fortsatt er tilordnet ChatGPT-applikasjonen eller til en SCIM-klargjort gruppe i IdP-en din, kan det å fjerne dem manuelt fra arbeidsområdet bare være midlertidig. Brukeren kan legges til igjen ved en senere SCIM-synkronisering eller manuell ny synkronisering.
For å midlertidig hindre tilgang mens SCIM forblir aktivert for resten av arbeidsområdet, oppdaterer du brukerens tilgang i IdP-en din. Den mest pålitelige fremgangsmåten er å fjerne brukeren fra ChatGPT-app-tildelingen eller fra klargjøringsgruppen som gir tilgang. Når du er klar til å gjenopprette tilgang, legger du brukeren tilbake i IdP-en din, og SCIM vil klargjøre vedkommende på nytt.
Merk: Avhengig av IdP-en din kan det hende at suspendering eller deaktivering av brukerkontoen ikke fjerner ChatGPT-app-tildelingen. Hvis tildelingen forblir aktiv, kan brukeren fortsatt bli klargjort på nytt. En gruppe med «ingen tillatelser» inne i ChatGPT er heller ikke en pålitelig erstatning for å suspendere tilgang.
API Platform
Hva skjer når en API-plattformbruker inviteres av SCIM?
Når en bruker klargjøres av SCIM, mottar brukeren en invitasjon til plattformorganisasjonen. Den klargjorte brukeren må godta invitasjonen eller logge inn på nytt for å bli medlem av organisasjonen. Hvis brukeren ikke godtar invitasjonen, vil brukeren fortsatt vises som en «Pending Invite» i Members-fanen.
Hvis en bruker klargjøres med SCIM og brukeren ikke allerede er medlem av organisasjonen, vil brukeren få en e-post som forteller at vedkommende har blitt invitert til organisasjonen. Hvis brukeren allerede er i organisasjonen og blir SCIM-administrert, vil vedkommende ikke motta en e-post.
Hvordan kan jeg se hvilke brukere som ble lagt til via SCIM?
I seksjonen Organization Members i plattforminnstillingene dine vil hver bruker eller invitasjon ha et merke ved siden av navnet sitt som viser om den ble lagt til via SCIM.
Hvilke oppdateringer kan jeg gjøre på brukerne mine via SCIM?
Vi støtter for øyeblikket synkronisering av navneoppdateringer fra identitetsleverandøren (IdP) din. Vær oppmerksom på at hvis en bruker tilhører flere organisasjoner, vil eventuelle navneendringer gjelde på tvers av dem alle. Brukere kan også når som helst oppdatere sitt eget navn manuelt.
Kan jeg aktivere grupper med API-plattformens SCIM-integrasjon?
Ja. Grupper kan synkroniseres fra identitetsleverandøren (IdP) din via SCIM, noe som holder medlemskap automatisk oppdatert. Du kan deretter tildele roller til disse gruppene i OpenAI Platform.