Met de OpenAI SCIM-integratie kunnen identiteitsproviders gebruikersidentiteitsgegevens uitwisselen met OpenAI, waardoor uitnodigingen voor ChatGPT en API Platform en het verwijderen van gebruikers uit ChatGPT-werkruimtes en API Platform-organisaties worden geautomatiseerd. In tegenstelling tot SSO wordt SCIM niet gedeeld tussen ChatGPT-werkruimtes en API-organisaties.
SCIM-integratie is alleen beschikbaar voor API Platform-organisaties met Custom- of Unlimited-factureringsabonnementen en ChatGPT-werkruimtes met Enterprise- of EDU-abonnementen. SCIM is niet beschikbaar in ChatGPT for Teachers. Voor meer informatie over deze factureringsabonnementen kun je contact opnemen met het salesteam van OpenAI.
Veelgestelde SCIM-vragen
Hoe stel ik de SCIM-integratie in?
ChatGPT SCIM kan worden geconfigureerd op het tabblad Identity and Provisioning. API Platform SCIM kan worden geconfigureerd in de Identiteitsinstellingen. Gebruikers met Owner-toegang kunnen ‘directory sync’ inschakelen, waarna ze via het WorkOS-portaal worden begeleid bij het instellen van directory sync met je IdP-provider. Hier is een weergave van het WorkOS-portaal:
Welke IDP's worden ondersteund door de SCIM-integratie?
Ondersteunde IdP's zijn onder meer Okta, Entra ID (Azure AD), Google Workspace, PingFederate, OneLogin, Rippling en meer, met opties voor aangepaste SCIM-implementaties en een SFTP-endpoint voor provisioning via CSV-bestanden.
Wat betekent het om ‘beheerd door SCIM’ te zijn?
‘Beheerd door SCIM’ betekent dat het account van een gebruiker wordt beheerd via geautomatiseerde provisioning en deprovisioning op basis van gesynchroniseerde directorygegevens. Handmatig toegevoegde gebruikers worden niet door SCIM beheerd, tenzij ze later vanuit de directory worden gesynchroniseerd.
Kunnen gebruikers handmatig worden toegevoegd naast het gebruik van SCIM?
Ja. ChatGPT-gebruikers kunnen handmatig aan de werkruimte worden toegevoegd via de pagina Leden. API Platform-gebruikers kunnen handmatig aan de organisatie worden toegevoegd via de Platform-instellingen op de pagina Personen of de Administration API. In de ledenlijsten wordt aangegeven welke gebruikers door SCIM worden beheerd en welke handmatig zijn toegevoegd.
Wat gebeurt er als de voornaam en achternaam van een gebruiker in ChatGPT niet overeenkomen met wat er in de IDP staat?
Het is de bedoeling dat een ChatGPT-gebruiker zijn of haar naam in onze services kan bewerken. Wanneer je SCIM implementeert, zal de naam die aan het e-mailadres in je IDP is gekoppeld niet overschrijven wat er in ChatGPT staat. Dit zou geen probleem moeten zijn voor SCIM als de namen niet overeenkomen, omdat gebruikers alleen via hun e-mailadres worden gekoppeld.
Wat gebeurt er als een gebruiker zijn e-mailadres in de IDP bijwerkt?
We ondersteunen niet het bijwerken van het e-mailadres dat is gekoppeld aan ChatGPT-accounts. Als de gebruiker zijn e-mailadres in je IDP bijwerkt, zal dit niet het e-mailadres in ChatGPT overschrijven.
Als je wilt dat het ChatGPT-account van de gebruiker het nieuwe e-mailadres weerspiegelt, heeft die gebruiker uiteindelijk een nieuw OpenAI-account nodig dat aan het nieuwe e-mailadres is gekoppeld. Dit betekent dat het nieuwe account niet de eerdere chatgeschiedenis of aangepaste GPT's van de gebruiker zal hebben.
Om dit via SCIM te doen, moet je:
De gebruiker deprovisionen uit de SCIM-applicatie in je IDP
Bevestigen dat de door SCIM beheerde gebruiker met het oude e-mailadres uit je werkruimte is verwijderd
De gebruiker opnieuw provisionen naar de SCIM-applicatie in je IDP
Dit kan echter leiden tot verificatieproblemen als het auth-profiel al is gekoppeld aan het oorspronkelijke e-mailadres van de gebruiker (bijvoorbeeld als je SSO gebruikt, kan het SAML-profiel in de cache staan en hulp van Support vereisen om de koppeling op te heffen). Daarom kun je in plaats daarvan een aparte gebruiker maken in de IdP die is gekoppeld aan het nieuwe e-mailadres, en deze gebruiker toevoegen aan de bijbehorende SCIM-groepen.
Hoe vaak synchroniseert de SCIM-directory?
De meeste services synchroniseren elke 30 tot 40 minuten (sommige services synchroniseren direct, zoals Okta).
Is er een manier om directorysynchronisaties af te dwingen?
Op dit moment is er geen manier om een SCIM-directorysynchronisatie af te dwingen. Neem contact op met Support door een ticket aan te maken rechtsonder op deze Help-pagina als je problemen ondervindt met je SCIM-directory.
ChatGPT
Wat gebeurt er wanneer een ChatGPT-gebruiker via SCIM wordt uitgenodigd?
Als de gebruiker al in de werkruimte zit en door SCIM wordt beheerd, ontvangt diegene geen e-mail.
Als een gebruiker met SCIM wordt geprovisioneerd en de gebruiker nog geen lid is van de werkruimte, krijgt de gebruiker een e-mail waarin staat dat diegene is uitgenodigd voor de werkruimte.
De gebruiker kan de uitnodiging accepteren via de link in de uitnodigingsmail of door in te loggen via chatgpt.com. Als de gebruiker de uitnodiging niet accepteert, blijft de gebruiker in het tabblad Leden zichtbaar als een ‘Pending Invite’.
Hoe werkt Automatic Account Creation samen met SCIM?
Automatic Account Creation provisioneert gebruikers reactief, op het moment dat ze zich proberen aan te melden of in te loggen. Dit staat bekend als ‘just-in-time’-provisioning. SCIM daarentegen provisioneert gebruikers proactief, zodra ze aan een opgegeven IdP-groep worden toegevoegd.
Als best practice raden we het sterk af om zowel Automatic Account Creation als SCIM in te schakelen. Het inschakelen van beide functies op je account kan ertoe leiden dat toegang wordt geprovisioneerd voor onbeheerde gebruikers. Onthoud dat alleen gebruikers die door SCIM worden beheerd automatisch kunnen worden gedeactiveerd als reactie op wijzigingen in het lidmaatschap van IdP-groepen.
Hoe schakel ik groepen in met mijn SCIM-integratie?
Wanneer je directory sync inschakelt met ChatGPT, worden je bestaande gesynchroniseerde directories automatisch gesynchroniseerd met ChatGPT Groups. Elke groep die je kiest om met je IdP te synchroniseren, wordt automatisch weergegeven in ChatGPT.
Je kunt nog steeds handmatig groepen maken in je ChatGPT-werkruimte-instellingen.
Kunnen eigenaars van werkruimtes bepalen of door SCIM beheerde groepen verschijnen in deelstromen?
Eigenaars van werkruimtes kunnen bepalen of door SCIM beheerde groepen vindbaar zijn voor werkruimtegebruikers in deelstromen zoals GPT's en projecten.
Ga naar Werkruimte-instellingen.
Selecteer Identity & access.
Bekijk Discoverable by workspace users.
Let op: deze instelling verwijdert de groepen niet uit de SCIM-sync en stopt ook de groepsprovisioning niet. Als dit is ingeschakeld, verschijnen door SCIM beheerde groepen niet in verschillende deelfunctionaliteiten binnen ChatGPT.
Als een project of GPT al is gedeeld met een of meer door SCIM beheerde groepen, worden die groepen uit de deellijst verwijderd de volgende keer dat het project of de GPT wordt bijgewerkt.
Overschrijft de SCIM-groep de ChatGPT-groep?
Nee. Als er al een groep met dezelfde naam bestaat in je ChatGPT-werkruimte, wordt deze niet overschreven door de SCIM-groep. De nieuw gemaakte SCIM-groep krijgt dezelfde naam als de ChatGPT-groep en kan worden onderscheiden met behulp van de SCIM-tag naast de naam.
Hoe kan ik zien welke gebruikers of groepen via SCIM zijn toegevoegd?
In de secties Leden en Groepen van je ChatGPT-werkruimte-instellingen heeft elke gebruiker of groep een badge naast de naam om aan te geven of die via SCIM is toegevoegd.
Wat gebeurt er met de gegevens van een gebruiker als die wordt verwijderd en daarna weer via SCIM wordt toegevoegd?
Het verwijderen en opnieuw toevoegen van een gebruiker via SCIM volgt hetzelfde gegevensbewaar gedrag als handmatige verwijdering en wordt afgehandeld volgens het bewaarbeleid van de werkruimte. Raadpleeg voor alle details ons artikel: Gegevensbewaring wanneer een lid uit een werkruimte wordt verwijderd
Kan ik een door SCIM beheerde gebruiker tijdelijk schorsen of uitschakelen terwijl SCIM ingeschakeld blijft?
Niet alleen vanuit ChatGPT. Voor door SCIM beheerde ChatGPT-werkruimtes is je identiteitsprovider (IdP) de bron van waarheid voor gebruikerstoegang. Als een gebruiker toegewezen blijft aan de ChatGPT-applicatie of aan een via SCIM geprovisioneerde groep in je IdP, kan het handmatig verwijderen van die gebruiker uit de werkruimte slechts tijdelijk zijn. De gebruiker kan bij een latere SCIM-sync of handmatige hersynchronisatie opnieuw worden toegevoegd.
Om toegang tijdelijk te voorkomen terwijl SCIM ingeschakeld blijft voor de rest van je werkruimte, werk je de toegang van de gebruiker bij in je IdP. De meest betrouwbare aanpak is om de gebruiker te verwijderen uit de toewijzing aan de ChatGPT-app of uit de provisioninggroep die toegang verleent. Wanneer je klaar bent om de toegang te herstellen, voeg je de gebruiker weer toe in je IdP en zal SCIM die opnieuw provisioneren.
Opmerking: afhankelijk van je IdP verwijdert het schorsen of uitschakelen van het gebruikersaccount mogelijk niet de toewijzing aan de ChatGPT-app. Als de toewijzing actief blijft, kan de gebruiker nog steeds opnieuw worden geprovisioneerd. Een groep met ‘geen machtigingen’ binnen ChatGPT is ook geen betrouwbare vervanging voor het schorsen van toegang.
API Platform
Wat gebeurt er wanneer een API Platform-gebruiker door SCIM wordt uitgenodigd?
Wanneer een gebruiker door SCIM wordt geprovisioneerd, ontvangt die gebruiker een uitnodiging voor de Platform-organisatie. De geprovisioneerde gebruiker moet de uitnodiging accepteren of opnieuw inloggen om lid van de organisatie te worden. Als de gebruiker de uitnodiging niet accepteert, blijft de gebruiker in het tabblad Leden zichtbaar als een ‘Pending Invite’.
Als een gebruiker met SCIM wordt geprovisioneerd en de gebruiker nog geen lid is van de organisatie, krijgt de gebruiker een e-mail waarin staat dat diegene is uitgenodigd voor de organisatie. Als de gebruiker al in de organisatie zit en door SCIM wordt beheerd, ontvangt diegene geen e-mail.
Hoe kan ik zien welke gebruikers via SCIM zijn toegevoegd?
In het onderdeel Organization Members van je Platform-instellingen heeft elke gebruiker of uitnodiging een badge naast de naam om aan te geven of die via SCIM is toegevoegd.
Welke updates kan ik via SCIM aan mijn gebruikers aanbrengen?
We ondersteunen momenteel het synchroniseren van naamwijzigingen vanuit je Identity Provider (IdP). Houd er rekening mee dat als een gebruiker tot meerdere organisaties behoort, eventuele naamswijzigingen op al deze organisaties worden toegepast. Gebruikers kunnen hun eigen naam ook op elk moment handmatig bijwerken.
Kan ik groepen inschakelen met mijn API Platform SCIM-integratie?
Ja. Groepen kunnen via SCIM worden gesynchroniseerd vanuit je Identity Provider (IdP), waardoor het lidmaatschap automatisch up-to-date blijft. Vervolgens kun je binnen het OpenAI Platform rollen toewijzen aan die groepen.