Integracja OpenAI SCIM umożliwia dostawcom tożsamości wymianę danych tożsamości użytkowników z OpenAI, automatyzując przyznawanie zaproszeń do ChatGPT i platformy API oraz usuwanie użytkowników z przestrzeni roboczych ChatGPT i organizacji platformy API. W przeciwieństwie do logowania jednokrotnego, SCIM nie jest współdzielony między przestrzeniami roboczymi ChatGPT a organizacjami API.
Integracja SCIM jest dostępna tylko dla organizacji platformy API z planami rozliczeniowymi Custom lub Unlimited oraz dla przestrzeni roboczych ChatGPT z planami Enterprise lub EDU. SCIM nie jest dostępny w ChatGPT dla nauczycieli. Aby dowiedzieć się więcej o tych planach rozliczeniowych, skontaktuj się z zespołem sprzedaży OpenAI.
Najczęstsze pytania dotyczące SCIM
Jak skonfigurować integrację SCIM?
ChatGPT SCIM można skonfigurować na karcie Tożsamość i aprowizacja. SCIM platformy API można skonfigurować w ustawieniach tożsamości. Użytkownicy z uprawnieniami właściciela mogą włączyć „synchronizację katalogu”, która przeprowadzi ich przez konfigurację synchronizacji katalogu z dostawcą IdP za pośrednictwem portalu WorkOS. Oto widok portalu WorkOS:
Które IDP są obsługiwane przez integrację SCIM?
Obsługiwani dostawcy IdP obejmują Okta, Entra ID (Azure AD), Google Workspace, PingFederate, OneLogin, Rippling i inne, z opcjami niestandardowych wdrożeń SCIM oraz punktu końcowego SFTP do aprowizacji plików CSV.
Co oznacza, że użytkownik jest „zarządzany przez SCIM”?
„Zarządzany przez SCIM” oznacza, że konto użytkownika jest kontrolowane przez automatyczne aprowizowanie i odbieranie dostępu na podstawie zsynchronizowanych informacji katalogowych. Użytkownicy dodani ręcznie nie są zarządzani przez SCIM, chyba że później zostaną zsynchronizowani z katalogu.
Czy użytkowników można dodawać ręcznie oprócz korzystania z SCIM?
Tak. Użytkowników ChatGPT można dodać do przestrzeni roboczej ręcznie na stronie Członkowie. Użytkowników platformy API można dodać do organizacji ręcznie na stronie Osoby w ustawieniach platformy lub za pomocą Administration API. Listy członków wskażą, którzy użytkownicy są zarządzani przez SCIM, a którzy zostali dodani ręcznie.
Co się stanie, jeśli imię i nazwisko użytkownika w ChatGPT nie zgadzają się z danymi w IDP?
To normalne, że użytkownik ChatGPT może edytować swoje imię i nazwisko w naszych usługach. Po wdrożeniu SCIM imię i nazwisko powiązane z adresem e-mail w Twoim IdP nie zastąpią danych w ChatGPT. Niezgodność imion i nazwisk nie powinna powodować problemów w SCIM, ponieważ użytkownicy są łączeni wyłącznie na podstawie adresu e-mail.
Co się stanie, jeśli użytkownik zaktualizuje swój adres e-mail w IDP?
Nie obsługujemy aktualizacji adresu e-mail powiązanego z kontami ChatGPT. Jeśli użytkownik zaktualizuje swój adres e-mail w Twoim IdP, nie zastąpi to adresu e-mail w ChatGPT.
Jeśli chcesz, aby konto ChatGPT użytkownika odzwierciedlało jego nowy adres e-mail, ostatecznie będzie potrzebne nowe konto OpenAI powiązane z nowym adresem e-mail. Oznacza to, że nowe konto nie będzie miało wcześniejszej historii czatów użytkownika ani niestandardowych GPT.
Aby zrobić to przez SCIM, musisz:
Odebrać użytkownikowi aprowizację w aplikacji SCIM w Twoim IdP
Potwierdzić, że użytkownik zarządzany przez SCIM ze starym adresem e-mail został usunięty z Twojej przestrzeni roboczej
Ponownie przyznać użytkownikowi aprowizację w aplikacji SCIM w Twoim IdP
Może to jednak prowadzić do problemów z uwierzytelnianiem, jeśli jego profil uwierzytelniania został już zmapowany na pierwotny adres e-mail użytkownika (np. jeśli używasz logowania jednokrotnego, profil SAML może być buforowany i wymagać pomocy zespołu wsparcia, aby rozłączyć powiązanie). W takiej sytuacji możesz zamiast tego utworzyć osobnego użytkownika w IdP powiązanego z nowym adresem e-mail i dodać go do odpowiednich grup SCIM.
Jak często synchronizuje się katalog SCIM?
Większość usług synchronizuje się co 30–40 minut (niektóre usługi synchronizują się natychmiast, np. Okta).
Czy można wymusić synchronizację katalogu?
Obecnie nie ma możliwości wymuszenia synchronizacji katalogu SCIM. Jeśli występują problemy z katalogiem SCIM, skontaktuj się ze wsparciem, tworząc zgłoszenie w dolnym rogu tej strony pomocy.
ChatGPT
Co się dzieje, gdy użytkownik ChatGPT zostaje zaproszony przez SCIM?
Jeśli użytkownik jest już w przestrzeni roboczej i zaczyna być zarządzany przez SCIM, nie otrzyma e-maila.
Jeśli użytkownik zostanie aprowizowany przez SCIM i nie jest jeszcze członkiem przestrzeni roboczej, otrzyma e-mail z informacją, że został zaproszony do przestrzeni roboczej.
Użytkownik może zaakceptować zaproszenie, korzystając z linku w wiadomości e-mail z zaproszeniem lub logując się przez chatgpt.com. Jeśli użytkownik nie zaakceptuje zaproszenia, nadal będzie widoczny jako „Oczekujące zaproszenie” na karcie Członkowie.
Jak automatyczne tworzenie kont współdziała ze SCIM?
Automatic Account Creation aprowizuje użytkowników reaktywnie, w momencie próby rejestracji lub logowania. Jest to tzw. aprowizacja „just-in-time”. Natomiast SCIM aprowizuje użytkowników proaktywnie, gdy tylko zostaną dodani do określonej grupy IdP.
Jako dobrą praktykę zdecydowanie odradzamy włączanie jednocześnie funkcji Automatic Account Creation i SCIM. Włączenie obu funkcji na koncie może skutkować przyznaniem dostępu użytkownikom niezarządzanym. Pamiętaj, że tylko użytkownicy zarządzani przez SCIM mogą być automatycznie dezaktywowani w odpowiedzi na zmiany członkostwa w grupach IdP.
Jak włączyć grupy w integracji SCIM?
Po włączeniu synchronizacji katalogu z ChatGPT Twoje istniejące zsynchronizowane katalogi będą automatycznie synchronizowane z grupami ChatGPT. Każda grupa, którą zdecydujesz się synchronizować ze swoim IdP, będzie automatycznie odzwierciedlana w ChatGPT.
Nadal będzie można ręcznie tworzyć grupy w ustawieniach przestrzeni roboczej ChatGPT.
Czy właściciele przestrzeni roboczej mogą kontrolować, czy grupy zarządzane przez SCIM pojawiają się w procesach udostępniania?
Właściciele przestrzeni roboczej mogą kontrolować, czy grupy zarządzane przez SCIM są widoczne dla użytkowników przestrzeni roboczej w procesach udostępniania, takich jak GPT i projekty.
Przejdź do Ustawień przestrzeni roboczej.
Wybierz Tożsamość i dostęp.
Sprawdź ustawienie Widoczne dla użytkowników przestrzeni roboczej.
Pamiętaj, że to ustawienie nie usuwa grup z synchronizacji SCIM ani nie zatrzymuje aprowizacji grup. Jeśli jest włączone, grupy zarządzane przez SCIM nie będą pojawiać się w różnych funkcjach udostępniania w ChatGPT.
Jeśli projekt lub GPT jest już udostępniony co najmniej jednej grupie zarządzanej przez SCIM, grupy te zostaną usunięte z listy udostępniania przy następnej aktualizacji projektu lub GPT.
Czy grupa SCIM nadpisze grupę ChatGPT?
Nie. Jeśli w Twojej przestrzeni roboczej ChatGPT istnieje już grupa o tej samej nazwie, nie zostanie nadpisana przez grupę SCIM. Nowo utworzona grupa SCIM będzie miała tę samą nazwę co grupa ChatGPT i będzie można ją odróżnić dzięki etykiecie SCIM obok jej nazwy.
Jak mogę sprawdzić, którzy użytkownicy lub grupy zostali dodani przez SCIM?
W sekcjach Członkowie i Grupy ustawień przestrzeni roboczej ChatGPT każdy użytkownik lub grupa będą mieć obok nazwy oznaczenie wskazujące, czy zostały dodane przez SCIM.
Co dzieje się z danymi użytkownika, jeśli zostanie usunięty, a następnie ponownie dodany przez SCIM?
Usunięcie i ponowne dodanie użytkownika przez SCIM podlega tym samym zasadom przechowywania danych co usunięcie ręczne i jest obsługiwane zgodnie z zasadami przechowywania danych obowiązującymi w przestrzeni roboczej. Szczegółowe informacje znajdziesz w naszym artykule: Przechowywanie danych po usunięciu członka z przestrzeni roboczej
Czy mogę tymczasowo zawiesić lub wyłączyć użytkownika zarządzanego przez SCIM, pozostawiając SCIM włączony?
Nie z poziomu samego ChatGPT. W przypadku przestrzeni roboczych ChatGPT zarządzanych przez SCIM to dostawca tożsamości (IdP) jest źródłem prawdy w zakresie dostępu użytkowników. Jeśli użytkownik nadal jest przypisany do aplikacji ChatGPT lub do grupy aprowizowanej przez SCIM w Twoim IdP, ręczne usunięcie go z przestrzeni roboczej może być tylko tymczasowe. Użytkownik może zostać dodany z powrotem przy późniejszej synchronizacji SCIM lub ręcznej ponownej synchronizacji.
Aby tymczasowo zablokować dostęp przy zachowaniu włączonego SCIM dla reszty przestrzeni roboczej, zaktualizuj dostęp użytkownika w IdP. Najbardziej niezawodnym sposobem jest usunięcie użytkownika z przypisania do aplikacji ChatGPT lub z grupy aprowizacji, która przyznaje dostęp. Gdy będziesz gotowy przywrócić dostęp, dodaj użytkownika z powrotem w IdP, a SCIM ponownie go zaaprowizuje.
Uwaga: w zależności od Twojego IdP zawieszenie lub wyłączenie konta użytkownika może nie usunąć przypisania do aplikacji ChatGPT. Jeśli przypisanie pozostaje aktywne, użytkownik może nadal zostać ponownie zaaprowizowany. Grupa „brak uprawnień” w ChatGPT również nie jest wiarygodnym zamiennikiem zawieszenia dostępu.
Platforma API
Co się dzieje, gdy użytkownik platformy API zostaje zaproszony przez SCIM?
Gdy użytkownik zostanie zaaprowizowany przez SCIM, otrzyma zaproszenie do organizacji platformy. Zaaprowizowany użytkownik musi zaakceptować zaproszenie lub zalogować się ponownie, aby stać się członkiem organizacji. Jeśli użytkownik nie zaakceptuje zaproszenia, nadal będzie widoczny jako „Oczekujące zaproszenie” na karcie Członkowie.
Jeśli użytkownik zostanie zaaprowizowany przez SCIM i nie jest jeszcze członkiem organizacji, otrzyma e-mail z informacją, że został zaproszony do organizacji. Jeśli użytkownik jest już w organizacji i zaczyna być zarządzany przez SCIM, nie otrzyma e-maila.
Jak mogę sprawdzić, którzy użytkownicy zostali dodani przez SCIM?
W sekcji Członkowie organizacji w ustawieniach platformy każdy użytkownik lub zaproszenie będą mieć obok nazwy oznaczenie wskazujące, czy zostały dodane przez SCIM.
Jakie aktualizacje mogę wprowadzać u użytkowników przez SCIM?
Obecnie obsługujemy synchronizację zmian nazwy z Twojego dostawcy tożsamości (IdP). Pamiętaj, że jeśli użytkownik należy do wielu organizacji, wszelkie zmiany nazwy zostaną zastosowane we wszystkich z nich. Użytkownicy mogą też w dowolnym momencie ręcznie zaktualizować własną nazwę.
Czy mogę włączyć grupy w integracji SCIM platformy API?
Tak. Grupy mogą być synchronizowane z Twojego dostawcy tożsamości (IdP) przez SCIM, co automatycznie utrzymuje aktualność członkostwa. Następnie możesz przypisywać role tym grupom w platformie OpenAI.