A integração SCIM da OpenAI permite que provedores de identidade troquem dados de identidade de usuários com a OpenAI, automatizando o provisionamento de convites para o ChatGPT e a Plataforma de API, bem como a remoção de usuários de workspaces do ChatGPT e de organizações da Plataforma de API. Ao contrário do SSO, o SCIM não é compartilhado entre workspaces do ChatGPT e organizações da Plataforma de API.
A integração SCIM está disponível apenas para organizações da Plataforma de API com planos de faturamento personalizados ou ilimitados e para workspaces do ChatGPT com planos Enterprise ou EDU. O SCIM não está disponível no ChatGPT para professores. Para mais informações sobre esses planos, entre em contato com a equipe de vendas da OpenAI.
Perguntas comuns sobre SCIM
Como faço para configurar a integração SCIM?
O SCIM do ChatGPT pode ser configurado na aba Identidade e provisionamento. O SCIM da Plataforma de API pode ser configurado nas configurações de identidade. Nas configurações de Identidade, pessoas com acesso de proprietário podem ativar a sincronização de diretório e serão orientadas a configurá-la com o provedor de identidade por meio do portal WorkOS. Aqui está uma visão geral do portal WorkOS:
Quais IDPs são suportados pela integração SCIM?
Os IdPs suportados incluem Okta, Entra ID (Azure AD), Google Workspace, PingFederate, OneLogin, Rippling e muitos outros, com opções para implementações SCIM personalizadas e um endpoint SFTP para provisionamento de arquivos CSV.
O que significa ser “gerenciado pelo SCIM”?
"Gerenciado por SCIM" significa que a conta de um usuário é controlada por meio de provisionamento e desprovisionamento automatizados com base em informações de diretório sincronizadas. Os usuários adicionados manualmente não são gerenciados pelo SCIM, a menos que sejam sincronizados posteriormente a partir do diretório.
É possível adicionar usuários manualmente além de usar o SCIM?
Sim. Usuários do ChatGPT podem ser adicionados ao workspace manualmente pela página Membros. Usuários da Plataforma de API podem ser adicionados à organização manualmente pela página Pessoas nas configurações da plataforma ou pela API de administração. As listas de membros indicam quais usuários são gerenciados pelo SCIM e quais foram adicionados manualmente.
O que acontece se o nome e o sobrenome de um usuário no ChatGPT não corresponderem aos dados cadastrados no IdP?
Os usuários do ChatGPT podem editar o próprio nome em nossos serviços. Para usuários gerenciados por SCIM, alterações feitas no IdP podem atualizar o nome exibido no ChatGPT. O SCIM continua a fazer a correspondência de usuários com base no endereço de e-mail. Por isso, diferenças de nome, por si só, não devem impedir o provisionamento nem as alterações de associação.
O que acontece se um usuário atualizar seu e-mail no IdP?
Não oferecemos suporte à atualização do endereço de e-mail associado às contas do ChatGPT. Se o usuário atualizar o endereço de e-mail no seu provedor de identidade (IdP), essa atualização não substituirá o e-mail cadastrado no ChatGPT.
Se você deseja que a conta ChatGPT do usuário reflita seu novo endereço de e-mail, ele precisará, em última instância, de uma nova conta OpenAI vinculada ao novo endereço de e-mail. Isso significa que a nova conta não terá o histórico de bate-papo anterior do usuário nem as contas GPT personalizadas.
Para realizar isso via SCIM, você precisará:
Remover o usuário do aplicativo SCIM no seu IdP.
Confirmar se o usuário gerenciado pelo SCIM com o e-mail antigo foi removido do seu espaço de trabalho.
Reatribuir o usuário ao aplicativo SCIM em seu IdP.
No entanto, isso pode causar problemas de autenticação se o perfil de autenticação já tiver sido mapeado para o endereço de e-mail original do usuário (por exemplo, se você estiver usando SSO, o perfil SAML pode estar em cache e exigir assistência do suporte para ser desvinculado). Sendo assim, você pode, em vez disso, criar um usuário separado no IdP vinculado ao novo endereço de e-mail e adicionar esse usuário aos grupos SCIM correspondentes.
Com que frequência o diretório SCIM é sincronizado?
A maioria dos serviços sincroniza a cada 30 a 40 minutos (alguns serviços sincronizam imediatamente, como o Okta).
Existe alguma maneira de forçar a sincronização de diretórios?
No momento, não há como forçar uma sincronização do diretório SCIM. Caso encontre problemas com seu diretório SCIM, entre em contato com o Suporte criando um ticket no canto inferior desta página de Ajuda.
ChatGPT
O que acontece quando um usuário do ChatGPT é convidado via SCIM?
Se o usuário já estiver no espaço de trabalho e passar a ser gerenciado pelo SCIM, ele não receberá um e-mail.
Se um usuário receber acesso ao SCIM e ainda não for membro do espaço de trabalho, ele receberá um e-mail informando que foi convidado a participar.
O usuário pode aceitar o convite usando o link no e-mail de convite ou fazendo login através do site chatgpt.com. Caso o usuário não aceite o convite, ele continuará aparecendo como "Convite Pendente" na aba Membros.
Como a Criação Automática de Contas interage com o SCIM?
A criação automática de contas provisiona usuários de forma reativa, no momento em que tentam se cadastrar ou fazer login. Isso é conhecido como provisionamento "just-in-time". Em contrapartida, o SCIM provisiona usuários proativamente, assim que eles são adicionados a um grupo IdP específico.
Como prática recomendada, sugerimos fortemente que você não habilite simultaneamente a Criação Automática de Contas e o SCIM. Habilitar ambas as funcionalidades na sua conta pode resultar no fornecimento de acesso a usuários não gerenciados. Lembre-se de que somente os usuários gerenciados pelo SCIM podem ser desativados automaticamente em resposta a alterações na associação ao grupo IdP.
Como faço para habilitar Grupos na minha integração SCIM?
Ao ativar a sincronização de diretórios com o ChatGPT, seus diretórios já sincronizados serão sincronizados automaticamente com os Grupos do ChatGPT. Qualquer grupo que você escolher sincronizar com seu IdP será refletido automaticamente no ChatGPT.
Você ainda poderá criar grupos manualmente nas configurações do seu espaço de trabalho do ChatGPT.
Os proprietários do workspace podem controlar se grupos gerenciados pelo SCIM aparecem nos fluxos de compartilhamento?
Proprietários do workspace podem controlar se grupos gerenciados pelo SCIM podem ser descobertos por pessoas do workspace em fluxos de compartilhamento, como GPTs e projetos.
Acesse Configurações do workspace.
Selecione Identidade e acesso.
Revise a opção Visível para usuários do workspace.
Essa configuração não remove os grupos da sincronização SCIM nem interrompe o provisionamento. Quando desativada, os grupos gerenciados por SCIM deixam de aparecer em funcionalidades de compartilhamento no ChatGPT.
Se um projeto ou GPT já estiver compartilhado com um ou mais desses grupos, eles serão removidos da lista de compartilhamento na próxima atualização do projeto ou GPT.
O grupo SCIM irá sobrescrever o grupo ChatGPT?
Sim. Se já houver um grupo no ChatGPT com o mesmo nome de um grupo sincronizado a partir do IdP, o grupo existente passará a ser gerenciado pelo SCIM, em vez de um novo grupo ser criado. A associação ao grupo passa a ser controlada pelo IdP. Por isso, revise o grupo no IdP antes de habilitar a sincronização, especialmente se o grupo existente no ChatGPT tiver membros gerenciados manualmente.
Como posso saber quais usuários ou grupos foram adicionados via SCIM?
Na seção de Membros Nas seções "Grupos" das configurações do seu espaço de trabalho do ChatGPT, cada usuário ou grupo terá um ícone ao lado do nome para indicar se foi adicionado via SCIM.
O que acontece com os dados de um usuário se ele for removido e depois adicionado novamente via SCIM?
A remoção e a readição de um usuário via SCIM seguem o mesmo comportamento de retenção de dados que a remoção manual e são tratadas de acordo com a política de retenção de dados do espaço de trabalho. Para obter detalhes completos, consulte nosso artigo: Retenção de dados quando um membro é removido de um workspace.
Posso suspender ou desativar temporariamente uma pessoa usuária gerenciada pelo SCIM, mantendo o SCIM habilitado?
Não apenas dentro do ChatGPT. Em workspaces do ChatGPT gerenciados por SCIM, o provedor de identidade (IdP) é a fonte de verdade para o acesso. Se a pessoa continuar associada ao app do ChatGPT ou a um grupo provisionado por SCIM no IdP, a remoção manual do workspace pode ser apenas temporária. A pessoa pode ser adicionada novamente em uma sincronização SCIM posterior ou em uma ressincronização manual.
Para impedir temporariamente o acesso e manter o SCIM ativo para o restante do workspace, atualize o acesso no IdP. A forma mais confiável é remover a pessoa da atribuição ao app do ChatGPT ou do grupo de provisionamento que concede acesso. Quando quiser restaurar o acesso, adicione a pessoa novamente no IdP e o SCIM fará o provisionamento automaticamente.
Observação: dependendo do IdP, suspender ou desativar a conta pode não remover a atribuição ao app do ChatGPT. Se a atribuição continuar ativa, a pessoa ainda poderá ser reprovisionada. Um grupo “sem permissões” no ChatGPT também não substitui de forma confiável a suspensão de acesso.
Plataforma de API
O que acontece quando uma pessoa usuária da Plataforma de API é convidada pelo SCIM?
Quando um usuário é provisionado pelo SCIM, ele recebe um convite para a organização da plataforma. O usuário que recebeu o convite precisa aceitá-lo ou fazer login novamente para se tornar membro da organização. Caso o usuário não aceite o convite, ele continuará aparecendo como "Convite Pendente" na aba Membros.
Se um usuário receber acesso ao SCIM e ainda não for membro da organização, ele receberá um e-mail informando que foi convidado a participar da organização. Se o usuário já estiver na organização e passar a ser gerenciado pelo SCIM, ele não receberá um e-mail.
Como posso saber quais usuários foram adicionados via SCIM?
Na seção Membros da Organização das configurações da sua plataforma, cada usuário ou convite terá um selo ao lado do nome para indicar se foi adicionado via SCIM.
Que atualizações posso fazer para meus usuários via SCIM?
Atualmente, oferecemos suporte à sincronização de atualizações de nome do seu provedor de identidade (IdP). Observe que, se um usuário pertencer a várias organizações, quaisquer alterações de nome serão aplicadas a todas elas. Os usuários também podem atualizar manualmente seus próprios nomes a qualquer momento.
Posso habilitar grupos na minha integração SCIM da plataforma de API?
Sim. Os grupos podem ser sincronizados do seu provedor de identidade (IdP) via SCIM, o que mantém a lista de membros atualizada automaticamente. Em seguida, você pode atribuir funções a esses grupos dentro da plataforma OpenAI.