A integração SCIM da OpenAI permite que os fornecedores de identidade troquem dados de identidade dos utilizadores com a OpenAI, automatizando o provisionamento de convites para o ChatGPT e a API Platform, bem como a remoção de utilizadores de espaços de trabalho do ChatGPT e organizações da API Platform. Ao contrário do SSO, o SCIM não é partilhado entre espaços de trabalho do ChatGPT e organizações da API.
A integração SCIM só está disponível para organizações da API Platform com planos de faturação Custom ou Unlimited e espaços de trabalho do ChatGPT com planos Enterprise ou EDU. O SCIM não está disponível no ChatGPT for Teachers. Para saber mais sobre estes planos de faturação, contacte a equipa de vendas da OpenAI.
Perguntas comuns sobre SCIM
Como configuro a integração SCIM?
O SCIM do ChatGPT pode ser configurado no separador Identidade e Provisionamento. O SCIM da API Platform pode ser configurado nas Definições de identidade. Os utilizadores com acesso de Owner podem ativar a «sincronização de diretório», sendo orientados na configuração da sincronização do diretório com o seu fornecedor IdP através do portal WorkOS. Eis uma vista do portal WorkOS:
Que IDPs são suportados pela integração SCIM?
Os IdPs suportados incluem Okta, Entra ID (Azure AD), Google Workspace, PingFederate, OneLogin, Rippling e outros, com opções para implementações SCIM personalizadas e um endpoint SFTP para provisionamento de ficheiros CSV.
O que significa estar «gerido por SCIM»?
«Gerido por SCIM» significa que a conta de um utilizador é controlada através de provisionamento e desprovisionamento automáticos com base nas informações do diretório sincronizado. Os utilizadores adicionados manualmente não são geridos por SCIM, a menos que sejam posteriormente sincronizados a partir do diretório.
Os utilizadores podem ser adicionados manualmente para além da utilização de SCIM?
Sim. Os utilizadores do ChatGPT podem ser adicionados manualmente ao espaço de trabalho através da página Membros. Os utilizadores da API Platform podem ser adicionados manualmente à organização através da página Pessoas nas definições da Platform ou da API de Administração. As listas de membros indicarão quais os utilizadores geridos por SCIM versus os adicionados manualmente.
O que acontece se o nome próprio e o apelido de um utilizador no ChatGPT não corresponderem ao que está no IDP?
É expectável que um utilizador do ChatGPT possa editar o seu nome nos nossos serviços. Quando implementa o SCIM, o nome associado ao email no seu IDP não vai substituir o que está no ChatGPT. Não deverá haver qualquer problema para o SCIM se os nomes não corresponderem, uma vez que os utilizadores são associados apenas através do respetivo endereço de email.
O que acontece se um utilizador atualizar o respetivo email no IDP?
Não suportamos a atualização do endereço de email associado a contas ChatGPT. Se o utilizador atualizar o respetivo endereço de email no seu IDP, isso não vai substituir o email no ChatGPT.
Se quiser que a conta ChatGPT do utilizador reflita o novo email, acabará por ser necessária uma nova conta OpenAI associada ao novo endereço de email. Isto significa que a nova conta não terá o histórico de conversas anterior do utilizador nem os GPT personalizados.
Para o fazer através de SCIM, terá de:
Desprovisionar o utilizador da aplicação SCIM no seu IDP
Confirmar que o utilizador gerido por SCIM com o email antigo foi removido do seu espaço de trabalho
Provisionar novamente o utilizador para a aplicação SCIM no seu IDP
No entanto, isto pode causar problemas de autenticação se o respetivo perfil de autenticação já tiver sido mapeado para o endereço de email original do utilizador (por exemplo, se estiver a utilizar SSO, o perfil SAML poderá estar em cache e exigir assistência do Support para o desvincular). Nesse caso, pode em alternativa criar um utilizador separado no IdP associado ao novo endereço de email e adicionar esse utilizador aos grupos SCIM correspondentes.
Com que frequência é sincronizado o diretório SCIM?
A maioria dos serviços sincroniza a cada 30 a 40 minutos (alguns serviços sincronizam imediatamente, como o Okta).
Existe alguma forma de forçar sincronizações do diretório?
De momento, não existe forma de forçar uma sincronização do diretório SCIM. Contacte o Support criando um ticket no canto inferior desta página de Ajuda se tiver problemas com o seu diretório SCIM.
ChatGPT
O que acontece quando um utilizador do ChatGPT é convidado através de SCIM?
Se o utilizador já estiver no espaço de trabalho e passar a ser gerido por SCIM, não receberá um email.
Se um utilizador for provisionado com SCIM e ainda não for membro do espaço de trabalho, será enviado ao utilizador um email a informar que foi convidado para o espaço de trabalho.
O utilizador pode aceitar o convite usando a ligação no email de convite ou iniciando sessão em chatgpt.com. Se o utilizador não aceitar o convite, continuará a aparecer como «Pending Invite» no separador Members.
Como é que a Criação Automática de Conta interage com o SCIM?
Criação Automática de Conta aprovisiona utilizadores de forma reativa, no momento em que tentam registar-se ou iniciar sessão. Isto é conhecido como provisionamento «just-in-time». Em contraste, o SCIM aprovisiona utilizadores de forma proativa, assim que são adicionados a um grupo IdP especificado.
Como boa prática, recomendamos vivamente não ativar em simultâneo a Criação Automática de Conta e o SCIM. Ativar ambas as funcionalidades na sua conta pode resultar no provisionamento de acesso a utilizadores não geridos. Lembre-se de que apenas os utilizadores geridos por SCIM podem ser automaticamente desativados em resposta a alterações na pertença a grupos no IdP.
Como ativo os Grupos com a minha integração SCIM?
Quando ativa a sincronização de diretório com o ChatGPT, os seus diretórios sincronizados existentes serão automaticamente sincronizados com os Grupos do ChatGPT. Qualquer grupo que escolha sincronizar com o seu IdP será automaticamente refletido no ChatGPT.
Continuará a poder criar grupos manualmente nas definições do espaço de trabalho do ChatGPT.
Os proprietários do espaço de trabalho podem controlar se grupos geridos por SCIM aparecem nos fluxos de partilha?
Os proprietários do espaço de trabalho podem controlar se os grupos geridos por SCIM são detetáveis para os utilizadores do espaço de trabalho em fluxos de partilha, como GPTs e projetos.
Vá a Definições do espaço de trabalho.
Selecione Identidade e acesso.
Veja Detetável pelos utilizadores do espaço de trabalho.
Tenha em atenção que esta definição não remove os grupos da sincronização SCIM nem interrompe o provisionamento de grupos. Se estiver ativada, os grupos geridos por SCIM não aparecerão em várias funcionalidades de partilha dentro do ChatGPT.
Se um projeto ou GPT já estiver partilhado com um ou mais grupos geridos por SCIM, esses grupos serão removidos da lista de partilha na próxima vez que o projeto ou GPT for atualizado.
O grupo SCIM vai substituir o grupo do ChatGPT?
Não. Se já existir no seu espaço de trabalho do ChatGPT um grupo com o mesmo nome, esse grupo não será substituído pelo grupo SCIM. O grupo SCIM recém-criado terá o mesmo nome que o grupo do ChatGPT e pode ser distinguido usando a etiqueta SCIM ao lado do nome.
Como posso saber que utilizadores ou grupos foram adicionados através de SCIM?
Nas secções Membros e Grupos das definições do espaço de trabalho do ChatGPT, cada utilizador ou grupo terá um emblema junto ao nome a indicar se foi adicionado através de SCIM.
O que acontece aos dados de um utilizador se este for removido e depois adicionado novamente através de SCIM?
Remover e voltar a adicionar um utilizador através de SCIM segue o mesmo comportamento de retenção de dados que a remoção manual e é tratado de acordo com a política de retenção de dados do espaço de trabalho. Para todos os detalhes, consulte o nosso artigo: Retenção de dados quando um membro é removido de um espaço de trabalho
Posso suspender ou desativar temporariamente um utilizador gerido por SCIM mantendo o SCIM ativado?
Não apenas a partir do ChatGPT. Para espaços de trabalho do ChatGPT geridos por SCIM, o seu fornecedor de identidade (IdP) é a fonte de verdade para o acesso de utilizadores. Se um utilizador continuar atribuído à aplicação ChatGPT ou a um grupo provisionado por SCIM no seu IdP, removê-lo manualmente do espaço de trabalho pode ser apenas temporário. O utilizador pode voltar a ser adicionado numa sincronização SCIM posterior ou numa resincronização manual.
Para impedir temporariamente o acesso mantendo o SCIM ativado para o resto do seu espaço de trabalho, atualize o acesso do utilizador no seu IdP. A abordagem mais fiável é remover o utilizador da atribuição da aplicação ChatGPT ou do grupo de provisionamento que concede acesso. Quando estiver pronto para restaurar o acesso, volte a adicionar o utilizador no seu IdP e o SCIM irá provisioná-lo novamente.
Nota: Dependendo do seu IdP, suspender ou desativar a conta do utilizador pode não remover a atribuição da aplicação ChatGPT. Se a atribuição permanecer ativa, o utilizador ainda pode voltar a ser provisionado. Um grupo «sem permissões» dentro do ChatGPT também não é um substituto fiável para suspender o acesso.
API Platform
O que acontece quando um utilizador da API Platform é convidado por SCIM?
Quando um utilizador é provisionado por SCIM, recebe um convite para a organização Platform. O utilizador provisionado precisa de aceitar o convite ou iniciar sessão novamente para se tornar membro da organização. Se o utilizador não aceitar o convite, continuará a aparecer como «Pending Invite» no separador Members.
Se um utilizador for provisionado com SCIM e ainda não for membro da organização, será enviado ao utilizador um email a informar que foi convidado para a organização. Se o utilizador já estiver na organização e passar a ser gerido por SCIM, não receberá um email.
Como posso saber que utilizadores foram adicionados através de SCIM?
Na secção Membros da organização das definições da Platform, cada utilizador ou convite terá um emblema junto ao nome a indicar se foi adicionado através de SCIM.
Que atualizações posso fazer aos meus utilizadores através de SCIM?
Atualmente, suportamos a sincronização de atualizações de nome a partir do seu fornecedor de identidade (IdP). Tenha em atenção que, se um utilizador pertencer a várias organizações, quaisquer alterações ao nome serão aplicadas em todas elas. Os utilizadores também podem atualizar manualmente o próprio nome a qualquer momento.
Posso ativar Grupos com a minha integração SCIM da API Platform?
Sim. Os grupos podem ser sincronizados a partir do seu fornecedor de identidade (IdP) através de SCIM, o que mantém a pertença atualizada automaticamente. Depois, pode atribuir funções a esses grupos dentro da OpenAI Platform.