Integrarea OpenAI SCIM permite furnizorilor de identitate să facă schimb de date privind identitatea utilizatorilor cu OpenAI, automatizând provisionarea invitațiilor pentru ChatGPT și API Platform, precum și eliminarea utilizatorilor din spațiile de lucru ChatGPT și organizațiile API Platform. Spre deosebire de SSO, SCIM nu este partajat între spațiile de lucru ChatGPT și organizațiile API.
Integrarea SCIM este disponibilă doar pentru organizațiile API Platform cu planuri de facturare Custom sau Unlimited și pentru spațiile de lucru ChatGPT cu planuri Enterprise sau EDU. SCIM nu este disponibil în ChatGPT pentru profesori. Pentru a afla mai multe despre aceste planuri de facturare, vă rugăm să contactați echipa de vânzări OpenAI.
Întrebări uzuale despre SCIM
Cum configurez integrarea SCIM?
ChatGPT SCIM poate fi configurat în fila Identity and Provisioning. API Platform SCIM poate fi configurat în setările de identitate. Utilizatorii cu acces Owner pot activa „directory sync”, fiind ghidați prin configurarea sincronizării directorului cu furnizorul dvs. IdP prin portalul WorkOS. Iată o imagine a portalului WorkOS:
Ce IDP-uri sunt acceptate de integrarea SCIM?
IdP-urile acceptate includ Okta, Entra ID (Azure AD), Google Workspace, PingFederate, OneLogin, Rippling și altele, cu opțiuni pentru implementări SCIM personalizate și un punct final SFTP pentru provisionarea fișierelor CSV.
Ce înseamnă să fii „gestionat de SCIM”?
„Gestionat de SCIM” înseamnă că un cont de utilizator este controlat prin provisionare și deprovisionare automată pe baza informațiilor de director sincronizate. Utilizatorii adăugați manual nu sunt gestionați de SCIM decât dacă sunt sincronizați ulterior din director.
Utilizatorii pot fi adăugați manual pe lângă utilizarea SCIM?
Da. Utilizatorii ChatGPT pot fi adăugați manual în spațiul de lucru prin pagina Members. Utilizatorii API Platform pot fi adăugați manual în organizație prin pagina People din setările Platform sau prin Administration API. Listele de membri vor indica ce utilizatori sunt gestionați de SCIM față de cei adăugați manual.
Ce se întâmplă dacă prenumele și numele unui utilizator în ChatGPT nu corespund cu cele din IDP?
Este de așteptat ca un utilizator ChatGPT să își poată edita numele în serviciile noastre. Când implementați SCIM, numele asociat cu adresa de e-mail din IdP-ul dvs. nu va suprascrie ceea ce există în ChatGPT. Nu ar trebui să existe nicio problemă pentru SCIM dacă numele nu se potrivesc, deoarece utilizatorii sunt asociați doar prin adresa lor de e-mail.
Ce se întâmplă dacă un utilizator își actualizează adresa de e-mail în IDP?
Noi nu acceptăm actualizarea adresei de e-mail asociate conturilor ChatGPT. Dacă utilizatorul își actualizează adresa de e-mail în IdP-ul dvs., aceasta nu va suprascrie adresa de e-mail din ChatGPT.
Dacă doriți ca acel cont ChatGPT al utilizatorului să reflecte noua adresă de e-mail, în cele din urmă va avea nevoie de un cont OpenAI nou, asociat noii adrese de e-mail. Aceasta înseamnă că noul cont nu va avea istoricul anterior de conversații al utilizatorului sau GPT-urile personalizate.
Pentru a realiza acest lucru prin SCIM, va trebui să:
Deprovisionați utilizatorul din aplicația SCIM din IdP-ul dvs.
Confirmați că utilizatorul gestionat prin SCIM cu vechea adresă de e-mail este eliminat din spațiul dvs. de lucru
Reprovisionați utilizatorul în aplicația SCIM din IdP-ul dvs.
Totuși, acest lucru poate duce la probleme de autentificare dacă profilul lor de autentificare a fost deja mapat la adresa de e-mail inițială a utilizatorului (de ex. dacă utilizați SSO, profilul SAML poate fi memorat în cache și poate necesita ajutor din partea echipei de asistență pentru a fi decuplat). Având în vedere acest lucru, puteți în schimb să creați un utilizator separat în IdP asociat noii adrese de e-mail și să adăugați acest utilizator la grupurile SCIM corespunzătoare.
Cât de des se sincronizează directorul SCIM?
Majoritatea serviciilor se sincronizează la fiecare 30 până la 40 de minute (unele servicii se sincronizează imediat, cum ar fi Okta).
Există o modalitate de a forța sincronizările directorului?
În acest moment, nu există nicio modalitate de a forța o sincronizare a directorului SCIM. Vă rugăm să contactați echipa de asistență prin crearea unui tichet în colțul de jos al acestei pagini de ajutor dacă întâmpinați probleme cu directorul dvs. SCIM.
ChatGPT
Ce se întâmplă când un utilizator ChatGPT este invitat prin SCIM?
Dacă utilizatorul este deja în spațiul de lucru și devine gestionat prin SCIM, nu va primi un e-mail.
Dacă un utilizator este provisionat cu SCIM și nu este deja membru al spațiului de lucru, utilizatorului i se va trimite un e-mail pentru a-l informa că a fost invitat în spațiul de lucru.
Utilizatorul poate accepta invitația folosind linkul din e-mailul de invitație sau conectându-se prin chatgpt.com. Dacă utilizatorul nu acceptă invitația, va continua să apară ca „Pending Invite” în fila Members.
Cum interacționează Automatic Account Creation cu SCIM?
Automatic Account Creation provisionează utilizatorii reactiv, în momentul în care încearcă să se înregistreze sau să se conecteze. Acest lucru este cunoscut ca provisionare „just-in-time”. În schimb, SCIM provisionează utilizatorii proactiv, imediat ce sunt adăugați la un grup IdP specificat.
Ca bună practică, recomandăm cu tărie să nu activați atât Automatic Account Creation, cât și SCIM. Activarea ambelor funcționalități în contul dvs. poate avea ca rezultat provisionarea accesului pentru utilizatori negestionați. Rețineți că doar utilizatorii gestionați de SCIM pot fi dezactivați automat ca răspuns la modificările apartenenței la grupurile IdP.
Cum activez Groups cu integrarea mea SCIM?
Când activați sincronizarea directorului cu ChatGPT, directoarele dvs. sincronizate existente vor fi sincronizate automat cu ChatGPT Groups. Orice grup pe care alegeți să îl sincronizați cu IdP-ul dvs. va fi reflectat automat în ChatGPT.
Veți avea în continuare posibilitatea de a crea manual grupuri în setările spațiului de lucru ChatGPT.
Pot proprietarii spațiului de lucru să controleze dacă grupurile gestionate prin SCIM apar în fluxurile de partajare?
Proprietarii spațiului de lucru pot controla dacă grupurile gestionate prin SCIM pot fi descoperite de utilizatorii spațiului de lucru în fluxuri de partajare precum GPT-uri și proiecte.
Accesați Workspace settings.
Selectați Identity & access.
Verificați Discoverable by workspace users.
Rețineți că această setare nu elimină grupurile din sincronizarea SCIM și nici nu oprește provisionarea grupurilor. Dacă este activată, grupurile gestionate prin SCIM nu vor apărea în diverse funcționalități de partajare din ChatGPT.
Dacă un proiect sau un GPT este deja partajat cu unul sau mai multe grupuri gestionate prin SCIM, acele grupuri vor fi eliminate din lista de partajare la următoarea actualizare a proiectului sau a GPT-ului.
Va suprascrie grupul SCIM grupul ChatGPT?
Nu. Dacă în spațiul dvs. de lucru ChatGPT există deja un grup cu același nume, acesta nu va fi suprascris de grupul SCIM. Grupul SCIM nou creat va avea același nume ca grupul ChatGPT și poate fi diferențiat folosind eticheta SCIM de lângă numele său.
Cum pot spune ce utilizatori sau grupuri au fost adăugate prin SCIM?
În secțiunile Members and Groups din setările spațiului dvs. de lucru ChatGPT, fiecare utilizator sau grup va avea o insignă lângă nume pentru a indica dacă a fost adăugat prin SCIM.
Ce se întâmplă cu datele unui utilizator dacă este eliminat și apoi adăugat din nou prin SCIM?
Eliminarea și readăugarea unui utilizator prin SCIM urmează același comportament de păstrare a datelor ca eliminarea manuală și este gestionată conform politicii de păstrare a datelor a spațiului de lucru. Pentru detalii complete, consultați articolul nostru: Păstrarea datelor atunci când un membru este eliminat dintr-un spațiu de lucru
Pot suspenda sau dezactiva temporar un utilizator gestionat prin SCIM, menținând SCIM activat?
Nu doar din ChatGPT. Pentru spațiile de lucru ChatGPT gestionate prin SCIM, furnizorul dvs. de identitate (IdP) este sursa de adevăr pentru accesul utilizatorilor. Dacă un utilizator rămâne atribuit aplicației ChatGPT sau unui grup provisionat prin SCIM din IdP-ul dvs., eliminarea sa manuală din spațiul de lucru poate fi doar temporară. Utilizatorul poate fi adăugat din nou la o sincronizare SCIM ulterioară sau la o resincronizare manuală.
Pentru a preveni temporar accesul, menținând în același timp SCIM activat pentru restul spațiului dvs. de lucru, actualizați accesul utilizatorului în IdP-ul dvs. Cea mai sigură abordare este să eliminați utilizatorul din atribuirea aplicației ChatGPT sau din grupul de provisionare care acordă acces. Când sunteți gata să restabiliți accesul, adăugați utilizatorul înapoi în IdP-ul dvs., iar SCIM îl va provisiona din nou.
Notă: În funcție de IdP-ul dvs., suspendarea sau dezactivarea contului de utilizator poate să nu elimine atribuirea aplicației ChatGPT. Dacă atribuirea rămâne activă, utilizatorul poate fi totuși reprovisionat. De asemenea, un grup „fără permisiuni” în ChatGPT nu este un substitut fiabil pentru suspendarea accesului.
API Platform
Ce se întâmplă când un utilizator API Platform este invitat prin SCIM?
Când un utilizator este provisionat prin SCIM, acesta primește o invitație în organizația Platform. Utilizatorul provisionat trebuie să accepte invitația sau să se conecteze din nou pentru a deveni membru al organizației. Dacă utilizatorul nu acceptă invitația, va continua să apară ca „Pending Invite” în fila Members.
Dacă un utilizator este provisionat cu SCIM și nu este deja membru al organizației, i se va trimite un e-mail pentru a-l informa că a fost invitat în organizație. Dacă utilizatorul este deja în organizație și devine gestionat prin SCIM, nu va primi un e-mail.
Cum pot spune ce utilizatori au fost adăugați prin SCIM?
În secțiunea Organization Members din setările dvs. Platform, fiecare utilizator sau invitație va avea o insignă lângă nume pentru a indica dacă a fost adăugat prin SCIM.
Ce actualizări pot face utilizatorilor mei prin SCIM?
În prezent, acceptăm sincronizarea actualizărilor de nume din furnizorul dvs. de identitate (IdP). Vă rugăm să rețineți că, dacă un utilizator aparține mai multor organizații, orice modificări ale numelui vor fi aplicate în toate acestea. De asemenea, utilizatorii își pot actualiza manual propriul nume în orice moment.
Pot activa Groups cu integrarea mea API Platform SCIM?
Da. Grupurile pot fi sincronizate din furnizorul dvs. de identitate (IdP) prin SCIM, ceea ce menține automat apartenența actualizată. Apoi puteți atribui roluri acelor grupuri în cadrul OpenAI Platform.