Интеграция SCIM от OpenAI позволяет провайдерам идентификации обмениваться данными пользователей с OpenAI, автоматизируя приглашение пользователей в ChatGPT и API Platform, а также их удаление из рабочих областей ChatGPT и организаций API Platform. В отличие от единой аутентификации (SSO), SCIM не является общим для рабочих областей ChatGPT и организаций API.
Интеграция SCIM доступна только для организаций API Platform с тарифными планами Custom или Unlimited, а также для рабочих областей ChatGPT с планами Enterprise или EDU. SCIM недоступен в ChatGPT for Teachers. Чтобы узнать больше об этих тарифных планах, свяжитесь с отделом продаж OpenAI.
Часто задаваемые вопросы о SCIM
Как настроить интеграцию SCIM?
SCIM для ChatGPT настраивается во вкладке «Идентификация и подготовка к работе». SCIM для API Platform можно настроить в настройках идентификации. Пользователи с правами владельца могут включить функцию «синхронизация каталогов», после чего им будет предложено выполнить настройку синхронизации каталога с вашим провайдером идентификации через портал WorkOS. Ниже приведён пример интерфейса портала WorkOS:
Какие IdP поддерживаются интеграцией SCIM?
Поддерживаемые IdP включают Okta, Entra ID (Azure AD), Google Workspace, PingFederate, OneLogin, Rippling и другие, с возможностью развертывания пользовательских SCIM и оконечной точки SFTP для подготовки к работе с файлами CSV.
Что значит, если пользователь «управляется через SCIM»?
«Управляется через SCIM» означает, что учетная запись пользователя контролируется через автоматизированную подготовку к работе и отключение на основе синхронизированной информации из каталога Пользователи, добавленные вручную, не управляются SCIM, если они не будут позже синхронизированы из директории.
Можно ли добавлять пользователей вручную, помимо использования SCIM?
Да. Пользователей ChatGPT можно добавлять в рабочую область вручную через страницу «Участники». Пользователей платформы API можно добавить в организацию вручную через настройки платформы на странице «Люди» или с помощью API администрирования. В списках участников указано, какие пользователи управляются через SCIM, а какие добавлены вручную.
Что если имя и фамилия пользователя в ChatGPT не совпадают с теми, что указаны в IDP?
Пользователи ChatGPT могут редактировать свое имя в наших сервисах; отображаемое в ChatGPT имя для пользователей, управление которыми осуществляется через SCIM, можно изменить в вашем IdP. SCIM по-прежнему сопоставляет пользователей по адресу электронной почты, поэтому несовпадение имени не должно препятствовать предоставлению или изменению доступа.
Что произойдет, если пользователь изменит свой адрес электронной почты в IDP?
У нас не поддерживается изменение адресов электронной почты, связанных с учетными записями ChatGPT. Если пользователь изменит свой адрес электронной почты в вашем IDP, он не заменит адрес электронной почты в ChatGPT.
Если вы хотите, чтобы учетная запись пользователя ChatGPT отражала новый адрес электронной почты, в конечном итоге потребуется создать новую учетную запись OpenAI, связанную с этим новым адресом. Это означает, что новая учетная запись не будет иметь предыдущей истории чата пользователя или собственных GPT.
Чтобы выполнить это через SCIM, вам нужно:
Отключить пользователя от приложения SCIM в вашем IDP
Подтвердить, что пользователь, управляемый через SCIM, со старым адресом электронной почты удален из вашей рабочей области
Переназначить пользователя в приложение SCIM в вашем IDP
Однако это может привести к проблемам с аутентификацией, если профиль аутентификации пользователя уже был сопоставлен с исходным адресом электронной почты пользователя (например, если вы используете SSO, то профиль SAML может быть кэширован, и для их разделения потребуется помощь службы поддержки). Вместо этого вы можете создать в IDP отдельного пользователя, связанного с новым адресом электронной почты, и добавить этого пользователя в соответствующие группы SCIM.
Как часто синхронизируется каталог SCIM?
Большинство сервисов синхронизируются каждые 30–40 минут (некоторые сервисы, такие как Okta, синхронизируются немедленно).
Есть ли способ принудительно синхронизировать каталоги?
В настоящий момент нет возможности принудительно синхронизировать каталог SCIM. Если у вас возникли проблемы с вашим каталогом SCIM, обратитесь в службу поддержки, создав заявку в правом нижнем углу этой страницы помощи.
ChatGPT
Что происходит при приглашении пользователя ChatGPT через SCIM?
Если пользователь уже находится в рабочей области и становится управляемым через SCIM, он не получит электронное письмо.
Если пользователь проходит подготовку к работе через SCIM и еще не является участником рабочей области, ему будет отправлено электронное письмо с уведомлением о том, что его пригласили в рабочую область.
Пользователь может принять приглашение, воспользовавшись ссылкой в электронном письме или авторизовавшись через chatgpt.com. Если пользователь не примет приглашение, он продолжит отображаться как «Ожидает приглашения» на вкладке «Участники».
Как автоматическое создание учетных записей взаимодействует с SCIM?
Автоматическое создание учетной записи дает пользователям доступ реактивно, в момент, когда пользователь пытается зарегистрироваться или авторизоваться. Это называется предоставлением по запросу. В то же время SCIM предоставляет пользователям доступ проактивно, как только они добавляются в указанную группу IdP.
Мы настоятельно рекомендуем не включать одновременно автоматическое создание учетных записей и SCIM. Включение обеих функций в вашей учетной записи может привести к предоставлению доступа для неуправляемых пользователей. Помните, что автоматически деактивировать в ответ на изменение статуса в группе IdP можно только тех пользователи, которые управляются через SCIM.
Как включить группы с интеграцией SCIM?
При включении синхронизации каталога с ChatGPT ваши существующие синхронизированные каталоги автоматически синхронизируются с группами ChatGPT. Любая группа, с которой вы решите синхронизировать ваш IdP, будет автоматически отражена в ChatGPT.
Вы по-прежнему будете иметь возможность вручную создавать группы в ваших настройках рабочей области ChatGPT.
Могут ли владельцы рабочей области управлять отображением групп, управляемых через SCIM, при общем доступе?
Владельцы рабочей области могут контролировать, будут ли группы, управляемые через SCIM, доступны для обнаружения пользователями при общем доступе (например, в GPTs и проектах).
Перейдите в Настройки рабочей области.
Выберите «Идентификация и доступ».
Проверьте настройку «Доступно для пользователей рабочей области».
Обратите внимание, что эта настройка не удаляет группы из синхронизации SCIM и не прекращает их автоматическое создание. При включении этой опции группы, управляемые через SCIM, не будут отображаться в различных функциях общего доступа в ChatGPT.
Если проект или GPT уже предоставлен одной или нескольким таким группам, они будут удалены из списка доступа при следующем обновлении проекта или GPT.
Группа SCIM перезаписывает группу ChatGPT?
Да. Если у вас уже есть группа ChatGPT с тем же именем, что и у группы, синхронизированной из вашего IdP, вместо создания дубликата существующая группа ChatGPT переходит под управление SCIM. После этого состав группы будет управляться вашим IdP, поэтому если в существующей группе ChatGPT есть участники, управляемые вручную, проверьте группу в IdP, прежде чем включать синхронизацию.
Как узнать, какие пользователи или группы были добавлены через SCIM?
В разделах «Участники» и «Группы» в настройках вашей рабочей области ChatGPT у каждого пользователя или группы рядом с именем будет значок, указывающий, что он был добавлен через SCIM.
Что происходит с данными пользователя, когда его удаляют, а затем добавляют назад через SCIM?
Удаление и повторное добавление пользователя через SCIM подчиняются тем же правилам хранения данных, что и при ручном удалении, и выполняются в соответствии с политикой хранения данных рабочей области. Подробнее см. в нашей статье: Хранение данных при удалении участника из рабочей области
Можно ли временно приостановить или отключить пользователя, управляемого через SCIM, не отключая SCIM?
Нет, только средствами ChatGPT это сделать нельзя. В рабочих областях ChatGPT с управлением через SCIM доступ пользователей определяется вашим провайдером идентификации (IdP). Если пользователь по-прежнему назначен приложению ChatGPT или входит в группу, синхронизируемую через SCIM в вашем IdP, его ручное удаление из рабочей области может быть только временным. Пользователь может быть добавлен обратно при следующей синхронизации SCIM или при ручной повторной синхронизации.
Чтобы временно ограничить доступ, не отключая SCIM для всей рабочей области, измените права пользователя в вашем провайдере идентификации (IdP). Наиболее надежный способ — удалить пользователя из назначения приложения ChatGPT или из группы, через которую предоставляется доступ. Когда будете готовы восстановить доступ, снова добавьте пользователя в ваш IdP, и SCIM снова предоставит ему доступ.
Примечание: в зависимости от вашего провайдера IdP при приостановке или отключении учетной записи пользователя назначение приложения ChatGPT может не удаляться. Если назначение остается активным, пользователь может быть автоматически добавлен снова. Группа «без разрешений» в ChatGPT также не является надежной альтернативой для приостановки доступа.
Платформа API
Что происходит при приглашении пользователя API Platform через SCIM?
Когда пользователь проходит подготовку к работе через SCIM, он получает приглашение в организацию на платформе. Пользователь, которому предоставляется доступ, должен принять приглашение или заново авторизоваться, чтобы стать участником организации. Если пользователь не примет приглашение, он продолжит отображаться как «Ожидает приглашения» на вкладке «Участники».
Если пользователь проходит подготовку к работе через SCIM и еще не является участником организации, ему будет отправлено электронное письмо с уведомлением о том, что его пригласили в организацию. Если пользователь уже состоит в организации и становится управляемым через SCIM, он не получит электронное письмо.
Как узнать, какие пользователи были добавлены через SCIM?
В разделе «Участники организации» настроек вашей платформы у каждого пользователя или приглашения рядом с именем будет значок, указывающий, что он был добавлен через SCIM.
Какие обновления я могу внести для своих пользователей через SCIM?
На данный момент мы поддерживаем синхронизацию обновлений имен от вашего поставщика удостоверений (IdP). Обратите внимание, что если пользователь принадлежит к нескольким организациям, любые изменения имени будут применены во всех. Пользователи также могут менять свои имена вручную в любое время.
Поддерживается ли управление группами через SCIM в API Platform?
Да. Группы могут быть синхронизированы с вашим поставщиком удостоверений (IdP) через SCIM, что позволяет автоматически поддерживать актуальность. Далее вы можете назначать этим группам роли на платформе OpenAI.