Tích hợp SCIM của OpenAI cho phép các nhà cung cấp danh tính trao đổi dữ liệu danh tính người dùng với OpenAI, tự động hóa việc cấp lời mời ChatGPT và Nền tảng API cũng như xóa người dùng khỏi không gian làm việc ChatGPT và tổ chức trên Nền tảng API. Không giống SSO, SCIM không được chia sẻ giữa các không gian làm việc ChatGPT và tổ chức API.
Tích hợp SCIM chỉ khả dụng cho các tổ chức trên Nền tảng API có gói thanh toán Custom hoặc Unlimited và các không gian làm việc ChatGPT có gói Enterprise hoặc EDU. SCIM không khả dụng trong ChatGPT for Teachers. Để tìm hiểu thêm về các Gói thanh toán này, vui lòng liên hệ đội ngũ Sales của OpenAI.
Các câu hỏi SCIM thường gặp
Làm cách nào để thiết lập tích hợp SCIM?
SCIM của ChatGPT có thể được cấu hình trong tab Identity and Provisioning. SCIM của Nền tảng API có thể được cấu hình trong phần Cài đặt danh tính. Người dùng có quyền Owner có thể bật “đồng bộ thư mục”, và hệ thống sẽ hướng dẫn họ thiết lập đồng bộ thư mục với nhà cung cấp IdP của bạn qua cổng WorkOS. Dưới đây là giao diện cổng WorkOS:
Những IDP nào được hỗ trợ bởi tích hợp SCIM?
Các IdP được hỗ trợ gồm Okta, Entra ID (Azure AD), Google Workspace, PingFederate, OneLogin, Rippling và nhiều dịch vụ khác, cùng các tùy chọn cho triển khai SCIM tùy chỉnh và một điểm cuối SFTP để cấp quyền bằng tệp CSV.
“Được SCIM quản lý” nghĩa là gì?
“Được SCIM quản lý” nghĩa là tài khoản của người dùng được kiểm soát thông qua quy trình cấp và thu hồi quyền tự động dựa trên thông tin thư mục đã đồng bộ. Người dùng được thêm thủ công sẽ không được SCIM quản lý trừ khi sau đó được đồng bộ từ thư mục.
Có thể thêm người dùng thủ công ngoài việc dùng SCIM không?
Có. Người dùng ChatGPT có thể được thêm thủ công vào không gian làm việc qua trang Thành viên. Người dùng Nền tảng API có thể được thêm thủ công vào tổ chức qua trang Mọi người trong cài đặt Platform hoặc qua API Quản trị. Danh sách thành viên sẽ cho biết người dùng nào được SCIM quản lý so với những người được thêm thủ công.
Điều gì xảy ra nếu tên và họ của người dùng trong ChatGPT không khớp với thông tin trong IDP?
Việc người dùng ChatGPT có thể chỉnh sửa tên của họ trong các dịch vụ của chúng tôi là điều được dự kiến. Khi bạn triển khai SCIM, tên được liên kết với email trong IdP của bạn sẽ không ghi đè lên tên hiện có trong ChatGPT. Sẽ không có vấn đề gì với SCIM nếu tên không khớp, vì người dùng chỉ được liên kết thông qua địa chỉ email.
Điều gì xảy ra nếu người dùng cập nhật email của họ trong IDP?
Chúng tôi không hỗ trợ cập nhật địa chỉ email gắn với tài khoản ChatGPT. Nếu người dùng cập nhật địa chỉ email của họ trong IdP của bạn, việc này sẽ không ghi đè email trong ChatGPT.
Nếu bạn muốn tài khoản ChatGPT của người dùng phản ánh email mới của họ, cuối cùng họ sẽ cần một tài khoản OpenAI mới gắn với địa chỉ email mới. Điều này có nghĩa là tài khoản mới sẽ không có lịch sử trò chuyện trước đó của người dùng hoặc các GPT tùy chỉnh.
Để thực hiện việc này qua SCIM, bạn sẽ cần:
Thu hồi cấp quyền người dùng khỏi ứng dụng SCIM trong IdP của bạn
Xác nhận rằng người dùng do SCIM quản lý với email cũ đã bị xóa khỏi không gian làm việc của bạn
Cấp quyền lại cho người dùng vào ứng dụng SCIM trong IdP của bạn
Tuy nhiên, điều này có thể dẫn đến sự cố xác thực nếu hồ sơ xác thực của họ đã được ánh xạ với địa chỉ email gốc của người dùng (ví dụ: nếu bạn đang dùng SSO, thì hồ sơ SAML có thể được lưu đệm và cần bộ phận Hỗ trợ trợ giúp để tách liên kết). Vì vậy, thay vào đó bạn có thể tạo một người dùng riêng trong IdP gắn với địa chỉ email mới, và thêm người dùng này vào các nhóm SCIM tương ứng.
Thư mục SCIM đồng bộ thường xuyên như thế nào?
Hầu hết dịch vụ đồng bộ sau mỗi 30 đến 40 phút (một số dịch vụ đồng bộ ngay lập tức, như Okta).
Có cách nào để buộc đồng bộ thư mục không?
Hiện tại, không có cách nào để buộc đồng bộ thư mục SCIM. Vui lòng liên hệ bộ phận Hỗ trợ bằng cách tạo ticket ở góc dưới của trang Trợ giúp này nếu bạn gặp sự cố với thư mục SCIM của mình.
ChatGPT
Điều gì xảy ra khi một người dùng ChatGPT được mời qua SCIM?
Nếu người dùng đã ở trong không gian làm việc và trở thành đối tượng được SCIM quản lý, họ sẽ không nhận được email.
Nếu một người dùng được cấp quyền bằng SCIM và người dùng đó chưa là thành viên của không gian làm việc, người dùng sẽ được gửi email thông báo rằng họ đã được mời vào không gian làm việc.
Người dùng có thể chấp nhận lời mời bằng cách dùng liên kết trong email mời hoặc bằng cách đăng nhập qua chatgpt.com. Nếu người dùng không chấp nhận lời mời, người dùng sẽ tiếp tục hiển thị là “Pending Invite” trong tab Thành viên.
Tính năng Tạo tài khoản tự động tương tác với SCIM như thế nào?
Tạo tài khoản tự động cấp quyền cho người dùng theo cách phản ứng, tại thời điểm họ cố gắng đăng ký hoặc đăng nhập. Điều này được gọi là cấp quyền “just-in-time”. Trái lại, SCIM cấp quyền cho người dùng theo cách chủ động, ngay khi họ được thêm vào một nhóm IdP được chỉ định.
Là một thực tiễn tốt nhất, chúng tôi đặc biệt khuyến nghị không bật đồng thời cả Tạo tài khoản tự động và SCIM. Việc bật cả hai tính năng trên tài khoản của bạn có thể dẫn đến việc cấp quyền truy cập cho người dùng không được quản lý. Hãy nhớ rằng chỉ những người dùng được SCIM quản lý mới có thể tự động bị vô hiệu hóa để phản hồi các thay đổi trong tư cách thành viên của nhóm IdP.
Làm cách nào để bật Nhóm với tích hợp SCIM của tôi?
Khi bạn bật đồng bộ thư mục với ChatGPT, các thư mục đã đồng bộ hiện có của bạn sẽ tự động được đồng bộ với Nhóm ChatGPT. Bất kỳ nhóm nào bạn chọn đồng bộ với IdP của mình sẽ tự động được phản ánh trong ChatGPT.
Bạn vẫn sẽ có khả năng tạo nhóm thủ công trong cài đặt không gian làm việc ChatGPT của mình.
Chủ sở hữu không gian làm việc có thể kiểm soát việc các nhóm do SCIM quản lý có xuất hiện trong các luồng chia sẻ không?
Chủ sở hữu không gian làm việc có thể kiểm soát việc các nhóm do SCIM quản lý có thể được người dùng trong không gian làm việc tìm thấy trong các luồng chia sẻ như GPT và dự án hay không.
Đi tới Cài đặt không gian làm việc.
Chọn Identity & access.
Xem lại Discoverable by workspace users.
Lưu ý rằng cài đặt này không xóa các nhóm khỏi quá trình đồng bộ SCIM hoặc dừng cấp quyền nhóm. Nếu được bật, các nhóm do SCIM quản lý sẽ không xuất hiện trong nhiều chức năng chia sẻ khác nhau bên trong ChatGPT.
Nếu một dự án hoặc GPT đã được chia sẻ với một hoặc nhiều nhóm do SCIM quản lý, các nhóm đó sẽ bị xóa khỏi danh sách chia sẻ vào lần tiếp theo dự án hoặc GPT được cập nhật.
Nhóm SCIM có ghi đè lên nhóm ChatGPT không?
Không. Nếu một nhóm có cùng tên đã tồn tại trong không gian làm việc ChatGPT của bạn, nhóm đó sẽ không bị nhóm SCIM ghi đè. Nhóm SCIM mới được tạo sẽ có cùng tên với nhóm ChatGPT và có thể được phân biệt bằng nhãn SCIM bên cạnh tên của nhóm.
Làm sao tôi biết người dùng hoặc nhóm nào được thêm qua SCIM?
Trong các mục Thành viên và Nhóm của cài đặt không gian làm việc ChatGPT, mỗi người dùng hoặc nhóm sẽ có một huy hiệu bên cạnh tên để cho biết liệu mục đó có được thêm qua SCIM hay không.
Điều gì xảy ra với dữ liệu của người dùng nếu họ bị xóa rồi được thêm lại qua SCIM?
Việc xóa và thêm lại người dùng qua SCIM tuân theo cùng hành vi lưu giữ dữ liệu như khi xóa thủ công, và được xử lý theo chính sách lưu giữ dữ liệu của không gian làm việc. Để biết đầy đủ chi tiết, vui lòng tham khảo bài viết của chúng tôi: Lưu giữ dữ liệu khi một thành viên bị xóa khỏi không gian làm việc
Tôi có thể tạm thời đình chỉ hoặc vô hiệu hóa một người dùng do SCIM quản lý trong khi vẫn giữ SCIM được bật không?
Không thể chỉ từ trong ChatGPT. Đối với các không gian làm việc ChatGPT được SCIM quản lý, nhà cung cấp danh tính (IdP) của bạn là nguồn dữ liệu đáng tin cậy cho quyền truy cập của người dùng. Nếu một người dùng vẫn được gán cho ứng dụng ChatGPT hoặc cho một nhóm được cấp quyền qua SCIM trong IdP của bạn, việc xóa họ khỏi không gian làm việc theo cách thủ công có thể chỉ là tạm thời. Người dùng có thể được thêm lại trong một lần đồng bộ SCIM sau đó hoặc khi đồng bộ lại thủ công.
Để tạm thời ngăn truy cập trong khi vẫn giữ SCIM bật cho phần còn lại của không gian làm việc, hãy cập nhật quyền truy cập của người dùng trong IdP của bạn. Cách đáng tin cậy nhất là xóa người dùng khỏi phần gán ứng dụng ChatGPT hoặc khỏi nhóm cấp quyền cung cấp quyền truy cập. Khi bạn sẵn sàng khôi phục quyền truy cập, hãy thêm người dùng trở lại trong IdP và SCIM sẽ cấp quyền cho họ một lần nữa.
Lưu ý: Tùy thuộc vào IdP của bạn, việc đình chỉ hoặc vô hiệu hóa tài khoản người dùng có thể không xóa phần gán ứng dụng ChatGPT. Nếu phần gán vẫn đang hoạt động, người dùng vẫn có thể được cấp quyền lại. Một nhóm “không có quyền” bên trong ChatGPT cũng không phải là giải pháp thay thế đáng tin cậy cho việc đình chỉ quyền truy cập.
Nền tảng API
Điều gì xảy ra khi một người dùng Nền tảng API được SCIM mời?
Khi một người dùng được cấp quyền bởi SCIM, người dùng sẽ nhận được lời mời vào tổ chức trên Platform. Người dùng được cấp quyền cần chấp nhận lời mời hoặc đăng nhập lại để trở thành thành viên của tổ chức. Nếu người dùng không chấp nhận lời mời, người dùng sẽ tiếp tục hiển thị là “Pending Invite” trong tab Thành viên.
Nếu một người dùng được cấp quyền bằng SCIM và người dùng đó chưa là thành viên của tổ chức, người dùng sẽ được gửi email thông báo rằng họ đã được mời vào tổ chức. Nếu người dùng đã ở trong tổ chức và trở thành đối tượng được SCIM quản lý, họ sẽ không nhận được email.
Làm sao tôi biết người dùng nào được thêm qua SCIM?
Trong mục Thành viên tổ chức trong cài đặt Platform của bạn, mỗi người dùng hoặc lời mời sẽ có một huy hiệu bên cạnh tên để cho biết liệu mục đó có được thêm qua SCIM hay không.
Tôi có thể cập nhật gì cho người dùng của mình qua SCIM?
Hiện tại, chúng tôi hỗ trợ đồng bộ các cập nhật tên từ Nhà cung cấp danh tính (IdP) của bạn. Xin lưu ý rằng nếu một người dùng thuộc nhiều tổ chức, mọi thay đổi tên sẽ được áp dụng trên tất cả các tổ chức đó. Người dùng cũng có thể tự cập nhật tên của chính họ bất kỳ lúc nào.
Tôi có thể bật Nhóm với tích hợp SCIM của Nền tảng API không?
Có. Các nhóm có thể được đồng bộ từ Nhà cung cấp danh tính (IdP) của bạn qua SCIM, giúp tự động giữ thông tin thành viên luôn cập nhật. Sau đó, bạn có thể gán vai trò cho các nhóm đó trong Nền tảng OpenAI.