仅使用广告服务的客户现在可以在全局管理员控制台中按租户级别管理广告用户。管理员可在原本用于 SSO 和域名验证的同一界面邀请用户、分配角色、管理群组,并配置 SCIM 预配。
目前可用于广告的租户级角色如下:
广告管理员:可以在租户中创建广告账户。
广告账户管理员:对广告账户数据拥有完全访问权限
广告账户成员:可以读取和写入广告实体,但不具备广告账户管理权限
广告账户查看者:可以查看广告账户数据,但没有写入权限或管理权限
本次更新仅适用于纯广告客户。如果您的组织同时使用 ChatGPT、API、Codex 或其他 OpenAI 产品,请勿将该功能视为完整的跨产品用户与角色管理方案。官方计划在后续更新中拓展适配更多 OpenAI 产品线。
当前限制
全局管理员控制台暂未提供完整的跨产品用户和角色管理能力。
现阶段:
ChatGPT、API、Codex 和其他产品的角色不会显示在全局管理员控制台中,也无法在其中进行管理。
全局管理员控制台内的 SCIM 仅适配广告用户。
暂不支持自定义租户级角色。
你可能会在全局管理员控制台中看到所有 OpenAI 产品的用户。但全面的跨产品用户、角色统一管理功能尚未上线。
SCIM 配置
全局管理员可以前往“访问”页面的“目录”选项卡,然后点击“启用目录同步 (SCIM)”按钮来配置 SCIM:

页面将跳转至设置向导,该向导会提供分步指导,指引你在 IdP 中配置 SCIM 应用。如需更多信息,请参阅我们的常见 SCIM 问题文档页面。
SCIM 连接最多需要 5 分钟才能激活,身份提供商推送的最新事件同步展示也最多延迟 5 分钟。连接成功后,你可返回“目录”选项卡,查看相关事件记录:

通过 SCIM 为广告账户添加用户
SCIM 完成配置后,可通过两种主要方式为用户分配广告账户访问权限。第一种为直接预配方式。在“用户”页面,点击对应用户条目,即可进入该用户的管理面板。在这里,你可以直接将其分配给拥有“广告账户管理员”角色的某个群组,或者如下所示,直接将此角色分配给用户:

第二种方式是SCIM 群组同步方式。如果你已将 IdP 中的 SCIM 群组同步至管理员控制台,即可为这些群组统一分配指定角色。在这种情况下,您需要按照如下所示,为您的群组分配“广告账户管理员”角色:

完成此操作后,该 SCIM 群组内的所有成员,均可正常登录你的广告账户。
分配广告管理员角色
同样,在你的租户中已有用户后,你可以将这些用户分配到“广告管理员”角色。在“用户”页面,点击对应用户条目,即可进入该用户的管理面板。在此处,选择直接角色选项卡,然后点击右上角的 + 按钮。

这将打开如下所示的模态窗口,你可以在其中分配 广告管理员 角色。请注意,如果租户中没有广告账户,则以下角色不会显示:
广告账户管理员
广告账户成员
广告账户查看者
此时,你只会看到如下所示的“广告管理员”角色:

授予此角色后,获得该角色的用户可以在租户中创建广告账户,从而启用其余广告角色。
常见问题解答
本次功能上线是否会产生破坏性变更?
否。本次更新不会带来任何破坏性变更。
为什么该功能仅面向纯广告客户?
功能上线初期,全局管理员控制台暂不支持查看或管理 ChatGPT 或 API 角色。官方计划在后续更新中拓展适配更多 OpenAI 产品线。
SCIM 是否支持全部产品?
不是。上线初期,全局管理员控制台的租户级 SCIM 仅适配广告用户。ChatGPT 与 API 用户仍需在对应产品端单独配置 SCIM。
如果我需要将用户从广告账户管理员角色中移除,该怎么办?
建议确保广告账户中至少保留一名广告账户管理员;如果你需要移除唯一的广告账户管理员,请先添加另一名管理员,然后再执行移除操作。
我可以创建租户级自定义角色吗?
不可以。当前仅提供全局管理员和成员两种租户级角色。
广告访问权限和 SSO 常见问题
广告管理员和广告账户角色有什么区别?
广告管理员在全局管理控制台中管理广告用户、群组、SSO 和 SCIM 设置。广告账户角色用于控制用户在特定广告管理器账户内可执行的操作,例如查看或管理广告活动。用户可能需要同时具备对应租户级访问权限与对应广告账户角色,方可在广告管理器中开展操作。
为什么我无法创建广告账户?
如果你的公司已有 OpenAI 租户,你需要广告管理员先在全局管理控制台为你开通广告访问权限,之后才能创建或管理广告账户。如果你受邀加入现有广告账户,请确认你使用同一电子邮箱地址接受邀请,且账户所有者已为你分配正确的广告账户角色。
SSO 设置为“必需”、“可选”和“关闭”会如何影响广告用户?
当 SSO 设置为“必需”时,用户必须通过身份提供商完成身份验证,且需分配至对应的 IdP 应用。当 SSO 为“可选”时,符合条件的用户可以选择 SSO 或其他受支持的登录方式。当 SSO 处于关闭状态时,广告用户无需通过 SSO 登录。如果用户在启用 SSO 后无法登录,请检查域、IdP 分配、用户电子邮箱以及广告角色分配。
拥有 ChatGPT 工作空间成员身份,是否会自动授予广告访问权限?
不会。ChatGPT 工作空间成员资格与广告访问权限分开管理。仅使用广告产品的客户应在全局管理控制台管理广告用户,且广告账户访问权限仍需在广告管理器内分配。
SCIM 预配是否适用于所有 OpenAI 产品?
对于仅使用广告服务的租户,全局管理控制台内的 SCIM 预配功能用于管理该租户的广告用户。其他 OpenAI 产品的 SCIM 配置可能会单独管理,因此请确认你正在配置的 OpenAI 应用与租户无误。
