通过 OpenAI SCIM 集成,身份提供商可以与 OpenAI 交换用户身份数据,自动完成 ChatGPT 与 API 平台的用户邀请,以及将用户从 ChatGPT 工作空间和 API 平台组织中移除的操作。与 SSO 不同,SCIM 不会在 ChatGPT 工作空间和 API 组织之间共享。
SCIM 集成仅适用于使用 Custom 或 Unlimited 计费套餐的 API 平台组织,以及使用 Enterprise 或 EDU 套餐的 ChatGPT 工作空间。SCIM 在 ChatGPT for Teachers 中不可用。如需了解更多关于计费套餐的信息,请联系 OpenAI 销售团队。
常见 SCIM 问题
如何设置 SCIM 集成?
ChatGPT SCIM 可在身份与预配选项卡中进行配置。API 平台 SCIM 可在身份设置中进行配置。拥有所有者权限的 ChatGPT 用户可以启用“目录同步”。该功能将通过 WorkOS 门户引导你完成与身份提供商的目录同步设置。这是 WorkOS 门户的界面:
SCIM 集成支持哪些身份提供商 (IDP)?
支持的身份提供商包括 Okta、Entra ID (Azure AD)、Google Workspace、PingFederate、OneLogin、Rippling 等,还支持自定义 SCIM 实现,并提供用于 CSV 文件预配的 SFTP 端口。
“由 SCIM 管理”是什么意思?
“由 SCIM 管理”意味着用户帐户会依据已同步的目录信息,通过自动预配与取消预配来进行管理。手动添加的用户不会由 SCIM 管理,除非之后从目录中同步。
除了使用 SCIM,用户是否可以手动添加?
可以。ChatGPT 用户可通过成员页面手动添加至工作空间。API 平台用户可通过平台设置中的人员页面或管理 API 手动添加至组织。成员列表会标注出哪些用户由 SCIM 管理,哪些为手动添加。
如果用户在 ChatGPT 中的名字和姓氏与身份提供商中的信息不匹配,会怎样?
ChatGPT 用户可以在我们的服务中编辑自己的姓名,但对于由 SCIM 管理的用户,通过更改身份提供商 (IdP) 端的姓名,可以更新 ChatGPT 中显示的姓名。SCIM 仍会按电子邮件地址匹配用户,因此在仅名称不匹配的情况下,不应阻止预配或成员资格更改。
如果用户在身份提供商中更新了邮箱,会怎样?
我们不支持更新与 ChatGPT 账户关联的邮箱地址。如果用户在您的身份提供商中更新了其邮箱地址,这不会覆盖ChatGPT 中的邮箱。
如果您希望用户的 ChatGPT 账户反映其新邮箱,他们最终需要一个与新邮箱地址绑定的新 OpenAI 账户。这意味着新账户将不包含用户之前的聊天历史或自定义 GPT。
要通过 SCIM 实现这一点,您需要:
从身份提供商的 SCIM 应用中取消该用户的预配
确认使用旧邮箱的 SCIM 管理用户已从您的工作空间中移除
将该用户重新预配到身份提供商的 SCIM 应用中
然而,如果他们的认证配置文件已映射到原始用户邮箱地址(例如,如果您正在使用 SSO,则 SAML 配置文件可能已缓存,需要支持团队协助解耦),这可能会导致认证问题。鉴于此,您可以改为在身份提供商中创建一个与新邮箱地址绑定的独立用户,并将此用户添加到相应的 SCIM 群组中。
SCIM 目录多久同步一次?
大多数服务每 30 至 40 分钟同步一次(部分服务会立即同步,例如 Okta)。
有办法强制进行目录同步吗?
目前,无法强制进行 SCIM 目录同步。如果你遇到 SCIM 目录问题,请通过在此帮助页面右下角创建工单联系支持团队。
ChatGPT
通过 SCIM 邀请 ChatGPT 用户时会发生什么?
如果用户已是工作空间成员,并转为由 SCIM 管理,则不会收到电子邮件。
如果用户通过 SCIM 被预配,且不是工作空间的现有成员,则会收到一封电子邮件,通知他们已被邀请加入该工作空间。
用户可以通过点击电子邮件邀请中的链接,或通过登录 chatgpt.com 来接受邀请。如果用户未接受邀请,该用户仍会在“成员”页显示为“邀请待接受”。
自动账户创建如何与 SCIM 交互?
自动账户创建属于被动预配,当用户尝试注册或登录时才会为其开通账号。这称为“即时”预配。相比之下,SCIM 是主动预配,用户一旦被添加到指定的身份提供商群组中,就会立即被预配。
作为最佳实践,我们强烈建议不要同时启用自动账户创建和 SCIM。在您的账户上同时启用这两个功能可能会导致向非受管用户预配访问权限。请记住,只有那些由 SCIM 管理的用户才能在身份提供商群组成员资格发生变化时自动停用。
如何在我的 SCIM 集成中启用群组?
启用目录同步后,您已接入的目录中的群组信息会自动同步到 ChatGPT 群组。您选择与身份提供商同步的任何群组都将自动反映在 ChatGPT 中。
您仍然可以手动在您的 ChatGPT 工作空间设置中创建群组。
工作空间所有者是否可以控制 SCIM 管理的群组是否显示在共享流程中?
工作空间所有者可以控制在 GPT、项目等共享流程中,SCIM 管理的群组是否可被工作空间用户查看到。
进入工作空间设置。
选择身份与访问权限。
查看可被工作空间用户发现。
请注意,此设置不会将群组从 SCIM 同步中移除,也不会停止群组预配。启用该设置后,由 SCIM 管理的群组将不会出现在 ChatGPT 内的各类共享功能中。
如果某个项目或 GPT 已与一个或多个 SCIM 管理的群组共享,这些群组会在该项目或 GPT 下次更新时从共享列表中移除。
SCIM 群组会覆盖 ChatGPT 群组吗?
是的。如果你已有的 ChatGPT 组,与从你的 IdP 同步的组同名,则该组将改由 SCIM 管理,系统不会创建重复组。其成员资格随后将由你的 IdP 控制,因此,如果现有 ChatGPT 群组包含手动管理的成员,请在启用同步之前先检查 IdP 中的群组。
如何区分哪些用户或群组是通过 SCIM 添加的?
在 ChatGPT 工作空间设置的成员和群组页面中,每个用户或群组名称旁都会显示徽章,用于标识是否通过 SCIM 添加。
如果用户被移除,后又通过 SCIM 重新添加,其数据会怎样?
通过 SCIM 移除并重新添加用户,遵循与手动移除相同的数据保留规则,并根据工作空间的数据保留政策进行处理。如需了解完整详情,请参阅我们的文章:成员从工作空间移除时的数据保留政策
我是否可以在保持 SCIM 启用的状态下,临时暂停或禁用 SCIM 管理的用户?
仅在 ChatGPT 内无法实现该操作。对于由 SCIM 管理的 ChatGPT 工作空间,身份提供商(IdP)是用户访问权限的可信来源。如果用户在 IdP 中仍被分配至 ChatGPT 应用或 SCIM 预配的群组,手动将其从工作空间移除可能仅为临时效果。该用户可能在后续的 SCIM 同步或手动重新同步中被再次添加。
若要在工作空间其他部分保持 SCIM 启用的前提下临时禁止某用户访问,请在 IdP 中更新该用户的访问权限。最可靠的方式是将该用户从 ChatGPT 应用分配中移除,或从授予访问权限的预配群组中移除。当需要恢复访问权限时,在 IdP 中重新添加该用户,SCIM 便会再次对其进行预配。
注意:根据所使用的 IdP 不同,暂停或禁用用户账户可能不会移除其 ChatGPT 应用分配权限。如果该分配权限仍处于生效状态,用户仍可能被重新预配。ChatGPT 内部的“无权限”群组也无法可靠替代暂停访问的操作。
API 平台
当 API 平台用户通过 SCIM 受邀时会发生什么?
当 SCIM 对用户进行预配时,用户会收到平台组织的邀请。预配用户需要接受邀请或重新登录,才能成为组织成员。如果用户未接受邀请,该用户仍会在“成员”选项卡中显示为“邀请待接受”。
如果用户通过 SCIM 被预配,且不是组织的现有成员,则会收到一封电子邮件,通知他们已被邀请加入该组织。如果用户已是组织成员,并转为由 SCIM 管理,则不会收到电子邮件。
如何区分哪些用户是通过 SCIM 添加的?
在平台设置页面的组织成员部分,每个用户或邀请名称旁都会显示徽章,用于标识是否其通过 SCIM 添加。
通过 SCIM,我可以对用户进行哪些更新?
我们目前支持从你的身份提供商 (IdP) 同步名称更新。请注意,如果某个用户属于多个组织,任何名称更改都将应用于所有组织。用户可以随时手动更新其名称。
我可以在我的 API 平台 SCIM 集成中启用群组功能吗?
是的。群组可以通过 SCIM 从身份提供商 (IdP) 同步,从而自动更新成员信息。然后,你可以在 OpenAI 平台中将角色分配给这些群组。