OpenAI SCIM 整合讓身分提供者可與 OpenAI 交換使用者身分資料,自動處理 ChatGPT 和 API Platform 的邀請,以及將使用者從 ChatGPT 工作區和 API Platform 組織中移除。與 SSO 不同,SCIM 不會在不同的 ChatGPT 工作區和 API 組織之間共用。
SCIM 整合僅適用於採用 Custom 或 Unlimited Billing Plans 的 API Platform 組織,以及採用 Enterprise 或 EDU plans 的 ChatGPT 工作區。SCIM 不適用於 ChatGPT for Teachers。如欲了解更多有關這些 Billing Plans 的資訊,請聯絡 OpenAI 銷售團隊。
SCIM 常見問題
如何設定 SCIM 整合?
ChatGPT SCIM 可在 Identity and Provisioning 分頁中設定。API Platform SCIM 可在Identity settings 中設定。具有 Owner 權限的使用者可啟用「directory sync」,系統會引導他們透過 WorkOS portal 與你的 IdP 提供者設定目錄同步。以下是 WorkOS portal 的畫面:
SCIM 整合支援哪些 IDP?
支援的 IdP 包括 Okta、Entra ID (Azure AD)、Google Workspace、PingFederate、OneLogin、Rippling 等,亦支援自訂 SCIM 實作及用於 CSV 檔案佈建的 SFTP 端點。
「由 SCIM 管理」是甚麼意思?
「由 SCIM 管理」表示使用者帳戶會根據已同步的目錄資訊,透過自動佈建和取消佈建來控制。手動新增的使用者不會由 SCIM 管理,除非之後從目錄同步。
除了使用 SCIM 外,是否仍可手動新增使用者?
可以。ChatGPT 使用者可透過Members page手動加入工作區。API Platform 使用者可透過 Platform 設定中的People page或Administration API手動加入組織。成員清單會標示哪些使用者由 SCIM 管理,哪些是手動新增。
如果 ChatGPT 中使用者的名字和姓氏與 IDP 中的不符,會怎樣?
ChatGPT 使用者可以在我們的服務中編輯自己的姓名,這是預期行為。當你實施 SCIM 時,與你的 IDP 中電郵地址關聯的姓名不會覆蓋 ChatGPT 內現有的姓名。即使姓名不一致,SCIM 亦不應有問題,因為使用者只會透過其電郵地址連結。
如果使用者在 IDP 中更新其電郵地址,會怎樣?
我們不支援更新與 ChatGPT 帳戶關聯的電郵地址。如果使用者在你的 IDP 中更新其電郵地址,這不會覆蓋 ChatGPT 中的電郵地址。
如果你希望使用者的 ChatGPT 帳戶反映其新電郵,他們最終需要一個與新電郵地址綁定的新 OpenAI 帳戶。這表示新帳戶不會保留該使用者先前的聊天記錄或自訂 GPT。
要透過 SCIM 完成此操作,你需要:
在你的 IDP 中從 SCIM 應用程式取消佈建該使用者
確認由 SCIM 管理、使用舊電郵的使用者已從你的工作區移除
在你的 IDP 中重新將該使用者佈建到 SCIM 應用程式
不過,如果其驗證設定檔已經對應到原本的使用者電郵地址,這可能會導致驗證問題(例如如果你使用 SSO,則 SAML 設定檔可能已被快取,並需要 Support 協助解除連結)。因此,你亦可改為在 IdP 中建立一個與新電郵地址綁定的獨立使用者,並將此使用者加入相應的 SCIM 群組。
SCIM 目錄同步多久進行一次?
大部分服務每 30 至 40 分鐘同步一次(某些服務會即時同步,例如 Okta)。
有方法強制進行目錄同步嗎?
目前無法強制執行 SCIM 目錄同步。如你的 SCIM 目錄出現問題,請在此說明頁右下角建立支援工單以聯絡 Support。
ChatGPT
當 ChatGPT 使用者透過 SCIM 被邀請時,會發生甚麼事?
如果使用者已經在工作區內,並改為由 SCIM 管理,他們將不會收到電郵。
如果使用者透過 SCIM 佈建,而該使用者尚未成為工作區成員,系統會向其發送電郵,告知他們已獲邀加入工作區。
使用者可使用電郵邀請中的連結接受邀請,或透過chatgpt.com登入。如使用者未接受邀請,該使用者會繼續在 Members 分頁中顯示為「Pending Invite」。
Automatic Account Creation 與 SCIM 如何互動?
Automatic Account Creation 會在使用者嘗試註冊或登入時被動地佈建使用者。這稱為「just-in-time」佈建。相比之下,SCIM 會在使用者被加入指定 IdP 群組後,立即主動地佈建使用者。
作為最佳做法,我們強烈建議不要同時啟用 Automatic Account Creation 和 SCIM。在你的帳戶上同時啟用這兩項功能,可能會導致未受管理的使用者獲得佈建存取權。請記住,只有由 SCIM 管理的使用者,才可因應 IdP 群組成員資格變更而被自動停用。
如何在我的 SCIM 整合中啟用群組?
當你在 ChatGPT 啟用目錄同步後,你現有的已同步目錄會自動與 ChatGPT Groups 同步。任何你選擇與 IdP 同步的群組,都會自動反映於 ChatGPT 中。
你仍然可以在你的ChatGPT workspace settings中手動建立群組。
工作區擁有者可否控制由 SCIM 管理的群組是否在分享流程中顯示?
工作區擁有者可以控制由 SCIM 管理的群組,是否可讓工作區使用者在 GPT 和專案等分享流程中搜尋到。
前往Workspace settings.
選擇Identity & access。
查看Discoverable by workspace users。
請注意,此設定不會將群組從 SCIM 同步中移除,亦不會停止群組佈建。若啟用,由 SCIM 管理的群組將不會出現在 ChatGPT 內各種分享功能中。
如果某個專案或 GPT 已與一個或多個由 SCIM 管理的群組分享,則在下一次更新該專案或 GPT 時,這些群組會從分享清單中移除。
SCIM 群組會覆蓋 ChatGPT 群組嗎?
不會。如果你的 ChatGPT 工作區中已存在同名群組,該群組不會被 SCIM 群組覆蓋。新建立的 SCIM 群組會與該 ChatGPT 群組同名,並可透過名稱旁的 SCIM 標籤加以區分。
我如何知道哪些使用者或群組是透過 SCIM 新增的?
在你的 ChatGPT 工作區設定中的Members and Groups部分,每個使用者或群組的名稱旁都會有一個標記,以顯示其是否透過 SCIM 新增。
如果使用者被移除後再透過 SCIM 加回,其資料會怎樣?
透過 SCIM 移除並重新加入使用者,其資料保留行為與手動移除相同,並會按照工作區的保留政策處理。完整詳情請參閱我們的文章:成員從工作區移除後的資料保留
我可以在保持 SCIM 啟用的同時,暫時停權或停用由 SCIM 管理的使用者嗎?
單靠 ChatGPT 內部並不可以。對於由 SCIM 管理的 ChatGPT 工作區,你的身分提供者 (IdP) 是使用者存取權的唯一真實來源。如果某使用者仍被指派到 ChatGPT 應用程式或你 IdP 中某個經 SCIM 佈建的群組,手動將其從工作區移除可能只是暫時的。該使用者可能會在之後的 SCIM 同步或手動重新同步時再次被加入。
若要在保持工作區其餘部分 SCIM 啟用的同時暫時阻止存取,請在你的 IdP 中更新該使用者的存取權。最可靠的方法,是將該使用者從 ChatGPT 應用程式指派或授予存取權的佈建群組中移除。當你準備恢復存取權時,在你的 IdP 中將該使用者加回,SCIM 便會再次為其佈建。
注意:視乎你的 IdP 而定,暫停或停用使用者帳戶未必會移除 ChatGPT 應用程式指派。若指派仍然有效,該使用者仍可能再次被佈建。ChatGPT 內的「無權限」群組亦不是暫停存取的可靠替代方案。
API Platform
當 API Platform 使用者透過 SCIM 被邀請時,會發生甚麼事?
當使用者透過 SCIM 佈建後,該使用者會收到加入 Platform 組織的邀請。已佈建的使用者需要接受邀請,或再次登入,才能成為組織成員。如使用者未接受邀請,該使用者會繼續在 Members 分頁中顯示為「Pending Invite」。
如果使用者透過 SCIM 佈建,而該使用者尚未成為組織成員,系統會向其發送電郵,告知他們已獲邀加入組織。如果使用者已在組織內,並改為由 SCIM 管理,則不會收到電郵。
我如何知道哪些使用者是透過 SCIM 新增的?
在你的 Platform 設定中的Organization Members部分,每個使用者或邀請的名稱旁都會有一個標記,以顯示其是否透過 SCIM 新增。
我可透過 SCIM 對使用者作出哪些更新?
我們目前支援從你的身分提供者 (IdP) 同步姓名更新。請注意,如某使用者屬於多個組織,任何姓名變更都會套用至所有相關組織。使用者亦可隨時手動更新自己的姓名。
我可以在 API Platform SCIM 整合中啟用群組嗎?
可以。群組可透過 SCIM 從你的身分提供者 (IdP) 同步,讓成員資格自動保持最新。之後你便可在 OpenAI Platform 內向這些群組指派角色。