OpenAI SCIM 整合允許身分驗證供應商與 OpenAI 交換使用者身分資料,自動化處理 ChatGPT 和 API 平台邀請的佈建,以及將使用者從 ChatGPT 工作區與 API 平台組織中移除。有別於 SSO,SCIM 不會跨 ChatGPT 工作區與 API 組織共用。
SCIM 整合僅適用於採用自訂或無上限計費方案的 API 平台組織,以及採用 Enterprise 或 EDU 方案的 ChatGPT 工作區。ChatGPT for Teachers 不提供 SCIM 功能。若要深入瞭解這些計費方案,請聯絡 OpenAI 銷售團隊。
常見 SCIM 問題
如何設定 SCIM 整合?
ChatGPT SCIM 可在身分與佈建分頁中進行配置。API 平台 SCIM 可在身分設定中進行配置。具有擁有者存取權的使用者可以啟用「目錄同步處理」,並透過 WorkOS 入口網站引導他們與 IdP 供應商設定目錄同步處理。這是 WorkOS 入口網站的檢視畫面:
SCIM 整合支援哪些 IDP?
支援的 IdP 包括 Okta、Entra ID (Azure AD)、Google Workspace、PingFederate、OneLogin、Rippling 等,並提供自訂 SCIM 實作和用於 CSV 檔案部署的 SFTP 端點選項。
「由 SCIM 管理」是什麼意思?
「由 SCIM 管理」表示使用者的帳戶是透過同步處理的目錄資訊進行自動化的部署和解除部署控制。手動新增的使用者不會由 SCIM 管理,除非之後從目錄同步處理。
除了使用 SCIM 之外,是否可以手動新增使用者?
是。ChatGPT 使用者可以透過成員頁面手動新增至工作區。API 平台使用者可透過平台設定中的人員頁面或管理 API 手動新增至組織。成員清單將顯示哪些使用者是由 SCIM 管理的,哪些是手動新增的。
如果使用者在 ChatGPT 的姓名與 IDP 中的不一致,會發生什麼事?
ChatGPT 使用者可以在我們的服務中編輯自己的姓名,但對於由 SCIM 管理的使用者,來自你 IdP 的姓名變更可以更新顯示在 ChatGPT 中的姓名。SCIM 仍會依電子郵件地址比對使用者,因此名稱不符並不會妨礙佈建或變更會員資格。
如果使用者在 IDP 中更新電子郵件,會發生什麼事?
我們不支援更新與 ChatGPT 帳戶關聯的電子郵件地址。如果使用者在你的 IDP 中更新了電子郵件地址,這不會覆寫 ChatGPT 中的電子郵件。
如果你希望使用者的 ChatGPT 帳戶反映其新的電子郵件,他們最終需要一個與新電子郵件地址綁定的新 OpenAI 帳戶。這表示新帳戶將不會有使用者先前的聊天歷程紀錄或自訂 GPT。
若要透過 SCIM 完成此操作,你必須:
從你的 IDP 中取消配置 SCIM 應用程式中的使用者
確認已從工作區中移除使用舊電子郵件的 SCIM 託管使用者
在你的 IDP 中將使用者重新配置至 SCIM 應用程式
然而,如果他們的驗證設定檔已經對應到原始使用者的電子郵件地址,這可能會導致驗證問題 (例如,如果你使用單一登入,則 SAML 設定檔可能已被快取,並需要支援協助以解除綁定)。因此,你可以在 IdP 中建立一個與新電子郵件地址相關聯的單獨使用者,並將此使用者新增至相應的 SCIM 群組。
SCIM 目錄多久同步處理?
大多數服務每 30 到 40 分鐘同步處理一次 (Okta 等某些服務會立即同步處理)。
有沒有辦法強制執行目錄同步處理?
目前,無法強制執行 SCIM 目錄同步處理。如果你在使用 SCIM 目錄時遇到問題,請在此說明頁面的底部角落建立服務票證以聯絡支援團隊。
ChatGPT
透過 SCIM 邀請 ChatGPT 使用者時會發生什麼事?
如果使用者已經在工作區中並成為 SCIM 管理的對象,將不會收到電子郵件。
如果使用者已透過 SCIM 部署,且該使用者尚未成為工作區的成員,則會向使用者傳送電子郵件,通知他們已受邀加入工作區。
使用者可以透過電子郵件邀請中的連結接受邀請,或登入 chatgpt.com。如果使用者不接受邀請,則會繼續在「成員」分頁中顯示為「待處理邀請」。
自動帳戶建立如何與 SCIM 互動?
自動帳戶建立會在使用者嘗試註冊或登入時即時進行部署。這稱為「即時」佈建。相比之下,SCIM 會在使用者新增至指定的 IdP 群組後,主動進行佈建。
作為最佳做法,我們強烈建議不要同時啟用自動帳戶建立和 SCIM。在帳戶上啟用這兩個功能可能會導致對未託管的使用者部署存取。請記住,只有由 SCIM 管理的使用者才能因 IdP 群組成員資格變更而自動停用。
如何啟用 SCIM 整合中的群組?
啟用與 ChatGPT 的目錄同步處理時,你現有的同步處理目錄將自動與 ChatGPT 群組同步處理。你選擇與 IdP 同步處理的任何群組都會自動反映在 ChatGPT 中。
你仍然可以在ChatGPT 工作區設定中手動建立群組。
工作區擁有者是否可控制由 SCIM 管理的群組是否會顯示在共用流程中?
工作區擁有者可控制 SCIM 管理的群組是否可讓工作區使用者在 GPT 和專案等共用流程中發現。
前往工作區設定。
選取身分與存取。
檢閱可供工作區使用者發現。
請注意,此設定不會將群組從 SCIM 同步中移除,也不會停止群組佈建。如果啟用此設定,由 SCIM 管理的群組將不會顯示在 ChatGPT 內的各種共用功能中。
如果某個專案或 GPT 已與一個或多個由 SCIM 管理的群組共用,則下次更新該專案或 GPT 時,這些群組將從分享清單中移除。
SCIM 群組會覆寫 ChatGPT 群組嗎?
可以。如果你已經有一個 ChatGPT 群組,且其名稱與從你的 IdP 同步的群組相同,現有的 ChatGPT 群組會改由 SCIM 管理,而不會建立重複的群組。屆時其成員資格將由你的 IdP 控制,因此如果現有的 ChatGPT 群組有手動管理的成員,請先在你的 IdP 中檢閱該群組,再啟用同步。
我如何知道哪些使用者或群組是透過 SCIM 新增的?
在成員和群組區段 (ChatGPT 工作區設定中),每位使用者或群組的名稱旁邊都會有一個徽章,顯示其是否透過 SCIM 新增。
如果使用者資料遭移除,然後又透過 SCIM 重新新增,會發生什麼事?
透過 SCIM 移除使用者後再重新新增,其資料保留行為與手動移除相同,並依據工作區的資料保留政策進行處理。如需完整詳細資訊,請參閱我們的文章:從工作區移除成員時的資料保留政策
是否可以在保持 SCIM 啟用的同時,暫時停權或停用由 SCIM 管理的使用者?
並非單靠 ChatGPT 本身。對於由 SCIM 管理的 ChatGPT 工作區,你的身分驗證供應商 (IdP) 是使用者存取權限的唯一依據。如果使用者仍指派到 ChatGPT 應用程式,或仍屬於你 IdP 中透過 SCIM 佈建的群組,手動將其從工作區移除可能只是暫時的。使用者可在後續的 SCIM 同步或手動重新同步時再次新增。
若要暫時阻止存取,同時維持 SCIM 在其他工作區的啟用狀態,請在你的 IdP 中更新使用者的存取權限。最可靠的方法是將使用者從 ChatGPT 應用程式指派中移除,或從授與存取權限的佈建群組中移除。當你準備好恢復存取權限,請將使用者重新新增回你的 IdP,SCIM 就會再次佈建該使用者。
注意:根據你的 IdP,暫停或停用使用者帳戶可能不會移除 ChatGPT 應用程式指派。如果該指派仍處於啟用中狀態,則仍可能會重新佈建該使用者。在 ChatGPT 內的「無權限」群組,也不能可靠地取代停用存取權限。
API 平台
API 平台使用者由 SCIM 邀請時會發生什麼事?
當使用者由 SCIM 部署時,使用者會收到平台組織的邀請。已部署的使用者需要接受邀請或再次登入才能成為組織成員。如果使用者不接受邀請,則會繼續在「成員」標籤中顯示為「待處理邀請」。
如果使用者已透過 SCIM 部署且尚未成為組織成員,系統將會傳送電子郵件,通知他們已受邀加入組織。如果使用者已經在組織中並成為 SCIM 管理的對象,將不會收到電子郵件。
我怎麼知道哪些使用者是透過 SCIM 新增的?
在平台設定中的組織成員區段,每位使用者或邀請旁邊都會有一個徽章,顯示其是否透過 SCIM 新增。
可以透過 SCIM 為我的使用者進行哪些更新?
我們目前支援從你的身分驗證提供者同步處理名稱更新。請注意,如果使用者屬於多個組織,任何名稱變更將會套用到所有組織。使用者可以隨時手動更新自己的名稱。
是否可以使用我的 API 平台 SCIM 整合來啟用群組功能?
是。可以透過 SCIM 從你的身分驗證提供者 (IdP) 同步處理群組,這會自動保持成員資格的最新狀態。然後,你可以在 OpenAI 平台內將角色指派給那些群組。