Met de OpenAI SCIM-integratie kunnen identiteitsproviders gebruikersidentiteitsgegevens uitwisselen met OpenAI, waardoor het provisionen van ChatGPT- en API Platform-uitnodigingen en het verwijderen van gebruikers uit ChatGPT-werkruimten en API Platform-organisaties wordt geautomatiseerd. In tegenstelling tot SSO wordt SCIM niet gedeeld tussen ChatGPT-werkruimten en API-organisaties.
SCIM-integratie is alleen beschikbaar voor API Platform-organisaties met Custom- of Unlimited-factureringsplannen en ChatGPT-werkruimten met Enterprise- of EDU-abonnementen. SCIM is niet beschikbaar in ChatGPT for Teachers. Neem contact op met het verkoopteam van OpenAI voor meer informatie over deze factureringsplannen.
Veelgestelde SCIM-vragen
Hoe stel ik de SCIM-integratie in?
ChatGPT SCIM kan worden geconfigureerd op het tabblad Identiteit en provisioning. API Platform SCIM kan worden geconfigureerd in de identiteitsinstellingen. Gebruikers met eigenaarstoegang kunnen ‘directorysynchronisatie’ inschakelen, waarbij ze via de WorkOS-portal door het instellen van directorysynchronisatie met je IdP worden geleid. Hier zie je de WorkOS-portal:
Welke IDP's worden ondersteund door de SCIM-integratie?
Ondersteunde IdP's zijn onder meer Okta, Entra ID (Azure AD), Google Workspace, PingFederate, OneLogin, Rippling en meer, met opties voor aangepaste SCIM-implementaties en een SFTP-endpoint voor provisioning via CSV-bestanden.
Wat betekent het om ‘beheerd door SCIM’ te zijn?
‘Beheerd door SCIM’ betekent dat het account van een gebruiker wordt beheerd via geautomatiseerde provisioning en deprovisioning op basis van gesynchroniseerde directorygegevens. Handmatig toegevoegde gebruikers worden niet door SCIM beheerd, tenzij ze later vanuit de directory worden gesynchroniseerd.
Kunnen gebruikers ook handmatig worden toegevoegd naast het gebruik van SCIM?
Ja. ChatGPT-gebruikers kunnen handmatig aan de werkruimte worden toegevoegd via de pagina Leden. Gebruikers van het API Platform kunnen handmatig aan de organisatie worden toegevoegd via de pagina Personen in de Platform-instellingen of via de Administration API. De ledenlijsten geven aan welke gebruikers door SCIM worden beheerd en welke handmatig zijn toegevoegd.
Wat gebeurt er als de voornaam en achternaam van een gebruiker in ChatGPT niet overeenkomen met wat er in de IDP staat?
ChatGPT-gebruikers kunnen hun naam in onze services bewerken, maar voor gebruikers die door SCIM worden beheerd, kunnen naamswijzigingen vanuit je IdP de naam bijwerken die in ChatGPT wordt weergegeven. SCIM koppelt gebruikers nog steeds op basis van e-mailadres, dus alleen een naamverschil zou provisioning of lidmaatschapswijzigingen niet moeten verhinderen.
Wat gebeurt er als een gebruiker diens e-mailadres bijwerkt in de IDP?
Wanneer het e-mailadres van een gebruiker verandert in de identiteitsprovider, wordt er via SCIM een gebeurtenis verzonden om OpenAI van de wijziging op de hoogte te stellen. Als aan de criteria voor administratieve e-mailwijziging wordt voldaan, wordt het e-mailadres van de gebruiker gewijzigd.
Als het e-mailadres van de gebruiker niet kan worden gewijzigd, controleer dan de criteria en neem zo nodig contact op met support@openai.com voor hulp.
Hoe vaak wordt de SCIM-directory gesynchroniseerd?
De meeste services synchroniseren elke 30 tot 40 minuten (sommige services synchroniseren direct, zoals Okta).
Is er een manier om directorysynchronisaties af te dwingen?
Op dit moment is er geen manier om een SCIM-directorysynchronisatie af te dwingen. Neem contact op met Support door een ticket aan te maken in de benedenhoek van deze Help-pagina als je problemen ondervindt met je SCIM-directory.
ChatGPT
Wat gebeurt er wanneer een ChatGPT-gebruiker via SCIM wordt uitgenodigd?
Als de gebruiker al wel in de werkruimte zit en door SCIM beheerd wordt, ontvangt deze geen e-mail.
Als een gebruiker met SCIM wordt ingericht en de gebruiker nog geen lid is van de werkruimte, ontvangt de gebruiker een e-mail met de melding dat deze is uitgenodigd voor de werkruimte.
De gebruiker kan de uitnodiging accepteren via de link in de e-mailuitnodiging of door in te loggen via chatgpt.com. Als de gebruiker de uitnodiging niet accepteert, blijft de gebruiker als "Uitnodiging in behandeling" weergegeven in het tabblad Leden.
Hoe werkt Automatische accountaanmaak samen met SCIM?
Automatische accountaanmaak provisiont gebruikers reactief, op het moment dat ze zich proberen te registreren of in te loggen. Dit staat bekend als ‘just-in-time’-provisioning. SCIM provisiont gebruikers daarentegen proactief, zodra ze aan een opgegeven IdP-groep worden toegevoegd.
Als best practice raden we sterk af om zowel Automatische accountaanmaak als SCIM in te schakelen. Als je beide functies voor je account inschakelt, kan dit ertoe leiden dat toegang wordt ingericht voor onbeheerde gebruikers. Houd er rekening mee dat alleen gebruikers die door SCIM worden beheerd automatisch kunnen worden gedeactiveerd naar aanleiding van wijzigingen in IdP-groepslidmaatschap.
Hoe schakel ik Groepen in met mijn SCIM-integratie?
Wanneer je directorysynchronisatie met ChatGPT inschakelt, worden je bestaande gesynchroniseerde directory's automatisch gesynchroniseerd met ChatGPT-groepen. Elke groep die je kiest om met je IdP te synchroniseren, wordt automatisch weergegeven in ChatGPT.
Je behoudt de mogelijkheid om handmatig groepen aan te maken in je ChatGPT-werkruimte-instellingen.
Kunnen werkruimte-eigenaren bepalen of door SCIM beheerde groepen verschijnen in deelprocessen?
Werkruimte-eigenaren kunnen bepalen of door SCIM beheerde groepen vindbaar zijn voor werkruimtegebruikers in deelprocessen zoals GPT's en projecten.
Ga naar Werkruimte-instellingen.
Selecteer Identiteit & toegang.
Controleer Vindbaar voor werkruimtegebruikers.
Let op: deze instelling verwijdert de groepen niet uit SCIM-synchronisatie en stopt groepsprovisioning niet. Als dit is ingeschakeld, verschijnen door SCIM beheerde groepen niet in verschillende deelfunctionaliteiten binnen ChatGPT.
Als een project of GPT al is gedeeld met een of meer door SCIM beheerde groepen, worden die groepen uit de deellijst verwijderd wanneer het project of de GPT de volgende keer wordt bijgewerkt.
Overschrijft de SCIM-groep de ChatGPT-groep?
Ja. Als je al een ChatGPT-groep hebt met dezelfde naam als een groep die vanuit je IdP wordt gesynchroniseerd, wordt de bestaande ChatGPT-groep beheerd door SCIM in plaats van dat er een dubbele groep wordt aangemaakt. Het lidmaatschap ervan wordt dan beheerd door je IdP. Controleer de groep daarom in je IdP voordat je synchronisatie inschakelt als de bestaande ChatGPT-groep handmatig beheerde leden heeft.
Hoe kan ik zien welke gebruikers of groepen via SCIM zijn toegevoegd?
In de gedeelten Leden en Groepen van je ChatGPT-werkruimte-instellingen staat naast de naam van elke gebruiker of groep een badge die aangeeft of deze via SCIM is toegevoegd.
Wat gebeurt er met de gegevens van een gebruiker als deze wordt verwijderd en vervolgens weer via SCIM wordt toegevoegd?
Het verwijderen en opnieuw toevoegen van een gebruiker via SCIM volgt hetzelfde gedrag voor gegevensbewaring als handmatige verwijdering en wordt afgehandeld volgens het bewaarbeleid voor gegevens van de werkruimte. Raadpleeg voor alle details ons artikel: Gegevensbewaring wanneer een lid uit een werkruimte wordt verwijderd
Kan ik een door SCIM beheerde gebruiker tijdelijk opschorten of uitschakelen terwijl SCIM ingeschakeld blijft?
Niet alleen vanuit ChatGPT. Voor door SCIM beheerde ChatGPT-werkruimten is je identiteitsprovider (IdP) de bron van waarheid voor gebruikerstoegang. Als een gebruiker toegewezen blijft aan de ChatGPT-applicatie of aan een via SCIM geprovisioneerde groep in je IdP, kan het handmatig verwijderen uit de werkruimte slechts tijdelijk zijn. De gebruiker kan bij een latere SCIM-synchronisatie of handmatige hersynchronisatie opnieuw worden toegevoegd.
Werk de toegang van de gebruiker bij in je IdP om de toegang tijdelijk te voorkomen terwijl SCIM ingeschakeld blijft voor de rest van je werkruimte. De betrouwbaarste aanpak is om de gebruiker te verwijderen uit de ChatGPT-app-toewijzing of uit de provisioninggroep die toegang verleent. Wanneer je klaar bent om de toegang te herstellen, voeg je de gebruiker weer toe in je IdP en provisiont SCIM deze opnieuw.
Opmerking: afhankelijk van je IdP verwijdert het opschorten of uitschakelen van het gebruikersaccount mogelijk niet de ChatGPT-app-toewijzing. Als de toewijzing actief blijft, kan de gebruiker nog steeds opnieuw worden geprovisioneerd. Een groep met ‘geen machtigingen’ binnen ChatGPT is ook geen betrouwbare vervanging voor het opschorten van toegang.
API Platform
Wat gebeurt er wanneer een API Platform-gebruiker door SCIM wordt uitgenodigd?
Wanneer een gebruiker door SCIM wordt geprovisioneerd, ontvangt de gebruiker een uitnodiging voor de Platform-organisatie. De geprovisioneerde gebruiker moet de uitnodiging accepteren of opnieuw inloggen om lid van de organisatie te worden. Als de gebruiker de uitnodiging niet accepteert, blijft de gebruiker als ‘Uitnodiging in behandeling’ weergegeven in het tabblad Leden.
Als een gebruiker met SCIM wordt geprovisioneerd en de gebruiker nog geen lid is van de organisatie, ontvangt de gebruiker een e-mail met de melding dat deze is uitgenodigd voor de organisatie. Als de gebruiker al in de organisatie zit en door SCIM beheerd wordt, ontvangt deze geen e-mail.
Hoe kan ik zien welke gebruikers via SCIM zijn toegevoegd?
In het gedeelte Organisatieleden van je Platform-instellingen staat naast de naam van elke gebruiker of uitnodiging een badge die aangeeft of deze via SCIM is toegevoegd.
Welke updates kan ik via SCIM aanbrengen bij mijn gebruikers?
We ondersteunen momenteel het synchroniseren van naamupdates vanuit je identiteitsprovider (IdP). Houd er rekening mee dat als een gebruiker tot meerdere organisaties behoort, naamswijzigingen in al die organisaties worden toegepast. Gebruikers kunnen hun eigen naam ook op elk moment handmatig bijwerken.
Kan ik Groepen inschakelen met mijn API Platform SCIM-integratie?
Ja. Groepen kunnen via SCIM vanuit je identiteitsprovider (IdP) worden gesynchroniseerd, waardoor het lidmaatschap automatisch up-to-date blijft. Je kunt vervolgens rollen toewijzen aan die groepen binnen het OpenAI Platform.