Integracja OpenAI SCIM umożliwia dostawcom tożsamości wymianę danych tożsamości użytkowników z OpenAI, automatyzując aprowizację zaproszeń do ChatGPT i Platformy API oraz usuwanie użytkowników z przestrzeni roboczych ChatGPT i organizacji Platformy API. W przeciwieństwie do logowania jednokrotnego (SSO), SCIM nie jest współdzielony między przestrzeniami roboczymi ChatGPT a organizacjami API.
Integracja SCIM jest dostępna tylko dla organizacji Platformy API z niestandardowymi lub nielimitowanymi planami rozliczeń oraz dla przestrzeni roboczych ChatGPT z planami Enterprise lub EDU. SCIM nie jest dostępny w ChatGPT for Teachers. Aby dowiedzieć się więcej o tych planach rozliczeń, skontaktuj się z zespołem sprzedaży OpenAI.
Typowe pytania dotyczące SCIM
Jak skonfigurować integrację SCIM?
SCIM dla ChatGPT można skonfigurować na karcie Tożsamość i aprowizacja. SCIM dla Platformy API można skonfigurować w ustawieniach tożsamości. Użytkownicy z dostępem właściciela mogą włączyć „synchronizację katalogu”, która przeprowadzi ich przez konfigurację synchronizacji katalogu z dostawcą IdP za pośrednictwem portalu WorkOS. Oto widok portalu WorkOS:
Którzy dostawcy tożsamości są obsługiwani przez integrację SCIM?
Obsługiwani dostawcy tożsamości obejmują Okta, Entra ID (Azure AD), Google Workspace, PingFederate, OneLogin, Rippling i inne, z opcjami niestandardowych implementacji SCIM oraz punktem końcowym SFTP do aprowizacji plików CSV.
Co to znaczy być „zarządzanym przez SCIM”?
„Zarządzany przez SCIM” oznacza, że konto użytkownika jest kontrolowane przez automatyczną aprowizację i deaprowizację na podstawie zsynchronizowanych informacji katalogowych. Użytkownicy dodani ręcznie nie są zarządzani przez SCIM, chyba że później zostaną zsynchronizowani z katalogu.
Czy użytkowników można dodawać ręcznie oprócz korzystania ze SCIM?
Tak. Użytkowników ChatGPT można dodawać do przestrzeni roboczej ręcznie za pośrednictwem strony Członkowie. Użytkowników Platformy API można dodawać do organizacji ręcznie za pośrednictwem strony Osoby w ustawieniach Platformy lub interfejsu API administracji. Listy członków będą wskazywać, którzy użytkownicy są zarządzani przez SCIM, a którzy zostali dodani ręcznie.
Co się stanie, jeśli imię i nazwisko użytkownika w ChatGPT nie są zgodne z danymi u dostawcy IDP?
Użytkownicy ChatGPT mogą edytować swoje imię i nazwisko w naszych usługach, ale w przypadku użytkowników zarządzanych przez SCIM zmiany nazwy u Twojego IdP mogą zaktualizować nazwę wyświetlaną w ChatGPT. SCIM nadal dopasowuje użytkowników według adresu e-mail, więc sama niezgodność imienia i nazwiska nie powinna uniemożliwiać aprowizacji ani zmian członkostwa.
Co się stanie, jeśli użytkownik zaktualizuje swój adres e-mail u dostawcy IDP?
Gdy adres e-mail użytkownika zmieni się u dostawcy tożsamości, przez SCIM wysyłane jest zdarzenie informujące OpenAI o zmianie. Jeśli kryteria administracyjnej zmiany adresu e-mail są spełnione, adres e-mail użytkownika zostanie zmieniony.
Jeśli zmiana adresu e-mail użytkownika się nie powiedzie, sprawdź kryteria i w razie potrzeby skontaktuj się z support@openai.com w celu uzyskania pomocy.
Jak często synchronizowany jest katalog SCIM?
Większość usług synchronizuje się co 30–40 minut (niektóre usługi, takie jak Okta, synchronizują się natychmiast).
Czy istnieje sposób wymuszenia synchronizacji katalogu?
Obecnie nie ma możliwości wymuszenia synchronizacji katalogu SCIM. Jeśli występują problemy z katalogiem SCIM, skontaktuj się z pomocą techniczną, tworząc zgłoszenie w dolnym rogu tej strony pomocy.
ChatGPT
Co się dzieje, gdy użytkownik ChatGPT zostaje zaproszony przez SCIM?
Jeśli użytkownik jest już w przestrzeni roboczej i zacznie być zarządzany przez SCIM, nie otrzyma e-maila.
Jeśli użytkownik zostanie aprowizowany za pomocą SCIM i nie jest jeszcze członkiem przestrzeni roboczej, otrzyma e-mail z informacją, że został zaproszony do przestrzeni roboczej.
Użytkownik może zaakceptować zaproszenie, korzystając z linku w e-mailu z zaproszeniem lub logując się przez chatgpt.com. Jeśli użytkownik nie zaakceptuje zaproszenia, nadal będzie wyświetlany jako „Oczekujące zaproszenie” na karcie Członkowie.
Jak automatyczne tworzenie kont współdziała ze SCIM?
Automatyczne tworzenie kont aprowizuje użytkowników reaktywnie, w momencie gdy próbują się zarejestrować lub zalogować. Jest to znane jako aprowizacja „just-in-time”. Natomiast SCIM aprowizuje użytkowników proaktywnie, gdy tylko zostaną dodani do określonej grupy IdP.
Zgodnie ze sprawdzoną praktyką zdecydowanie odradzamy włączanie jednocześnie automatycznego tworzenia kont i SCIM. Włączenie obu funkcji na koncie może skutkować aprowizacją dostępu dla niezarządzanych użytkowników. Pamiętaj, że tylko użytkownicy zarządzani przez SCIM mogą być automatycznie dezaktywowani w odpowiedzi na zmiany członkostwa w grupach IdP.
Jak włączyć grupy w integracji SCIM?
Po włączeniu synchronizacji katalogu z ChatGPT istniejące zsynchronizowane katalogi zostaną automatycznie zsynchronizowane z Grupami ChatGPT. Każda grupa, którą wybierzesz do synchronizacji z IdP, zostanie automatycznie odzwierciedlona w ChatGPT.
Nadal będziesz mieć możliwość ręcznego tworzenia grup w ustawieniach przestrzeni roboczej ChatGPT.
Czy właściciele przestrzeni roboczej mogą kontrolować, czy grupy zarządzane przez SCIM pojawiają się w przepływach udostępniania?
Właściciele przestrzeni roboczej mogą kontrolować, czy grupy zarządzane przez SCIM są wykrywalne dla użytkowników przestrzeni roboczej w przepływach udostępniania, takich jak GPT i projekty.
Przejdź do Ustawień przestrzeni roboczej.
Wybierz Tożsamość i dostęp.
Sprawdź Wykrywalne dla użytkowników przestrzeni roboczej.
Pamiętaj, że to ustawienie nie usuwa grup z synchronizacji SCIM ani nie zatrzymuje aprowizacji grup. Jeśli ta opcja jest włączona, grupy zarządzane przez SCIM nie będą pojawiać się w różnych funkcjach udostępniania w ChatGPT.
Jeśli projekt lub GPT jest już udostępniony co najmniej jednej grupie zarządzanej przez SCIM, grupy te zostaną usunięte z listy udostępniania przy następnej aktualizacji projektu lub GPT.
Czy grupa SCIM zastąpi grupę ChatGPT?
Tak. Jeśli masz już grupę ChatGPT o tej samej nazwie co grupa zsynchronizowana z Twojego IdP, istniejąca grupa ChatGPT zacznie być zarządzana przez SCIM zamiast tworzenia zduplikowanej grupy. Jej członkostwo będzie następnie kontrolowane przez Twojego IdP, więc przed włączeniem synchronizacji sprawdź grupę u swojego IdP, jeśli istniejąca grupa ChatGPT ma członków zarządzanych ręcznie.
Jak mogę sprawdzić, którzy użytkownicy lub grupy zostali dodani przez SCIM?
W sekcjach Członkowie i Grupy ustawień przestrzeni roboczej ChatGPT każdy użytkownik lub grupa będzie mieć obok nazwy odznakę wskazującą, czy zostali dodani przez SCIM.
Co dzieje się z danymi użytkownika, jeśli zostanie usunięty, a następnie dodany ponownie przez SCIM?
Usunięcie i ponowne dodanie użytkownika przez SCIM podlega tym samym zasadom przechowywania danych co usunięcie ręczne i jest obsługiwane zgodnie z zasadami przechowywania danych przestrzeni roboczej. Pełne szczegóły znajdziesz w naszym artykule: Przechowywanie danych po usunięciu członka z przestrzeni roboczej
Czy mogę tymczasowo zawiesić lub wyłączyć użytkownika zarządzanego przez SCIM, pozostawiając SCIM włączony?
Nie z poziomu samego ChatGPT. W przypadku przestrzeni roboczych ChatGPT zarządzanych przez SCIM dostawca tożsamości (IdP) jest źródłem prawdy dla dostępu użytkowników. Jeśli użytkownik pozostaje przypisany do aplikacji ChatGPT lub do grupy aprowizowanej przez SCIM u Twojego IdP, ręczne usunięcie go z przestrzeni roboczej może być tylko tymczasowe. Użytkownik może zostać dodany ponownie podczas późniejszej synchronizacji SCIM lub ręcznej ponownej synchronizacji.
Aby tymczasowo zablokować dostęp, pozostawiając SCIM włączony dla reszty przestrzeni roboczej, zaktualizuj dostęp użytkownika u swojego IdP. Najbardziej niezawodnym podejściem jest usunięcie użytkownika z przypisania do aplikacji ChatGPT lub z grupy aprowizacji przyznającej dostęp. Gdy zechcesz przywrócić dostęp, dodaj użytkownika z powrotem u swojego IdP, a SCIM ponownie go aprowizuje.
Uwaga: w zależności od IdP zawieszenie lub wyłączenie konta użytkownika może nie usunąć przypisania do aplikacji ChatGPT. Jeśli przypisanie pozostanie aktywne, użytkownik nadal może zostać ponownie aprowizowany. Grupa „bez uprawnień” w ChatGPT również nie jest niezawodnym zamiennikiem zawieszenia dostępu.
Platforma API
Co się dzieje, gdy użytkownik Platformy API zostaje zaproszony przez SCIM?
Gdy użytkownik zostaje aprowizowany przez SCIM, otrzymuje zaproszenie do organizacji Platformy. Aprowizowany użytkownik musi zaakceptować zaproszenie lub zalogować się ponownie, aby zostać członkiem organizacji. Jeśli użytkownik nie zaakceptuje zaproszenia, nadal będzie wyświetlany jako „Oczekujące zaproszenie” na karcie Członkowie.
Jeśli użytkownik zostanie aprowizowany za pomocą SCIM i nie jest jeszcze członkiem organizacji, otrzyma e-mail z informacją, że został zaproszony do organizacji. Jeśli użytkownik jest już w organizacji i zacznie być zarządzany przez SCIM, nie otrzyma e-maila.
Jak mogę sprawdzić, którzy użytkownicy zostali dodani przez SCIM?
W sekcji Członkowie organizacji w ustawieniach Platformy każdy użytkownik lub zaproszenie będzie mieć obok nazwy odznakę wskazującą, czy zostało dodane przez SCIM.
Jakie aktualizacje mogę wprowadzać u moich użytkowników za pomocą SCIM?
Obecnie obsługujemy synchronizację aktualizacji imienia i nazwiska od Twojego dostawcy tożsamości (IdP). Pamiętaj, że jeśli użytkownik należy do wielu organizacji, wszelkie zmiany imienia i nazwiska zostaną zastosowane we wszystkich z nich. Użytkownicy mogą też w dowolnym momencie ręcznie zaktualizować swoje imię i nazwisko.
Czy mogę włączyć grupy w integracji SCIM Platformy API?
Tak. Grupy można synchronizować od dostawcy tożsamości (IdP) za pomocą SCIM, co automatycznie utrzymuje aktualne członkostwo. Następnie możesz przypisać role do tych grup w Platformie OpenAI.