Aperçu
Si un utilisateur ne peut pas se connecter avec l’authentification unique (SSO) après avoir été invité à un espace de travail ChatGPT, le problème peut être causé par une différence entre l’adresse courriel invitée à l’espace de travail et l’adresse courriel retournée par votre fournisseur d’identité.
Ce problème peut s’afficher avec une erreur comme :
"SSO mismatch user creation"
ou :
"sso_mismatch_user_creation"
Pour que la connexion par authentification unique (SSO) fonctionne, toutes les conditions suivantes doivent être remplies :
Le fournisseur d’identité de l’utilisateur doit retourner une adresse courriel qui correspond à l’identité prévue de l’utilisateur dans l’espace de travail ChatGPT.
Le domaine de courriel doit être vérifié et disponible pour l’espace de travail dans votre console d’administration globale.
L’espace de travail doit disposer d’une connexion d’authentification unique (SSO) active que l’utilisateur utilise pour se connecter. Si le domaine est vérifié, mais associé à une autre connexion d’authentification unique (SSO), l’utilisateur peut quand même voir une erreur de non-concordance SSO.
Étapes de résolution
Les étapes ci-dessous vous aideront à vérifier s’il existe un décalage entre l’invitation, la revendication d’e-mail d’authentification unique (SSO) et le domaine vérifié.
Confirmez l’adresse e-mail utilisée pour l’invitation à l’espace de travail : Assurez-vous que l’utilisateur a été invité avec l’adresse e-mail qu’il doit utiliser pour ChatGPT.
Confirmez l’adresse e-mail renvoyée par votre fournisseur d’identité : Vérifiez votre configuration SAML/OIDC et confirmez quel champ d’adresse e-mail est envoyé à ChatGPT pendant l’authentification unique (SSO). Pour SAML, vérifiez les attributs liés à l’e-mail, car l’e-mail est la clé que ChatGPT utilise pour associer l’utilisateur qui se connecte à l’invitation ou au compte dans ChatGPT. Ces valeurs doivent identifier de façon cohérente la même adresse e-mail d’utilisateur.
*Par exemple, si l’utilisateur a été invité en tant que user@company.com, mais que votre fournisseur d’identité renvoie user@subsidiary.com, nous traiterons cela comme une connexion pour user@subsidiary.com et générerons l’erreur.
*Vous avez 2 options ici :
Confirmez que le domaine de l’utilisateur est vérifié dans la console d’administration globale et qu’il est associé à l’espace de travail auquel l’utilisateur est invité : Si votre fournisseur d’identité renvoie une adresse e-mail provenant d’un autre domaine, ce domaine doit être vérifié dans votre console d’administration globale et être disponible pour l’espace de travail auquel l’utilisateur tente d’accéder.
Par exemple, si l’utilisateur a été invité en tant que user@company.com, mais que votre fournisseur d’identité renvoie user@subsidiary.com, alors subsidiary.com doit aussi être vérifié et associé correctement avant que l’utilisateur puisse se connecter avec l’authentification unique (SSO) en utilisant cette identité.
Solution de contournement la plus rapide : Si l’authentification unique (SSO) est facultative pour votre espace de travail, demandez à l’utilisateur d’accepter l’invitation avec un nom d’utilisateur et un mot de passe plutôt qu’avec l’authentification unique (SSO), afin qu’il soit rapidement débloqué. Cela vous donnera du temps pour dépanner la connexion par authentification unique (SSO), et l’utilisateur pourra déjà utiliser son compte ChatGPT.
