OpenAI

Corriger les erreurs de connexion SSO causées par une incompatibilité d’adresse e-mail ou de domaine

Cet article propose des étapes de dépannage pour les erreurs « SSO mismatch user creation » / « sso_mismatch_user_creation » lorsqu’un utilisateur tente d’accepter une invitation à rejoindre un espace de travail ChatGPT ou une organisation API

Dernière mise à jour : 2 days ago

Présentation

Si un utilisateur ne parvient pas à se connecter avec le SSO après avoir été invité à rejoindre un espace de travail ChatGPT, le problème peut être dû à une discordance entre l’adresse e-mail invitée à l’espace de travail et l’adresse e-mail renvoyée par votre fournisseur d’identité.

Ce problème peut apparaître avec une erreur telle que :

« SSO mismatch user creation »

ou :

« sso_mismatch_user_creation »

Pour que la connexion SSO fonctionne, les deux conditions suivantes doivent être remplies :

  1. Le fournisseur d’identité de l’utilisateur doit renvoyer une adresse e-mail qui correspond à l’identité prévue de l’utilisateur dans l’espace de travail ChatGPT.

  2. Le domaine de messagerie doit également être vérifié et disponible pour l’espace de travail dans votre console d’administration globale.

Étapes de résolution

Les étapes ci-dessous vous aideront à vérifier s’il existe une incohérence entre l’invitation, la revendication d’adresse e-mail SSO et le domaine vérifié.

  1. Confirmez l’adresse e-mail utilisée pour l’invitation à l’espace de travail : assurez-vous que l’utilisateur a été invité avec l’adresse e-mail qu’il est censé utiliser pour ChatGPT.

  2. Confirmez l’adresse e-mail renvoyée par votre fournisseur d’identité : vérifiez votre configuration SAML/OIDC et confirmez quel champ d’adresse e-mail est envoyé à ChatGPT lors du SSO. Pour SAML, vérifiez les attributs liés à l’adresse e-mail, car l’adresse e-mail est la clé que ChatGPT utilise pour associer l’utilisateur qui se connecte à l’invitation ou au compte sur ChatGPT. Ces valeurs doivent systématiquement identifier la même adresse e-mail de l’utilisateur.

*Par exemple, si l’utilisateur a été invité en tant que user@company.com, mais votre fournisseur d’identité renvoie user@subsidiary.com, nous traiterons cela comme une connexion pour user@subsidiary.com et générerons l’erreur.

*Vous avez deux options ici :

  1. Vérifiez que le domaine de l’utilisateur est vérifié dans la Global Admin Console et qu’il est associé à l’espace de travail auquel l’utilisateur est invité : si votre fournisseur d’identité renvoie une adresse e-mail provenant d’un autre domaine, ce domaine doit être vérifié dans votre Console d’administration globale et disponible pour l’espace de travail auquel l’utilisateur tente d’accéder.

Par exemple, si l’utilisateur a été invité en tant que user@company.com, mais votre fournisseur d’identité renvoie user@subsidiary.com, alors le domaine subsidiary.com doit également être vérifié et associé correctement avant que l’utilisateur puisse se connecter avec le SSO en utilisant cette identité.

Solution de contournement la plus rapide : si le SSO est facultatif pour votre espace de travail, demandez à vos utilisateurs d’accepter l’invitation avec leur nom d’utilisateur et leur mot de passe plutôt qu’avec le SSO, afin qu’ils soient rapidement débloqués. Cela vous laissera un peu de temps pour résoudre les problèmes liés à la connexion SSO. Vous pouvez déjà utiliser votre compte ChatGPT.

Cet article vous a-t-il été utile ?