Panoramica
Se un utente non riesce ad accedere con SSO dopo essere stato invitato a un'area di lavoro ChatGPT, il problema potrebbe essere causato da una mancata corrispondenza tra l'indirizzo e-mail invitato all'area di lavoro e l'indirizzo e-mail restituito dal tuo provider di identità.
Questo problema può comparire con un errore come:
"SSO mismatch user creation"
oppure:
"sso_mismatch_user_creation"
Affinché l’accesso SSO funzioni, devono essere soddisfatte entrambe le seguenti condizioni:
Il provider di identità dell’utente deve restituire un indirizzo e-mail che corrisponda all’identità prevista dell’utente nell’area di lavoro ChatGPT.
Il dominio e-mail deve anche essere verificato e disponibile per l'area di lavoro nella tua Console di amministrazione globale.
Passaggi per la risoluzione
I passaggi riportati di seguito ti aiuteranno a verificare se esiste una mancata corrispondenza tra l’invito ricevuto, l’indirizzo e-mail associato al claim SSO e il dominio verificato.
Conferma l'indirizzo e-mail usato per l'invito all'area di lavoro: assicurati che l'utente sia stato invitato con l'indirizzo e-mail che deve usare per ChatGPT.
Conferma l'indirizzo e-mail restituito dal tuo provider di identità: controlla la configurazione SAML/OIDC e conferma quale campo dell'indirizzo e-mail viene inviato a ChatGPT durante l'SSO. Per SAML, esamina gli attributi relativi all’e-mail, poiché l’e-mail è la chiave che ChatGPT usa per associare l’utente che effettua l’accesso all’invito o all’account in ChatGPT. Questi valori dovrebbero identificare in modo coerente lo stesso indirizzo e-mail dell’utente.
*Ad esempio, se l'utente è stato invitato come user@company.com, ma il tuo provider di identità restituisce user@subsidiary.com, lo tratteremo come un accesso per user@subsidiary.com e genereremo l'errore.
*Qui hai due opzioni:
Verifica che il dominio dell’utente sia verificato nella Console di amministrazione globale e associato all’area di lavoro a cui l’utente è invitato: se il provider di identità restituisce un indirizzo e-mail di un dominio diverso, tale dominio deve essere verificato nella Console di amministrazione globale e disponibile per l’area di lavoro a cui l’utente sta tentando di accedere.
Ad esempio, se l'utente è stato invitato come user@company.com, ma il tuo provider di identità restituisce user@subsidiary.com, allora anche subsidiary.com deve essere verificato e mappato correttamente prima che l’utente possa accedere con SSO utilizzando tale identità.
Soluzione alternativa più rapida: se il SSO è facoltativo per la tua area di lavoro, chiedi all'utente di accettare l'invito usando nome utente e password invece del SSO, così da sbloccarlo rapidamente. Questo ti darà un po’ di tempo per risolvere i problemi di accesso SSO e l’utente potrà già utilizzare il proprio account ChatGPT.
