概要
ChatGPT ワークスペースに招待された後、ユーザーが SSO でサインインできない場合、ワークスペースに招待されたメールアドレスと、ID プロバイダーから返されるメールアドレスが一致していないことが原因である可能性があります。
この問題は、次のようなエラーで表示される場合があります。
「SSO mismatch user creation」
または:
「sso_mismatch_user_creation」
SSO サインインを機能させるには、次の2つの条件の両方を満たしている必要があります。
ユーザーの ID プロバイダーは、ユーザーが利用しようとしている ChatGPT ワークスペースの ID と一致するメールアドレスを返す必要があります。
また、そのメールアドレスのドメインは、グローバル管理コンソール内の当該ワークスペースに対して検証済みであり、利用可能である必要があります。
解決手順
以下の手順に従うことで、招待メール、SSO メールのクレーム、および認証済みドメインの間に不一致がないかを確認できます。
ワークスペースの招待に使用されたメールアドレスを確認する:ユーザーが ChatGPT で使用する予定のメールアドレスで招待されたことを確認してください。
IDプロバイダーから返されたメールアドレスを確認する:SAML /OIDC の設定を確認し、SSO 中に ChatGPT に送信されるメールアドレスフィールドを確認してください。SAML については、メール関連の属性を確認してください。メールアドレスは、サインインするユーザーを ChatGPT の招待またはアカウントに紐づけるために ChatGPT が使用するキーです。これらの値は、常に同じユーザーのメールアドレスを識別できるものでなければなりません。
*たとえば、ユーザーが user@company.com として招待されたにもかかわらず、ID プロバイダーから user@subsidiary.com が返されると、これは user@subsidiary.com へのサインインとして扱われ、エラーが発生します。
*この場合、次の2つの選択肢があります。
ユーザーのドメインが Global Admin Console で検証済みであり、ユーザーの招待先ワークスペースにマッピングされていることを確認します。ID プロバイダーが別のドメインのメールアドレスを返す場合、そのドメインは Global Admin Console で検証済みであり、ユーザーがアクセスしようとしているワークスペースで利用可能である必要があります。
たとえば、ユーザーが user@company.com として招待されたにもかかわらず、ID プロバイダーから user@subsidiary.com が返されると、そのユーザーがその ID を使用して SSO でサインインするには、subsidiary.com も検証され、適切にマッピングされている必要があります。
一番速い回避策:ワークスペースで SSO がオプションになっている場合、ユーザーに SSO ではなくユーザー名とパスワードを使用して招待を承諾してもらうことで、ユーザーのブロックを迅速に解除できます。これにより、SSO ログインのトラブルシューティングを行う時間を確保できるほか、ユーザーはすくに ChatGPT アカウントを利用できるようになります。