OpenAI
Эта страница была переведена машинным переводом. Открыть оригинальную статью на английском.

Часто задаваемые вопросы по устранению неполадок аутентификации

В этом документе собраны часто задаваемые вопросы и советы по устранению неполадок, связанных с нашим уровнем аутентификации: единая аутентификация (SSO), SCIM и подтверждение домена

Обновлено: 14 days ago

Сначала мы ответим на несколько популярных вопросов о пограничных случаях, связанных с нашей текущей архитектурой.

Подтверждение домена

  1. Можно ли подтвердить один и тот же домен в нескольких организациях?

    1. Сейчас это нельзя сделать нативно. Пожалуйста, свяжитесь со своим Account Director, чтобы обсудить ваш сценарий использования и возможные варианты реализации.

  2. Могу ли я подтвердить свой основной домен и распространить это на его поддомены?

    1. В настоящее время нет. Вы должны подтверждать каждый поддомен как отдельную уникальную запись.

  3. Политика безопасности моей компании не позволяет использовать TXT-запись для основного домена, поэтому мы не можем подтвердить наш домен.

    1. В исключительных случаях мы можем вручную подтвердить домены от вашего имени. Пожалуйста, свяжитесь со своим Account Director, чтобы обсудить доступные варианты.

  4. Истекает ли срок подтверждения домена, и нужно ли его продлевать?

    1. В настоящее время нет. Статус «Expired» отображается только в том случае, если вы начали процесс, но так и не завершили подтверждение. После начала процесса на завершение подтверждения отводится 7 дней.

SCIM

  1. Ознакомьтесь с нашими текущими FAQ по SCIM для ChatGPT и API Platform

SSO и IdP

  1. Изначально я был клиентом только ChatGPT/Platform и не знаю, как получить доступ к другому продукту, чтобы управлять его настройками SSO.

  2. Пожалуйста, свяжитесь со своим Account Director, чтобы он убедился, что соответствующая организация/рабочая область настроена правильно и что вы добавлены туда как администратор.

  3. Я администратор, но не вижу страницу Identity в своей учетной записи Platform.

  4. Страница Identity отображается для администраторов Platform, если у учетной записи Enterprise Platform тарифный план «Custom» или «Unlimited». Это можно проверить в настройках Billing вашей учетной записи API, а за дополнительной помощью можно обратиться к своему Account Director.

  5. Можно ли настроить несколько IdP в одной рабочей области?

  6. Нет, в настоящее время мы поддерживаем только один IdP на организацию/рабочую область.

  7. Означает ли «Enforce SSO», что любой приглашенный в мою рабочую область должен будет использовать SSO?

  8. Нет. Enforce SSO применяется только тогда, когда пользователь получает доступ к этой рабочей области ChatGPT, для нее принудительно включен SSO, а адрес электронной почты для входа совпадает с подтвержденным доменом. Пользователи, входящие с адресами электронной почты из неподтвержденных доменов, могут продолжать использовать методы входа без SSO (например, пароль или вход через соцсети), что поддерживает гостевой доступ.

Устранение неполадок

В этом разделе мы рассмотрим общее поведение, с которым вы можете столкнуться, а также конкретные сообщения об ошибках. Если раньше вы могли успешно проходить аутентификацию, а проблемы появились только сейчас, пожалуйста, проверьте нашу страницу статуса, чтобы убедиться, что в данный момент нет активного инцидента.

Общие проблемы

  1. Мне не приходит письмо для сброса пароля

  2. Если вы изначально использовали вход через Google, это ожидаемо. Вам следует войти через Google или запросить смену пароля в своей учетной записи Google. Если это не ваш случай, пожалуйста, обратитесь в службу поддержки за помощью.

  3. Я состою в нескольких рабочих областях, но не вижу возможности переключаться между ними, пока я вошел в ChatGPT

  4. Если отсутствует рабочая область, в которой вы точно состоите, выйдите из ChatGPT и войдите снова. Если для этой рабочей области требуется SSO, выберите вариант входа через SSO. Если SSO не требуется, используйте стандартный процесс входа и войдите методом без SSO (например, по паролю или через соцсети).

  5. При регистрации у моих пользователей запрашиваются имя и дата рождения.

  6. Это происходит, если мы не видим корректных атрибутов имени в SAMLResponse от вашего IdP. Пожалуйста, проверьте сопоставление атрибутов, чтобы убедиться, что оно соответствует нашим критериям и что атрибуты не шифруются.

  7. Вместо имен у моих пользователей отображаются их адреса электронной почты

  8. Как и выше, скорее всего, это происходит потому, что мы не видим корректных атрибутов имени в SAMLResponse от вашего IdP. Пожалуйста, проверьте сопоставление атрибутов, чтобы убедиться, что оно соответствует нашим критериям и что атрибуты не шифруются.

Конкретные сообщения об ошибках

  1. Ваш поставщик удостоверений выполнил вход как {email}, но этот адрес электронной почты не был добавлен в вашу рабочую область ChatGPT.

    1. Эта ошибка возникает, когда вы используете SSO для доступа к ChatGPT, но конфигурация SSO пытается выполнить вход в учетную запись, которая не приглашена в рабочую область ChatGPT, где настроен ваш SSO. Если адрес электронной почты является нужным, то администратор вашей рабочей области ChatGPT должен пригласить вас в рабочую область. Если адрес электронной почты указан неверно, то вашему ИТ-администратору нужно изменить конфигурацию SSO в вашем IdP. Если адрес правильный, но вам нужен доступ к другому, уже существующему адресу электронной почты, то в вашей старой учетной записи потребуется изменить адрес электронной почты. Для получения дополнительной помощи по этой проблеме попросите вашего администратора написать на support@openai.com

  2. «Вы попытались войти как user@example.com с помощью пароля, но это не тот метод аутентификации, который вы использовали при регистрации. Повторите попытку, используя метод аутентификации, который вы использовали при регистрации. (error=identity_provider_mismatch)»

    1. Эта ошибка обычно возникает, если вы попытались войти с помощью пароля, хотя изначально регистрировались через социальный вход (Google/Microsoft/Apple). Пожалуйста, попробуйте вместо этого войти через правильный социальный вход.

    2. Если вы потеряли доступ к своему исходному способу аутентификации или вам нужно входить по паролю в дополнительную рабочую область (например, если вы сначала присоединились к рабочей области Enterprise через SSO, но больше не являетесь ее участником или вас пригласили во вторую рабочую область), пожалуйста, обратитесь в службу поддержки за дополнительной помощью.

  3. «require_sso_login»

    1. Эта ошибка возникает, когда пользователь вошел с помощью социального входа (Google/Microsoft/Apple), но в этой рабочей области включен параметр «Enforce SSO». Попробуйте выйти и снова войти через SSO (то есть введите свой адрес электронной почты, перейдите по перенаправлению к своему IdP и выполните аутентификацию там)

  4. «Что-то пошло не так при получении вашей информации SSO»

    1. Это сообщение об ошибке может вводить в заблуждение, поскольку оно может появляться у пользователей без SSO при попытке определить, принадлежат ли они рабочей области Enterprise.

    2. Обычно это сообщение указывает на то, что что-то в вашей сети блокирует проверку нашей конечной точки.

      1. Пользователи SSO могут обойти это с помощью Tile URL; однако мы рекомендуем проверить вкладку network, чтобы определить, почему наш вызов «useGetSSOConnection» блокируется в вашей сети.

    3. Пожалуйста, вместе с вашей ИТ-командой убедитесь, что у вас нет VPN/Proxy/Extension, которые могут блокировать трафик к нашим конечным точкам, и что вы добавили все наши домены в список разрешенных.

  5. «Нет доступных рабочих областей»

    1. Если адрес электронной почты, возвращаемый вашим IdP, изменился (например, ваша ИТ-команда обновила сопоставление, ваш адрес электронной почты изменился и т. д.), возможно, соответствующая учетная запись OpenAI по-прежнему связана с предыдущим профилем SAML. Поскольку мы видим, что нам передается новый адрес электронной почты, у нас возникают проблемы с сопоставлением его с вашим исходным пользователем. Пожалуйста, обратитесь в службу поддержки за помощью в этом случае.

  6. «Invalid thumbprint (configured …»

    1. Это сообщение об ошибке почти всегда указывает на несоответствие между сертификатом X.509, который вы нам предоставили, и тем, что мы видим в возвращаемом ответе SAML от вашего IdP. Пожалуйста, еще раз убедитесь, что используете правильный сертификат, и повторно загрузите его через страницу Identity.

  7. «Oops! Please use your organization's SSO to access your account.»

    1. Эта ошибка возникает, когда вы состоите в рабочей области или организации, где принудительно включен SSO, но, возможно, попытались войти другим способом (например, через Google/Microsoft/Apple или по имени пользователя и паролю). Пожалуйста, введите свой адрес электронной почты на странице входа и выберите вариант SSO.

    2. Если вас перенаправляет к вашему IdP и после аутентификации вы все равно видите это сообщение, пожалуйста, уточните у своей ИТ-команды, что вы входите в группу доступа IdP.

  8. «the connection is not enabled»

    1. Эта ошибка обычно означает, что вы используете Tile URL, который не активен для вашего подключения. Помните, что ChatGPT и API Platform используют один и тот же базовый org-id, и из-за этого одновременно активен только один из двух Tile URL. По умолчанию мы активируем Tile URL для ChatGPT — если вы хотите переключить его на Tile URL для Platform, пожалуйста, обратитесь в службу поддержки.

    2. Если вы сталкиваетесь с этой ошибкой только в мобильном приложении, но можете успешно входить через веб-версию/настольное приложение, пожалуйста, убедитесь, что ваше приложение iOS или Android обновлено до последней версии.

  9. «This sts.windows.net page can't be found»

    1. Эта ошибка может быть связана с неправильным сопоставлением схемы при настройке SSO или с тем, что в конфигурации был указан неверный URL SSO для URL входа SSO. Вам нужно исправить этот URL. Обычно URL можно найти в настройках SSO вашего поставщика удостоверений.

Была ли эта статья полезной?