Обзор
Если пользователь не может войти с помощью SSO после приглашения в рабочую область ChatGPT, проблема может быть вызвана несоответствием между адресом электронной почты, приглашённым в рабочую область, и адресом электронной почты, который возвращает ваш поставщик удостоверений.
Эта проблема может сопровождаться ошибкой, например:
"SSO mismatch user creation"
или:
"sso_mismatch_user_creation"
Чтобы вход с помощью SSO работал, должны выполняться оба следующих условия:
Поставщик удостоверения личности пользователя должен возвращать адрес электронной почты, который соответствует заданной идентичности пользователя в рабочей области ChatGPT.
Домен электронной почты также должен быть подтвержден и доступен для рабочей области в вашей глобальной консоли администратора.
Действия по устранению
Приведённые ниже шаги помогут вам проверить, есть ли несоответствие между приглашением, утверждением электронной почты для SSO и подтверждённым доменом.
Проверьте адрес электронной почты, использованный для приглашения в рабочую область: убедитесь, что пользователь был приглашён с использованием адреса электронной почты, который он должен использовать для ChatGPT.
Подтвердите адрес электронной почты, возвращаемый вашим поставщиком удостоверений: проверьте конфигурацию SAML/OIDC и подтвердите, какое поле адреса электронной почты передается в ChatGPT при SSO. Для SAML проверьте атрибуты, связанные с адресом электронной почты, так как адрес электронной почты является ключом, который ChatGPT использует для сопоставления входящего пользователя с приглашением или учетной записью в ChatGPT. Эти значения должны всегда идентифицировать один и тот же адрес электронной почты пользователя.
*Например, если пользователь был приглашен как user@company.com, но ваш поставщик удостоверений возвращает user@subsidiary.com, мы будем рассматривать это как вход для user@subsidiary.com и выдадим ошибку.
*У вас есть 2 варианта:
Убедитесь, что домен пользователя подтверждён в Global Admin Console и сопоставлен с рабочей областью, в которую приглашён пользователь: если поставщик удостоверений возвращает адрес электронной почты из другого домена, этот домен должен быть подтверждён в вашей Global Admin Console и доступен для рабочей области, к которой пользователь пытается получить доступ.
Например, если пользователь был приглашён с адресом user@company.com, но ваш поставщик удостоверений возвращает user@subsidiary.com, то subsidiary.com также должно быть подтверждено и надлежащим образом сопоставлено, прежде чем пользователь сможет войти с помощью SSO, используя эту учётную запись.
Самое быстрое временное решение: если SSO необязательна для вашей рабочей области, попросите пользователя принять приглашение, используя имя пользователя и пароль вместо SSO, чтобы быстро разблокировать доступ. Это даст вам некоторое время на устранение неполадок со входом через SSO, а пользователь уже сможет использовать свою учетную запись ChatGPT.