Översikt
Om en användare inte kan logga in med SSO efter att ha bjudits in till en ChatGPT-arbetsyta kan problemet bero på att e-postadressen som bjudits in till arbetsytan inte stämmer överens med e-postadressen som returneras av din identitetsleverantör.
Det här problemet kan visas med ett fel som:
"SSO-avvikelse vid skapande av användare"
eller:
"sso_mismatch_user_creation"
För att SSO-inloggning ska fungera måste alla följande villkor vara uppfyllda:
Användarens identitetsleverantör måste returnera en e-postadress som matchar användarens avsedda identitet för ChatGPT-arbetsytan.
E-postdomänen måste vara verifierad och tillgänglig för arbetsytan i din globala administratörskonsol.
Arbetsytan måste ha en aktiv SSO-anslutning som användaren loggar in via. Om domänen är verifierad men mappad till en annan SSO-anslutning kan användaren fortfarande se ett fel om SSO-avvikelse.
Steg för att lösa problemet
Stegen nedan hjälper dig att kontrollera om det finns en bristande överensstämmelse mellan inbjudan, SSO-e-postanspråket och den verifierade domänen.
Bekräfta e-postadressen som användes för inbjudan till arbetsytan: Kontrollera att användaren bjöds in med den e-postadress som de förväntas använda för ChatGPT.
Bekräfta e-postadressen som returneras av din identitetsleverantör: Kontrollera din SAML/OIDC-konfiguration och bekräfta vilket e-postadressfält som skickas till ChatGPT vid SSO. För SAML ska du granska de e-postrelaterade attributen, eftersom e-postadressen är nyckeln som ChatGPT använder för att koppla den inloggande användaren till inbjudan eller kontot i ChatGPT. Dessa värden bör konsekvent identifiera samma användares e-postadress.
*Om användaren till exempel bjöds in som user@company.com, men din identitetsleverantör returnerar user@subsidiary.com, behandlar vi detta som en inloggning för user@subsidiary.com och visar felet.
*Du har 2 alternativ här:
Bekräfta att användarens domän är verifierad i Global Admin Console och är mappad till arbetsytan som användaren är inbjuden till: Om din identitetsleverantör returnerar en e-postadress från en annan domän måste den domänen vara verifierad i Global Admin Console och tillgänglig för arbetsytan som användaren försöker komma åt.
Om användaren till exempel bjöds in som user@company.com, men din identitetsleverantör returnerar user@subsidiary.com, måste även subsidiary.com vara verifierad och korrekt mappad innan användaren kan logga in med SSO med den identiteten.
Snabbaste tillfälliga lösningen: Om SSO är valfritt för din arbetsyta, låt användaren acceptera inbjudan med användarnamn och lösenord i stället för SSO, så att blockeringen snabbt hävs. Det ger dig lite tid att felsöka SSO-inloggningen, och användaren kan redan använda sitt ChatGPT-konto.
