OpenAI
Den här sidan har maskinöversatts. Visa den ursprungliga engelska artikeln.

Åtgärda SSO-inloggningsfel som orsakas av e-post- eller domänavvikelse

Den här artikeln ger felsökningssteg för felen ”SSO mismatch user creation” / ”sso_mismatch_user_creation” när en användare försöker acceptera en inbjudan till en ChatGPT-arbetsyta/API-organisation

Uppdaterades: 5 hours ago

Översikt

Om en användare inte kan logga in med SSO efter att ha bjudits in till en ChatGPT-arbetsyta kan problemet bero på att e-postadressen som bjudits in till arbetsytan inte stämmer överens med e-postadressen som returneras av din identitetsleverantör.

Det här problemet kan visas med ett fel som:

"SSO-avvikelse vid skapande av användare"

eller:

"sso_mismatch_user_creation"

För att SSO-inloggning ska fungera måste alla följande villkor vara uppfyllda:

  1. Användarens identitetsleverantör måste returnera en e-postadress som matchar användarens avsedda identitet för ChatGPT-arbetsytan.

  2. E-postdomänen måste vara verifierad och tillgänglig för arbetsytan i din globala administratörskonsol.

  3. Arbetsytan måste ha en aktiv SSO-anslutning som användaren loggar in via. Om domänen är verifierad men mappad till en annan SSO-anslutning kan användaren fortfarande se ett fel om SSO-avvikelse.

Steg för att lösa problemet

Stegen nedan hjälper dig att kontrollera om det finns en bristande överensstämmelse mellan inbjudan, SSO-e-postanspråket och den verifierade domänen.

  1. Bekräfta e-postadressen som användes för inbjudan till arbetsytan: Kontrollera att användaren bjöds in med den e-postadress som de förväntas använda för ChatGPT.

  2. Bekräfta e-postadressen som returneras av din identitetsleverantör: Kontrollera din SAML/OIDC-konfiguration och bekräfta vilket e-postadressfält som skickas till ChatGPT vid SSO. För SAML ska du granska de e-postrelaterade attributen, eftersom e-postadressen är nyckeln som ChatGPT använder för att koppla den inloggande användaren till inbjudan eller kontot i ChatGPT. Dessa värden bör konsekvent identifiera samma användares e-postadress.

*Om användaren till exempel bjöds in som user@company.com, men din identitetsleverantör returnerar user@subsidiary.com, behandlar vi detta som en inloggning för user@subsidiary.com och visar felet.

*Du har 2 alternativ här:

  1. Bekräfta att användarens domän är verifierad i Global Admin Console och är mappad till arbetsytan som användaren är inbjuden till: Om din identitetsleverantör returnerar en e-postadress från en annan domän måste den domänen vara verifierad i Global Admin Console och tillgänglig för arbetsytan som användaren försöker komma åt.

Om användaren till exempel bjöds in som user@company.com, men din identitetsleverantör returnerar user@subsidiary.com, måste även subsidiary.com vara verifierad och korrekt mappad innan användaren kan logga in med SSO med den identiteten.

Snabbaste tillfälliga lösningen: Om SSO är valfritt för din arbetsyta, låt användaren acceptera inbjudan med användarnamn och lösenord i stället för SSO, så att blockeringen snabbt hävs. Det ger dig lite tid att felsöka SSO-inloggningen, och användaren kan redan använda sitt ChatGPT-konto.

Var den här artikeln till hjälp?