概览
使用本指南解决 ChatGPT 和 API 平台的常见身份验证问题。它涵盖域验证、跨域身份管理系统 (SCIM)、单点登录 (SSO)、身份提供商 (IdP) 配置和登录错误。
如果身份验证之前可以正常工作,而问题是最近才开始出现的,请先查看 OpenAI Status 是否有活跃事件,然后再更改配置。
从与你看到的情况相匹配的问题或错误消息开始。如果需要联系 OpenAI 支持,请保留准确的错误消息。
域验证
域验证用于确认你的组织控制某个域。有关设置说明,请参阅域验证。
在多个 OpenAI 组织中使用同一个域
一个域只能在一个 OpenAI Admin Portal 中验证。如果你需要将同一个域用于不在该 Admin Portal 中的组织或工作空间,请联系 OpenAI 支持。
验证父域及其子域
验证父域并不会验证其子域。请分别验证每个子域。
在不允许使用 TXT 记录时验证域
OpenAI 必须能够通过公共 DNS 查询读取所需的 TXT 记录。如果你组织的安全政策阻止你添加该记录,请联系你的 OpenAI 客户团队,讨论你的情况是否可进行手动验证。
解决已过期的域验证尝试
已完成的域验证不会过期。已过期状态表示 7 天设置期限在验证完成前已结束。重新开始域验证,添加所需的 TXT 记录,并在 7 天内完成验证检查。
SCIM 资源
请使用与你管理的产品相匹配的文章:
有关 ChatGPT 设置和预配指南,请参阅OpenAI ChatGPT SCIM 集成常见问题。
有关跨产品 SCIM 问题和故障排除,请参阅SCIM 集成常见问题。
访问 ChatGPT 和 API 平台的 SSO 设置
在全局管理员控制台中使用 OpenAI Identity,管理 ChatGPT 工作空间和 API 平台组织的 SSO。如果预期的工作空间或组织未列出,请联系 OpenAI 支持,确认它已连接到 Admin Portal,并且你拥有所需的管理员访问权限。
访问 API 平台中的 Identity 页面
对于采用 Custom 或 Unlimited 计费方案的 Enterprise Platform 组织,API 平台管理员可以使用 Identity 页面。确认你组织的计费方案。如果该页面仍不可用,请联系你的 OpenAI 客户团队。
配置身份提供商
一个组织 ID 支持一个 IdP 配置。ChatGPT 工作空间及其对应的 API 平台组织共享同一个组织 ID 和 IdP 配置。
了解 ChatGPT 的强制 SSO
当以下所有条件均满足时,强制 SSO 会生效:
用户正在访问已强制执行 SSO 的 ChatGPT 工作空间。
用户的登录电子邮件与已验证域匹配。
该工作空间要求该域使用 SSO。
电子邮件域未验证的用户可以继续使用非 SSO 登录方法,例如密码或社交登录。这样可允许访客访问,而无需访客的域使用你的 SSO 配置。
API 平台 SSO 基于域。有关特定产品行为的更多信息,请参阅SSO 概览。
登录和工作空间问题
未收到密码重置电子邮件
如果账户是通过 SSO 或 Google、Microsoft、Apple 等社交登录方法创建的,则没有可重置的 OpenAI 密码。请使用原始方法登录。如有必要,请通过你的身份提供商重置凭据。
如果账户是使用电子邮件地址和密码创建的:
确认你输入的是与该账户关联的电子邮件地址。
检查垃圾邮件或垃圾箱文件夹。
再次请求密码重置电子邮件。
有关更多信息,请参阅我可以更改账户登录方式(身份验证方法)吗?。
工作空间切换器中缺少某个工作空间
退出 ChatGPT,然后重新登录。如果缺失的工作空间需要 SSO,请使用其 SSO 登录选项。如果它不需要 SSO,请使用你通常用于该账户的同一种非 SSO 方法。
用户姓名缺失或不正确
如果新用户被提示输入姓名和生日,或其电子邮件地址显示为显示名称,则 OpenAI 可能未在 SAML 响应中收到有效的姓名属性。
检查 IdP 属性映射,并确认:
响应包含有效的名字和姓氏属性。
SAML 响应和断言未加密。
解决特定错误消息
已登录的电子邮件不在 ChatGPT 工作空间中
你的身份提供商已将你以 {email} 身份登录,但该电子邮件尚未添加到你的 ChatGPT 工作空间。
SSO 配置返回的账户不是该 ChatGPT 工作空间的成员。
如果电子邮件地址正确,请让工作空间管理员邀请该地址加入工作空间。
如果电子邮件地址不正确,请让你的 IT 管理员更正 IdP 中的电子邮件映射。
如果需要将正确的电子邮件与现有 OpenAI 账户关联,请联系 OpenAI 支持以获取针对账户的指导。
错误:identity_provider_mismatch
你尝试以 user@example.com 身份使用密码登录,但这不是你注册时使用的身份验证方法。请使用注册时使用的身份验证方法重试。(error=identity_provider_mismatch)
登录方法与该账户最初使用的方法不匹配。请使用原始方法重试,例如密码、临时代码、Google、Microsoft、Apple,或你组织的 SSO。
如果你不再能使用原始登录方法,或者需要使用密码访问另一个工作空间,请联系 OpenAI 支持。
错误:require_sso_login
该工作空间需要 SSO,但登录尝试使用了社交登录方法或密码。
退出 ChatGPT。
在登录页面上输入你的电子邮件地址。
选择 SSO 选项,然后通过你组织的 IdP 进行身份验证。
错误:获取你的 SSO 信息时出现问题
当 OpenAI 检查某个账户是否属于 Enterprise 工作空间时,可能会出现此消息。这可能表示 VPN、代理、浏览器扩展、防火墙或其他网络控制正在阻止身份验证请求。
请你的 IT 团队检查网络路径,并确认已允许所需的 OpenAI 域。有关最新的允许列表指南,请参阅ChatGPT 网页版和应用中错误的网络建议。
如果你的组织使用 IdP Tile URL,请尝试使用该 URL,以确定标准登录路径是否是问题来源。
错误:没有可访问的工作空间
当 IdP 返回的电子邮件地址已更改,但 OpenAI 账户仍与之前的 SAML 配置文件关联时,可能会出现此消息。
请你的 IT 管理员确认 IdP 返回的电子邮件地址。如果电子邮件正确但错误仍然存在,请联系 OpenAI 支持,以帮助解决账户映射问题。
错误:指纹无效
此消息通常表示 OpenAI 中配置的 X.509 证书与 SAML 响应中的证书不匹配。
确认 IdP 使用哪个证书来签署 SAML 响应。
将其与 Identity 页面上上传的证书进行比较。
如有需要,请上传当前证书。
错误:糟糕!请使用你组织的 SSO 访问你的账户。
当已强制执行 SSO,但登录尝试使用了其他方法(例如 Google、Microsoft、Apple 或密码)时,会出现此消息。
返回登录页面。
输入你的电子邮件地址,然后选择 SSO 选项。
如果在 IdP 身份验证后再次出现此消息,请让你的 IT 团队确认你位于 OpenAI 的 IdP 访问组中。
错误:连接未启用
此消息通常表示 IdP Tile URL 对该连接未处于活动状态。ChatGPT 和 API 平台共享同一个底层组织 ID,并且它们的两个 Tile URL 一次只能有一个处于活动状态。ChatGPT Tile URL 默认处于活动状态。如果你需要切换到 API 平台 Tile URL,请联系 OpenAI 支持。
如果此错误仅出现在 ChatGPT 移动应用中,请将应用更新到最新版本后重试。
找不到 sts.windows.net 页面
此消息可能表示 IdP 配置中的模式映射或 SSO 登录 URL 不正确。验证这两项设置,并将任何过期或不正确的 URL 替换为你的 IdP 的 SSO 配置中显示的当前值。
仍然无法正常工作?
升级处理前
确认 OpenAI Status 未显示活跃事件,然后收集以下详细信息:
准确的错误消息,以及在可能的情况下提供屏幕截图。
受影响账户的电子邮件地址和登录方法。
问题影响一个用户还是多个用户。
问题发生的日期和时间,包括时区。
浏览器、应用版本、操作系统和设备。
IdP 以及任何相关的工作空间或组织 ID。
问题是通过直接登录、Tile URL,还是两者都会发生。
已完成的故障排除步骤。
请勿共享密码、一次性代码、私钥或其他身份验证机密。
联系 OpenAI 支持
打开 help.openai.com 底部的聊天气泡以联系 OpenAI 支持。有关提交请求的指南,请参阅如何联系支持?。
