概览
如果用户受邀加入 ChatGPT 工作空间后无法使用 SSO 登录,问题可能出在邀请时使用的电子邮件地址与身份提供商返回的电子邮件地址不一致。
此问题可能会伴随如下错误出现:
"SSO mismatch user creation"
或:
"sso_mismatch_user_creation"
如要确保 SSO 登录正常工作,需要满足以下两个条件:
用户的身份提供商必须返回一个电子邮件地址,该地址与用户预期使用的 ChatGPT 工作空间身份相匹配。
该电子邮件域名还必须已在你的全局管理控制台中通过验证,并可供该工作空间使用。
解决步骤
以下步骤将帮助你检查邀请、SSO 电子邮件地址声明和已验证域名之间是否存在不一致。
确认用于工作空间邀请的电子邮件地址:确保邀请该用户时使用的是他们预期用于 ChatGPT 的电子邮件地址。
确认身份提供商返回的电子邮件地址:检查你的 SAML/OIDC 配置,并确认在 SSO 期间会将哪个电子邮件地址字段发送到 ChatGPT。对于 SAML,请检查与电子邮件地址相关的属性,因为电子邮件地址是 ChatGPT 用于将正在登录的用户映射到 ChatGPT 中的邀请或账户的关键标识。这些值应始终对应同一用户的电子邮件地址。
*例如,如果用户是以 user@company.com 的身份受邀,但你的身份提供商返回的是 user@subsidiary.com,我们会将其视为 user@subsidiary.com 的登录,并返回该错误。
*你有两种选择:
确认用户域名已在全局管理控制台中通过验证,并已映射到用户受邀加入的工作空间:如果你的身份提供商返回来自其他域名的电子邮件地址,则该域名必须已在你的全局管理控制台中通过验证,并且可供用户尝试访问的工作空间使用。
例如,如果用户是以 user@company.com 的身份受邀,但你的身份提供商返回的是 user@subsidiary.com,则还必须先验证 subsidiary.com 并进行正确映射,然后用户才能使用该身份通过 SSO 登录。
最快的临时解决方法:如果你的工作空间可选择是否使用 SSO,请让用户使用用户名和密码而不是 SSO 接受邀请,以便快速解除阻碍。这样可以为你争取一些时间来排查 SSO 登录问题,同时用户也能先使用自己的 ChatGPT 账户。