Ads Manager 的单点登录 (SSO) 和跨域身份管理系统 (SCIM) 在 全局管理控制台中按 OpenAI 租户级别配置。随后,可通过 Ads 专用的管理角色和广告账户角色来控制 Ads 访问权限。
开始之前
你必须是全局管理员,才能配置租户级身份设置并管理租户成员。
用户必须拥有 Ads 管理员角色,才能在租户中创建广告账户。
访问现有广告账户需要具备广告账户角色:广告账户管理员、广告账户成员或广告账户查看者。
请在身份提供商、全局管理控制台和 Ads Manager 中使用相同的工作邮箱地址。
Ads 角色的工作方式
全局管理员和 Ads 管理员是不同的角色。全局管理员可以管理租户、身份设置和用户,但成为全局管理员并不会自动获得创建广告账户的权限。请将 Ads 管理员角色分配给需要创建广告账户的用户。
广告账户创建后,请为每个用户或群组分配适当的广告账户角色。如果用户已在每个账户中分配到角色,同一个邮箱地址可以访问多个广告账户。
为 Ads Manager 设置 SSO
打开全局管理控制台,然后选择要管理的租户。
按照配置 SSO操作,配置并验证你的域和身份提供商。
将需要 Ads 访问权限的用户或群组添加到租户。
将 Ads 管理员分配给需要创建广告账户的人员。对于现有广告账户,请根据需要分配广告账户管理员、广告账户成员或广告账户查看者角色。
请用户打开 Ads Manager,并使用租户中配置的同一工作邮箱地址登录。
如果你的组织还使用 ChatGPT 或 API 平台,这些产品中的 SSO 正常工作并不会自动授予 Ads 访问权限。确认用户位于正确的租户中,并拥有所需的 Ads 角色。
为 Ads Manager 设置 SCIM
对于仅使用 Ads 的客户,SCIM 预配在全局管理控制台中按租户级别管理。Ads 的租户级 SCIM 不会取代 ChatGPT 或 API 平台所使用的产品级 SCIM 配置。
请按照 SCIM 集成常见问题解答和身份提供商的说明配置 SCIM。
在身份提供商中将所需用户或群组分配给 OpenAI 应用,并确认预配成功。
在全局管理控制台中,确认已预配的用户出现在租户中。如果有待处理的邀请,用户必须接受该邀请。
如果用户需要创建广告账户,请分配 Ads 管理员;如果用户应访问现有账户,请为每个账户分配广告账户角色。
请用户使用已预配的邮箱地址登录 Ads Manager。
你也可以将 SCIM 同步的群组分配给 Ads 角色。这样,角色访问权限就会跟随身份提供商中管理的群组成员身份。
创建另一个广告账户
确认用户在租户中拥有 Ads 管理员角色。仅有全局管理员权限还不够。
使用与租户关联的邮箱地址打开 Ads Manager。
使用创建新广告账户的选项。如果未显示该选项,请确认 Ads 管理员角色,并确认用户正在预期的租户中操作。
创建后,请为需要访问权限的用户或群组分配广告账户角色。
不要依赖直接的引导 URL 来创建其他账户。如果用户已有 Ads Manager 会话,网站可能会打开其现有账户,而不是启动新的引导流程。
登录和访问问题排查
用户被转到密码登录页面,而不是身份提供商
确认用户输入的工作邮箱地址与租户和身份提供商中配置的地址相同。
确认邮箱域已验证,并且已为预期租户配置 SSO。
请用户退出其他 OpenAI 账户,或在私密浏览器窗口中重试,以避免使用其他邮箱地址的现有会话。
如果问题仍然存在,请联系 OpenAI 支持,并提供用户邮箱地址、租户 ID、大致时间戳和时区,以及页面或错误的屏幕截图。
用户可以登录,但无法创建广告账户
确认用户拥有 Ads 管理员角色。全局管理员和广告账户角色不会自动包含创建新广告账户的权限。
SCIM 预配的用户无法访问 Ads Manager
确认身份提供商中的预配事件已成功。
确认用户出现在正确的租户中,并已接受任何待处理的邀请。
确认用户或其同步群组拥有所需的 Ads 管理员或广告账户角色。
确认用于登录的邮箱地址与已预配的身份完全匹配。
常见问题解答
SSO 或 SCIM 是否在租户级别管理?
是。对于仅使用 Ads 的客户,SSO 和 SCIM 在全局管理控制台中按租户级别配置。随后使用 Ads 管理员和广告账户角色来控制 Ads 专用权限。
全局管理员和 Ads 管理员相同吗?
不相同。全局管理员管理租户和身份配置。Ads 管理员授予创建广告账户和管理 Ads 访问权限的权限。
SCIM 会自动授予对每个广告账户的访问权限吗?
不会。SCIM 会预配用户的租户身份。还必须为用户或同步群组分配适当的 Ads 管理员或广告账户角色。
同一个邮箱地址可以访问多个广告账户吗?
可以。请在每个广告账户中为用户分配适当的角色。然后,用户即可使用同一个邮箱地址访问这些账户。
为什么 SSO 可用于另一个 OpenAI 产品,但不能用于 Ads Manager?
身份验证和产品访问权限是分开的。即使 SSO 已可用于 ChatGPT 或 API 平台,也请确认用户位于预期租户中,并拥有 Ads 专用角色。
