概覽
如果使用者在受邀加入 ChatGPT 工作區後無法透過 SSO 登入,問題可能是因為受邀加入工作區的電子郵件地址,與你的身分識別提供者傳回的電子郵件地址不符。此問題可能會顯示如下錯誤:
"SSO mismatch user creation"
或:
"sso_mismatch_user_creation"
若要讓 SSO 登入正常運作,應符合以下兩項條件:
使用者的身分識別提供者必須傳回與使用者預期的 ChatGPT 工作區身分相符的電子郵件地址。
電子郵件網域也必須在你的全域管理控制台中完成驗證,並可供該工作區使用。
解決步驟
以下步驟可協助你檢查邀請、SSO 電子郵件聲明與已驗證網域之間是否存在不一致之處。
確認用於工作區邀請的電子郵件地址:請確認邀請使用者時所用的電子郵件地址,就是他們預期用於 ChatGPT 的電子郵件地址。
確認身分識別提供者傳回的電子郵件地址:檢查你的 SAML/OIDC 設定,並確認在 SSO 過程中傳送至 ChatGPT 的電子郵件地址欄位。對於 SAML,請檢閱電子郵件相關屬性,因為電子郵件是 ChatGPT 用來將登入使用者對應至 ChatGPT 上的邀請或帳戶的關鍵依據。這些值應該能一致識別同一位使用者的電子郵件地址。
*例如:如果使用者是以 user@company.com 的身分受邀,但你的身分驗證提供者傳回 user@subsidiary.com,我們會將此視為 user@subsidiary.com 的登入,並會拋出錯誤。*你在這裡有 2 個選項:
確認使用者的網域已在全域管理員主控台中通過驗證,並已對應至該使用者受邀加入的工作區:如果你的身分識別提供者傳回來自不同網域的電子郵件地址,該網域必須已在你的全域管理員主控台中通過驗證,且可供使用者嘗試存取該工作區。
例如:如果使用者是以 user@company.com 受邀,但你的身分驗證提供者傳回 user@subsidiary.com,則 subsidiary.com 也必須先完成驗證並正確對應,使用者才能使用該身分透過 SSO 登入。
最快的因應措施:如果你的工作區可選擇使用 SSO,請讓使用者改用使用者名稱和密碼 (而非 SSO) 來接受邀請,以便快速解除阻礙。這能讓你有時間排解 SSO 登入問題,而使用者此時已可使用其 ChatGPT 帳戶。