Zum Hauptinhalt springen

Fehlerbehebung bei Single Sign-On (SSO)

Fehlerbehebung bei der Einrichtung, Benutzerverwaltung, Anmeldung und anderen SSO-Problemen

Verfasst von Perplexity Support
Vor über 2 Monaten aktualisiert

Übersicht über SSO

Unsere SSO-Plattform (WorkOS) hilft Unternehmen, den Benutzerzugriff effektiv zu verwalten. Durch die Durchsetzung von domänenbasierten Anmeldungen über den Identity Provider (IdP) kontrollieren Unternehmen, wer von ihrer Seite auf Perplexity zugreifen kann.

So funktioniert die Benutzerbereitstellung

  • Standard: Administratoren von Organisationen müssen Benutzer zu Perplexity einladen.

  • Just-in-time-Bereitstellung: Benutzer werden in Perplexity erstellt, wenn sie sich zum ersten Mal über SSO/IdP anmelden, nicht, wenn sie im IdP hinzugefügt werden. Die Anweisungen zur Aktivierung der JIT-Bereitstellung finden Sie hier.

  • Optionale technische Funktionen:

    • Aktivieren Sie die automatische Anmeldung für Benutzer mit der E-Mail-Domain Ihrer Organisation.

    • Erfassen Sie automatisch alle Benutzer mit der eigenen E-Mail-Domain in Ihrem Perplexity-Konto.

  • SCIM (System for Cross-domain Identity Management): automatisiert die Bereitstellung und Deprovisionierung von Benutzern. Perplexity unterstützt SCIM für Organisationen mit 50 oder mehr Benutzern oder wenn es mindestens einen Enterprise Max-Benutzer gibt.

So funktioniert die Benutzer-Deprovisionierung

  • Benutzer, die aus dem IdP entfernt wurden, werden nicht automatisch aus Perplexity gelöscht.

  • Wenn SSO erzwungen wird, können sich deprovisionierte Benutzer nicht anmelden, erscheinen aber weiterhin in Perplexity, bis ein Administrator sie entfernt.

  • Empfehlung: Administratoren sollten deprovisionierte Benutzer regelmäßig überprüfen und manuell entfernen, um die Datensätze korrekt zu halten.

Wichtige Schritte zur Fehlerbehebung

Allgemeine Fehlerbehebung

Wenn Ihre Organisation Probleme mit SSO hat, prüfen Sie zunächst, ob SSO erforderlich aktiviert ist. Wenn diese Option aktiviert ist, werden domänenbasierte Anmeldungen über Ihren IdP für Ihre Organisation erzwungen.

Sie können dies tun, indem Sie in den Organisationseinstellungen zum Bildschirm Identität gehen und SSO erforderlich aktivieren.

Wenn SSO für Ihre Organisation erforderlich ist, aber der SSO-Flow für Ihre Organisation nicht angezeigt wird, überprüfen Sie, ob die verwendete Domain oder Subdomain verifiziert ist (siehe unten).

Sie können sie auch bitten, ihren Browser vollständig zu aktualisieren (durch Drücken von Strg+F5 unter Windows oder Befehl+Umschalt+R auf dem Mac), falls dies durch ein Cache-Problem verursacht wird.

Probleme mit der Domain-Verifizierung

Alle Domains und Subdomains, die von Ihrer Organisation für die SSO-Anmeldung verwendet werden, müssen unabhängig voneinander verifiziert werden.

Wenn Ihre Domain-Verifizierung als „ausstehend“ oder „fehlgeschlagen“ angezeigt wird, wurde der DNS-TXT-Eintrag wahrscheinlich noch nicht zur DNS-Konfiguration Ihrer Domain hinzugefügt.

So verifizieren Sie Ihre Domain(s):

  1. Gehen Sie in den Organisationseinstellungen zum Bildschirm Identität.

  2. Klicken Sie auf „Hinzufügen“ neben dem Abschnitt Domain.

  3. Geben Sie die Domain Ihrer Organisation ein (z. B. yourdomain.com).

  4. Kopieren Sie den bereitgestellten DNS-TXT-Eintrag.

  5. Fügen Sie diesen Eintrag zur DNS-Konfiguration Ihrer Domain hinzu, wobei der vollständige "verification_token=string" in doppelten Anführungszeichen enthalten sein muss. Stellen Sie TTL auf 60 Sekunden ein.

  6. Warten Sie mindestens eine Minute und verwenden Sie dann nslookup -q=text yourdomain.com, um zu bestätigen, dass der neue DNS-TXT-Eintrag im Internet verbreitet wurde.

  7. Klicken Sie auf „Verify“, sobald der DNS-TXT-Eintrag hinzugefügt wurde.

  8. Wiederholen Sie diesen Vorgang für alle Domains, die Ihre Organisation verwendet.

  9. Sobald eine Domain erfolgreich verifiziert wurde, können Sie die TTL-Einstellung auf 12 oder 24 Stunden (43200 oder 86400 Sekunden) erhöhen.

Just-in-Time-Bereitstellung

Wenn Sie die Funktionen für die automatische Anmeldung oder die automatische Erfassung aktivieren möchten, müssen Sie die Just-in-Time-Bereitstellung für Ihre Organisation aktivieren.

Sie können dies im Bildschirm Identität in den Organisationseinstellungen tun, indem Sie den Schalter „Just-in-time-Kontobereitstellung“ auf „Aktiviert“ stellen:

Wenn JIT für Ihre Organisation aktiv ist, Sie jedoch Probleme mit der Just-in-Time-Bereitstellung für einen bestimmten Benutzer haben, versuchen Sie, sich mit einem neuen Benutzer anzumelden.

  • Wenn dies mit einem neuen Benutzer, aber nicht mit bestimmten Benutzern funktioniert, ist es sehr wahrscheinlich, dass alle laufenden Probleme beim Onboarding von Benutzern nicht auf SSO oder eine Fehlkonfiguration der Bereitstellung auf Seiten der Organisation zurückzuführen sind. Stattdessen können Probleme mit individuellen Benutzerzuweisungen, Berechtigungen, Gruppenmitgliedschaften im IdP oder spezifischen Problemen mit diesen Konten zusammenhängen.

  • Wenn es nicht funktioniert, liegt möglicherweise ein Problem mit der SSO/JIT-Einrichtung zwischen Ihrem IdP und Perplexity vor. Häufige Ursachen sind falsch konfigurierte Attribute, fehlende Berechtigungen oder falsche SAML/OIDC-Parameter.

Probleme bei der Deprovisionierung:

Wenn SCIM für Ihr Unternehmen nicht aktiv ist, verliert ein Benutzer, der aus dem Identity Provider (IdP) entfernt wird, die Möglichkeit, sich bei Perplexity anzumelden, wenn SSO erzwungen wird und der IdP seine Anmeldung ablehnt. Das Konto und die Daten des Benutzers bleiben jedoch im Perplexity-System, bis ein Administrator sie manuell löscht oder entfernt. Standard-SSO steuert nur die Authentifizierung bei der Anmeldung, nicht die Verwaltung oder Löschung des Benutzerlebenszyklus.

SCIM fügt ein automatisiertes Lebenszyklusmanagement hinzu. Wenn ein Benutzer vom IdP deprovisioniert wird, sendet SCIM eine Anfrage an Perplexity, um das Benutzerkonto automatisch zu deaktivieren oder zu entfernen. Dies bedeutet, dass Unternehmen, die SCIM verwenden, sowohl die Benutzererstellung als auch die Entfernung automatisieren können, wodurch die manuelle Bereinigung minimiert und die Sicherheitslage verbessert wird.

SCIM ist für Organisationen mit 50 oder mehr Plätzen oder mit mindestens einem Enterprise Max Platz verfügbar.

Häufige Fehlermeldungen und Lösungen

Fehlermeldung

Bedeutung

Lösung

AADSTS50105 (Microsoft-Entra-ID)

Der Benutzer ist kein direktes Mitglied einer autorisierten Gruppe oder hat keinen direkten Zugriff.

Wenden Sie sich an Ihren IT- oder Enterprise Pro-Administrator, um direkt oder zu einer Gruppe mit Zugriff hinzugefügt zu werden. Versuchen Sie nach der Synchronisierung erneut, sich anzumelden.

Benutzer ist dieser Anwendung nicht zugewiesen (Okta)

Das Konto ist nicht der Perplexity-Anwendung in Okta zugewiesen.

Bitten Sie Ihren IT- oder Enterprise Pro-Administrator, Ihr Konto der Perplexity Enterprise-App in Okta zuzuweisen.

Fehler 408: App_not_enabled_for_user (Google SSO)

Der App-Zugriff ist für Ihr Konto oder Ihre Gruppe in der Google Admin-Konsole nicht aktiviert.

Der Administrator muss den Benutzerzugriff für Sie oder Ihre Gruppe in der Google Workspace Admin-Konsole unter Apps > Web- und mobile Apps aktivieren. Versuchen Sie dann erneut, sich anzumelden.

Domain-Migration

Wenn eine Organisation zu einer neuen Domain migriert, funktioniert Single Sign-On (SSO) möglicherweise nicht mehr, wenn Benutzerkonten oder Domaineinstellungen in Perplexity nicht aktualisiert werden.

Um SSO-Fehler während einer Domain-Migration zu vermeiden, empfiehlt es sich, die neue Domain proaktiv in Perplexity hinzuzufügen und zu verifizieren, bevor Änderungen am Identitätsanbieter oder an den E-Mail-Adressen der Benutzer vorgenommen werden.

Es ist auch wichtig, die Konfiguration des Identitätsanbieters zu aktualisieren, um die neue Domain einzuschließen und alle Gruppen- oder Benutzerzuweisungen entsprechend anzupassen, damit die Benutzer nach dem Wechsel die erforderlichen SSO-Berechtigungen behalten.

Wenn Sie Domains migriert haben, bevor Sie die neue Domain verifiziert haben, und Sie weiterhin Zugriff auf Ihre vorherige E-Mail-Adresse mit Administratorrechten haben, melden Sie sich mit dieser E-Mail-Adresse an. Auf diese Weise können Sie die neue Domain verifizieren. Wenn Sie jedoch keinen Zugriff mehr auf Ihre alte E-Mail-Adresse haben, kontaktieren Sie uns – wir können SSO vorübergehend deaktivieren, damit Sie die neue Domain verifizieren können.

Benötigen Sie weitere Hilfe?

Wenn Sie andere Probleme haben oder diese Schritte zur Fehlerbehebung Ihr Problem nicht lösen, kontaktieren Sie uns und unsere Support-Techniker helfen Ihnen gerne weiter.

Verwandte Artikel
Kontoverwaltung für SSO
SSO-Integration: Erste Schritte
SCIM-basierte Benutzerkontoverwaltung
Einführung in Organisationsadministratoren
Einrichten von SSO mit Okta
Übersicht über SSO
So funktioniert die Benutzerbereitstellung
So funktioniert die Benutzer-Deprovisionierung
Wichtige Schritte zur Fehlerbehebung
Allgemeine Fehlerbehebung
Probleme mit der Domain-Verifizierung
Just-in-Time-Bereitstellung
Probleme bei der Deprovisionierung:
Häufige Fehlermeldungen und Lösungen
Domain-Migration
Benötigen Sie weitere Hilfe?