Обзор SSO
Наша платформа единого входа (WorkOS) помогает организациям эффективно управлять доступом пользователей. Принудительно применяя вход, контролируемый доменом, через поставщика удостоверений (IdP), организации со своей стороны контролируют, кто может получить доступ к Perplexity.
Как работает провижининг пользователей
По умолчанию: Администраторы организации должны приглашать пользователей в Perplexity.
JIT-провижининг (Just-in-time provisioning): Пользователи создаются в Perplexity при первом входе через SSO/IdP, а не в момент добавления в IdP. Инструкции по активации JIT-подготовки можно найти здесь.
Дополнительные технические функции:
Включите автоматический вход для пользователей с доменом электронной почты вашей организации.
Автоматически добавляйте всех пользователей с доменом электронной почты, принадлежащим вашей организации, в аккаунт Perplexity.
SCIM (система кроссдоменного управления идентификацией): автоматизирует предоставление и отмену доступа пользователей. Perplexity поддерживает SCIM для организаций с 50 или более пользователями или если есть хотя бы один пользователь Enterprise Max.
Как работает отключение пользователей
Пользователи, удаленные из IdP, не удаляются автоматически из Perplexity.
Если включено принудительное использование SSO, отключенные пользователи не смогут войти, но будут отображаться в Perplexity, пока администратор не удалит их.
Рекомендация: Администраторам следует регулярно проверять список пользователей и вручную удалять отключенные учетные записи, чтобы данные оставались актуальными.
Основные шаги по устранению неполадок
Общее устранение неполадок
Если в вашей организации возникают проблемы с SSO, сначала убедитесь, что параметр Require SSO включен. Если эта опция включена, для вашей организации принудительно применяется вход, контролируемый доменом, через ваш IdP.
Для этого перейдите в раздел Identity в настройках организации и включите Require SSO.
Если для вашей организации требуется единый вход, но пользователи не видят соответствующий процесс, убедитесь, что используемый ими домен или поддомен подтвержден (см. ниже).
Вы также можете попросить пользователя обновить браузер (нажав Ctrl+F5 в Windows или Command+Shift+R на Mac), если проблема вызвана кэшем.
Проблемы с проверкой домена
Все домены и поддомены, которые ваша организация использует для входа через SSO, нужно подтверждать отдельно.
Если проверка домена показывает статус «в ожидании» или «не выполнено», скорее всего, запись DNS TXT еще не добавлена в конфигурацию DNS вашего домена.
Чтобы подтвердить домен (домены):
Перейдите в раздел Identity в настройках организации.
Нажмите «Add» рядом с разделом Domain.
Введите домен вашей организации (например, yourdomain.com).
Скопируйте предоставленную запись DNS TXT.
Добавьте эту запись в конфигурацию DNS вашего домена с полным
"verification_token=string"в двойных кавычках. Установите TTL на 60 секунд.Подождите не менее одной минуты, затем выполните
nslookup -q=text yourdomain.com, чтобы убедиться, что новая запись DNS TXT распространилась в интернете.Нажмите «Verify», когда запись DNS TXT будет добавлена.
Повторите эти действия для всех доменов, используемых вашей организацией.
После успешной проверки домена вы можете увеличить значение TTL до 12 или 24 часов (43200 или 86400 секунд).
Провижининг по запросу (JIT)
Если вы хотите включить функции автоматического входа или автоматического добавления пользователей, вам нужно включить провижининг по запросу (JIT) для вашей организации.
Это можно сделать в разделе Identity в настройках организации, переключив тумблер Just-in-time account provisioning в положение Enabled:
Если в вашей организации включен JIT, но у вас возникают проблемы с JIT-провижинингом конкретного пользователя, попробуйте выполнить вход под новым пользователем.
Если это работает с новым пользователем, но не с конкретными пользователями, скорее всего, текущие проблемы с подключением пользователей не связаны с неправильной настройкой SSO или провижининга на стороне организации. Вместо этого проблемы могут быть связаны с назначениями отдельных пользователей, разрешениями, членством в группах в IdP или проблемами, характерными для этих учетных записей.
Если это не сработает, возможно, возникла проблема с настройкой единого входа/JIT между вашим IdP и Perplexity. К распространенным причинам относятся неправильно настроенные атрибуты, отсутствующие разрешения или неправильные параметры SAML/OIDC.
Проблемы с отключением пользователей:
Если SCIM не включен для вашей организации, то при удалении пользователя в поставщике удостоверений (IdP) он потеряет возможность входа в Perplexity, если включено принудительное использование SSO и IdP отклоняет попытку входа. Однако учетная запись и данные пользователя останутся в системе Perplexity до тех пор, пока администратор не удалит их вручную. Стандартный SSO контролирует только аутентификацию при входе в систему, а не управление жизненным циклом пользователя или его удаление.
SCIM добавляет автоматизированное управление жизненным циклом. Когда пользователь удаляется из IdP, SCIM отправляет запрос в Perplexity на автоматическое отключение или удаление учетной записи пользователя. Это означает, что организации, использующие SCIM, могут автоматизировать как создание, так и удаление пользователей, сводя к минимуму ручную очистку и повышая уровень безопасности.
SCIM доступен для организаций с 50 и более местами или как минимум с одним местом Enterprise Max.
Распространенные сообщения об ошибках и способы их устранения
Сообщение об ошибке | Значение | Решение |
AADSTS50105 (Microsoft Entra ID) | Пользователь не является прямым участником авторизованной группы или не имеет прямого доступа. | Обратитесь к ИТ-специалисту или администратору Enterprise Pro, чтобы получить прямой доступ или присоединиться к группе с доступом. Попробуйте войти снова после синхронизации. |
Пользователь не назначен этому приложению (Okta) | Учетная запись не назначена приложению Perplexity в Okta. | Попросите ИТ-администратора или администратора Enterprise Pro назначить вашу учетную запись приложению Perplexity Enterprise в Okta. |
Ошибка 408: App_not_enabled_for_user (Google SSO) | Доступ к приложению не включен для вашей учетной записи или группы в консоли администратора Google. | Администратор должен включить доступ для вас или вашей группы в консоли администратора Google Workspace в разделе Apps > Web and mobile apps. Затем повторите попытку входа. |
Миграция домена
Когда организация переходит на новый домен, единый вход (SSO) может перестать работать, если учетные записи пользователей или настройки домена не обновлены в Perplexity.
Чтобы предотвратить сбои единого входа во время переноса домена, рекомендуется заранее добавить и подтвердить новый домен в Perplexity, прежде чем вносить какие-либо изменения в поставщика удостоверений или адреса электронной почты пользователей.
Также важно обновить конфигурацию поставщика удостоверений, включив в нее новый домен, и соответствующим образом скорректировать назначения групп или пользователей, чтобы после переключения пользователи сохранили необходимые разрешения для единого входа.
Если вы перенесли домены до подтверждения нового домена и у вас все еще есть доступ к предыдущему адресу электронной почты с правами администратора, войдите в систему с помощью этого адреса. Это позволит вам подтвердить новый домен. Однако, если у вас больше нет доступа к старой электронной почте, свяжитесь с нами – мы можем временно отключить единый вход, чтобы вы могли подтвердить новый домен.
Нужна дополнительная помощь?
Если у вас возникли другие проблемы или эти шаги по устранению неполадок не помогли, свяжитесь с нами, и наши инженеры поддержки помогут вам.