SSO概述
我们的 SSO 平台(WorkOS)可帮助组织有效管理用户访问权限。 通过身份提供商 (IdP) 强制实施域名控制的登录后,组织可从自身侧控制谁能访问 Perplexity。
用户预配的工作原理
默认: 组织管理员必须在 Perplexity 中邀请用户。
即时预配: 用户在首次通过 SSO/IdP 登录时才会在 Perplexity 中创建,而不是在 IdP 中添加时创建。 您可以在此处找到启用 JIT 即时预配的说明。
可选工程功能:
为使用您所在组织电子邮件域名的用户启用自动登录。
自动将使用该受管电子邮件域名的所有用户纳入您的 Perplexity 账户。
SCIM(跨域身份管理系统): 自动执行用户预配和取消预配。 Perplexity 为拥有 50 名及以上用户的组织,或至少包含 1 个 Enterprise Max 席位的组织提供 SCIM 支持。
用户取消预配的工作原理
从 IdP 中移除的用户不会从 Perplexity 中 自动删除 。
如果强制使用 SSO,已取消预配的用户将无法登录,但仍会显示在 Perplexity 中,直到管理员将其移除。
建议: 管理员应定期检查并手动移除已取消预配的用户,以确保记录准确。
关键故障排除步骤
常见问题排查
如果您的组织遇到 SSO 问题,请先确认 要求使用 SSO 已激活。 启用此选项后,您的组织将强制通过您的 IdP 进行域控制登录。
您可以在组织设置中前往 身份 界面,并开启 需要 SSO。
如果您的组织需要使用 SSO,但用户看不到组织的 SSO 流程,请检查他们使用的域名或子域名是否已验证(见下文)。
如果是缓存问题导致的,您也可以要求他们强制刷新浏览器(在 Windows 上按 ctrl+F5,或在 Mac 上按 command+shift+R)。
域名验证问题
贵组织用于 SSO 登录的所有域名和子域名都必须单独验证。
如果您的域名验证显示为“待处理”或“失败”,则可能是因为 DNS TXT 记录尚未添加到您的域名的 DNS 配置中。
要验证您的域名,请按以下步骤操作:
请前往您的组织设置中的 身份 界面。
点击 域名 部分旁边的 “添加”。
输入您所在组织的域名(例如, yourdomain.com)。
复制提供的 DNS TXT 记录。
将此记录添加到您的域名的 DNS 配置中,并包含完整的
"verification_token=string"以及前后的双引号。 将 TTL 设置为 60 秒。等待至少一分钟,然后使用
nslookup -q=text yourdomain.com确认新的 DNS TXT 记录已在互联网上完成传播。添加 DNS TXT 记录后,点击 “验证” 。
对您所在组织使用的所有域名重复此操作。
成功验证域名后,您可以将 TTL 设置增加到 12 或 24 小时(43200 或 86400 秒)。
即时预配
如果您想启用自动登录或自动纳入功能,则需要为您的组织启用即时预配。
您可以在组织设置的 Identity 界面中,将 “Just-in-time account provisioning” 的开关切换为“Enabled”:
如果您的组织已启用 JIT,但在为某个特定用户进行即时预配时遇到问题,请尝试用一个新用户测试登录。
如果新用户可以正常使用,但特定用户不行,那么当前的用户上线问题很可能并非由组织侧的 SSO 或预配配置错误导致。 相反,问题可能与单个用户分配、权限、IdP 中的组成员身份或这些账户特有的问题相关。
如果仍然无法解决问题,则可能是您的 IdP 和 Perplexity 之间的 SSO/JIT 设置存在问题。 常见原因包括属性配置错误、缺少权限或 SAML/OIDC 参数不正确。
取消预配问题:
如果您的组织未激活 SCIM,当用户从身份提供商 (IdP) 中移除时,如果强制使用 SSO 且 IdP 拒绝其登录,该用户将无法登录 Perplexity。 不过,用户的账户和数据将保留在 Perplexity 系统中,直到管理员手动删除或移除。 标准 SSO 仅控制登录时的身份验证,而不控制用户生命周期管理或删除。
SCIM 增加了自动化的生命周期管理。 当用户在 IdP 中被取消预配时,SCIM 会向 Perplexity 发送请求,自动停用或移除该用户账户。 这意味着使用 SCIM 的组织可以自动完成用户创建和移除,最大限度减少手动清理工作并改善安全态势。
SCIM 适用于拥有 50 个或更多席位,或至少拥有一个 Enterprise Max 席位的组织。
常见错误消息及解决方法
错误消息 | 含义 | 解决方案 |
AADSTS50105 (Microsoft Entra ID) | 用户不是授权组的直接成员,或缺少直接访问权限。 | 请联系您的 IT 或 Enterprise Pro 管理员,以便直接添加或添加到具有访问权限的组。 同步后,请尝试重新登录。 |
用户未分配到此应用程序 (Okta) | 账户未分配给 Okta 中的 Perplexity 应用程序。 | 请您的 IT 或 Enterprise Pro 管理员将您的账户分配给 Okta 中的 Perplexity Enterprise 应用程序。 |
错误 408:App_not_enabled_for_user (Google SSO) | 您的账户或群组在 Google 管理控制台中未启用应用访问权限。 | 管理员必须在 Google Workspace 管理控制台的 应用 > 网页和移动应用 下为您或您的群组启用用户访问权限。 然后重试登录。 |
域名迁移
当组织迁移到新域时,如果未在 Perplexity 中更新用户账户或域设置,单点登录 (SSO) 可能会停止工作。
为了防止在域迁移期间出现 SSO 故障,最佳做法是在对身份提供商或用户的电子邮件地址进行任何更改之前, 主动添加并验证 Perplexity 中的新域 。
同样重要的是,更新身份提供商的配置以包含新域名,并相应地调整任何组或用户分配,以便用户在切换后保留必要的 SSO 权限。
如果您在验证新域名之前已迁移域名,并且仍然可以使用具有管理员权限的旧电子邮箱,请使用该电子邮箱登录。 这样您就可以验证新域名。 但是,如果您无法再访问旧电子邮箱,请联系我们,我们可以暂时禁用 SSO,以便您验证新域名。
需要更多帮助?
如果您还有其他问题,或者这些故障排除步骤无法解决您遇到的问题,请 联系我们,我们的支持工程师会为您提供帮助。