Erreur 401 Connexion incorrecte (secret Azure expiré)
Lors de la tentative d’accès à SmartOSH, certains utilisateurs peuvent voir le message d’erreur suivant :
Connexion incorrecte Erreur sur le serveur distant : (401) Non autorisé.
Cette erreur indique que SmartOSH n’a pas pu s’authentifier auprès de Azure Entra ID (anciennement Azure Active Directory) au nom du client. La cause la plus fréquente est que le secret client (client secret) configuré dans SmartOSH a expiré dans le tenant Azure du client.
Pourquoi cette erreur se produit
Section intitulée « Pourquoi cette erreur se produit »SmartOSH s’authentifie auprès d’Azure Entra ID via une application enregistrée dans le tenant du client. Cette application utilise un client secret (clé secrète) pour s’identifier auprès d’Azure.
Les secrets client ont une date d’expiration qui est définie au moment de leur création (30 jours, 6 mois, 1 an, 2 ans ou personnalisée). Lorsque le secret atteint cette date, Azure cesse de l’accepter et renvoie l’erreur :
AADSTS7000222: The provided client secret keys for app '<app-id>' are expired.Cette erreur est générée par Azure, pas par SmartOSH. L’expiration se produit automatiquement à la date d’échéance, sans qu’aucune action manuelle ne soit effectuée dans le tenant.
Comment le diagnostiquer
Section intitulée « Comment le diagnostiquer »Pour confirmer que la cause est un secret expiré, l’administrateur Azure du client doit suivre ces étapes :
- Se connecter à Microsoft Azure Portal avec un compte disposant des droits d’administrateur.
- Aller dans Microsoft Entra ID → App registrations (Enregistrements d’applications) → onglet All applications.
- Rechercher l’application par son Application (client) ID (SmartOSH fournit cette information si nécessaire) et l’ouvrir.
- Dans le menu latéral de l’application, aller dans Certificates & secrets (Certificats et secrets).
- Dans l’onglet Client secrets, vérifier la colonne Expires.
Si un secret apparaît comme Expired ou a une date d’expiration passée, c’est ce secret expiré qui empêche l’accès.
Comment le résoudre
Section intitulée « Comment le résoudre »La résolution nécessite deux actions : le client génère un nouveau secret et SmartOSH le met à jour dans sa configuration.
Étape 1 — Le client génère un nouveau client secret
Section intitulée « Étape 1 — Le client génère un nouveau client secret »- Dans Certificates & secrets de l’application enregistrée, cliquer sur + New client secret.
- Donner une description et choisir la durée souhaitée.
- Cliquer sur Add.
- Copier la valeur (Value) immédiatement après la création. Une fois la fenêtre fermée, Azure ne montre plus cette valeur.
Étape 2 — Le client envoie le secret à SmartOSH de manière sécurisée
Section intitulée « Étape 2 — Le client envoie le secret à SmartOSH de manière sécurisée »La valeur du secret doit être envoyée via un canal sécurisé. Il est recommandé d’utiliser des outils de partage à usage unique comme Password Pusher pour éviter que la valeur soit exposée dans des emails ou des chats.
Étape 3 — SmartOSH met à jour le secret
Section intitulée « Étape 3 — SmartOSH met à jour le secret »Avec le nouveau secret reçu, l’équipe SmartOSH le met à jour dans la configuration du tenant. Ce changement peut prendre quelques minutes à se propager dans le cache du système avant que les utilisateurs puissent à nouveau accéder.
Référence SO-4439