Errore 401 Accesso non riuscito (segreto Azure scaduto)
Al tentare di accedere a SmartOSH, alcuni utenti potrebbero visualizzare il seguente messaggio di errore:
Accesso non riuscito Errore nel server remoto: (401) Non autorizzato.
Questo errore indica che SmartOSH non è riuscito ad autenticarsi contro Azure Entra ID (precedentemente Azure Active Directory) per conto del cliente. La causa più comune è che il segreto del client (client secret) configurato in SmartOSH è scaduto nel tenant Azure del cliente.
Perché si verifica questo errore
Sezione intitolata “Perché si verifica questo errore”SmartOSH si autentica contro Azure Entra ID tramite una applicazione registrata nel tenant del cliente. Questa applicazione utilizza un client secret (chiave segreta) per identificarsi presso Azure.
I segreti del client hanno una data di scadenza che viene impostata al momento della loro creazione (30 giorni, 6 mesi, 1 anno, 2 anni o personalizzata). Quando il segreto raggiunge tale data, Azure smette di accettarlo e restituisce l’errore:
AADSTS7000222: The provided client secret keys for app '<app-id>' are expired.Questo errore è generato da Azure, non da SmartOSH. La scadenza avviene automaticamente alla data di scadenza, senza che nessuno abbia effettuato alcuna azione manuale nel tenant.
Come diagnosticarlo
Sezione intitolata “Come diagnosticarlo”Per confermare che la causa è un segreto scaduto, l’amministratore Azure del cliente deve seguire questi passaggi:
- Accedere a Microsoft Azure Portal con un account con permessi di amministratore.
- Andare su Microsoft Entra ID → App registrations → scheda All applications.
- Cercare l’applicazione tramite il suo Application (client) ID (SmartOSH fornisce questo dato se necessario) e aprirla.
- Nel menu laterale dell’applicazione, andare su Certificates & secrets.
- Nella scheda Client secrets, controllare la colonna Expires.
Se qualche segreto risulta Expired o ha una data di scadenza passata, quello è il segreto scaduto che impedisce l’accesso.
Come risolverlo
Sezione intitolata “Come risolverlo”La risoluzione richiede due azioni: il cliente genera un nuovo segreto e SmartOSH lo aggiorna nella configurazione.
Passo 1 — Il cliente genera un nuovo client secret
Sezione intitolata “Passo 1 — Il cliente genera un nuovo client secret”- All’interno di Certificates & secrets dell’applicazione registrata, cliccare su + New client secret.
- Assegnare una descrizione e scegliere la durata desiderata.
- Cliccare su Add.
- Copiare immediatamente il valore (Value) dopo la creazione. Una volta chiusa la schermata, Azure non mostrerà più quel valore.
Passo 2 — Il cliente invia il segreto a SmartOSH in modo sicuro
Sezione intitolata “Passo 2 — Il cliente invia il segreto a SmartOSH in modo sicuro”Il valore del segreto deve essere inviato tramite un canale sicuro. Si consiglia di usare strumenti di condivisione a uso singolo come Password Pusher per evitare che il valore rimanga esposto in email o chat.
Passo 3 — SmartOSH aggiorna il segreto
Sezione intitolata “Passo 3 — SmartOSH aggiorna il segreto”Con il nuovo segreto ricevuto, il team di SmartOSH lo aggiorna nella configurazione del tenant. Questa modifica può richiedere alcuni minuti per propagarsi nella cache del sistema prima che gli utenti possano tornare ad accedere.
Riferimento SO-4439