Erro 401 Início de sessão incorreto (segredo Azure expirado)
Ao tentar aceder ao Smart OSH, alguns utilizadores podem ver a seguinte mensagem de erro:
Início de sessão incorreto Erro no servidor remoto: (401) Não autorizado.
Este erro indica que o Smart OSH não conseguiu autenticar-se contra o Azure Entra ID (anteriormente Azure Active Directory) em nome do cliente. A causa mais comum é que o segredo de cliente (client secret) configurado no Smart OSH expirou no tenant Azure do cliente.
Por que ocorre este erro
Seção intitulada “Por que ocorre este erro”O Smart OSH autentica-se contra o Azure Entra ID através de uma aplicação registada no tenant do cliente. Essa aplicação utiliza um client secret (chave secreta) para se identificar perante o Azure.
Os segredos de cliente têm uma data de expiração que é definida no momento da sua criação (30 dias, 6 meses, 1 ano, 2 anos ou personalizada). Quando o segredo atinge essa data, o Azure deixa de o aceitar e devolve o erro:
AADSTS7000222: The provided client secret keys for app '<app-id>' are expired.Este erro é gerado pelo Azure, não pelo Smart OSH. A expiração ocorre por data de vencimento automática, sem que ninguém tenha realizado qualquer ação manual no tenant.
Como diagnosticar
Seção intitulada “Como diagnosticar”Para confirmar que a causa é um segredo expirado, o administrador Azure do cliente deve seguir estes passos:
- Aceder ao Microsoft Azure Portal com uma conta com permissões de administrador.
- Ir a Microsoft Entra ID → App registrations → separador All applications.
- Procurar a aplicação pelo seu Application (client) ID (o Smart OSH fornece este dado se necessário) e abri-la.
- No menu lateral da aplicação, ir a Certificates & secrets.
- No separador Client secrets, verificar a coluna Expires.
Se algum segredo aparecer como Expired ou tiver uma data de expiração no passado, esse é o segredo expirado que impede o acesso.
Como resolver
Seção intitulada “Como resolver”A resolução requer duas ações: o cliente gera um novo segredo e o Smart OSH atualiza-o na sua configuração.
Passo 1 — O cliente gera um novo client secret
Seção intitulada “Passo 1 — O cliente gera um novo client secret”- Dentro de Certificates & secrets da aplicação registada, clicar em + New client secret.
- Atribuir uma descrição e escolher a duração desejada.
- Clicar em Add.
- Copiar o valor (Value) imediatamente após a criação. Depois de fechar o ecrã, o Azure não volta a mostrar esse valor.
Passo 2 — O cliente envia o segredo ao Smart OSH de forma segura
Seção intitulada “Passo 2 — O cliente envia o segredo ao Smart OSH de forma segura”O valor do segredo deve ser enviado através de um canal seguro. Recomenda-se usar ferramentas de partilha de uso único como o Password Pusher para evitar que o valor fique exposto em emails ou chats.
Passo 3 — O Smart OSH atualiza o segredo
Seção intitulada “Passo 3 — O Smart OSH atualiza o segredo”Com o novo segredo recebido, a equipa do Smart OSH atualiza-o na configuração do tenant. Esta alteração pode demorar alguns minutos a propagar-se na cache do sistema antes de os utilizadores poderem voltar a aceder.
Referência SO-4439