Ao abrir um add-in do Outlook Web que usa login único (SSO), você pode ver uma tela de login que reaparece após inserir suas credenciais. Isso cria um loop infinito que impede o uso do add-in. A causa raiz é uma relação de confiança quebrada entre o add-in e a plataforma de identidade da Microsoft, geralmente desencadeada por uma alteração na configuração do locatário ou um cache de token expirado. Este artigo explica por que o loop ocorre e fornece as etapas exatas para redefinir a confiança e fazer o add-in funcionar normalmente novamente.
Principais Conclusões: Redefinindo a Confiança SSO para Add-ins do Outlook Web
- Azure AD > App registrations > Certificados e segredos: Exclua e recrie o segredo do cliente para forçar um novo handshake de confiança entre o add-in e o Azure AD.
- Outlook na Web > Add-ins > Gerenciar add-ins: Remova e adicione novamente o add-in afetado para limpar o estado SSO em cache.
- Ferramentas de desenvolvedor do navegador > Aplicativo > Cookies: Exclua os cookies
EstsAuthStateeSignInStatepara redefinir a sessão SSO local.
Por que o Loop de Login SSO Ocorre em Add-ins do Outlook Web
Um add-in do Outlook Web que usa login único solicita um token do Azure Active Directory sem pedir credenciais ao usuário. O add-in e o Azure AD estabelecem uma relação de confiança por meio de um ID de aplicativo registrado e um segredo do cliente. Quando essa confiança é quebrada, o add-in não consegue obter um token válido silenciosamente. Em vez disso, ele redireciona o usuário para a página de login repetidamente.
Incompatibilidade no Cache de Token
A causa mais comum é uma incompatibilidade entre o token armazenado em cache no navegador e o token esperado pelo Azure AD. Se o administrador do locatário rotacionar o segredo do cliente ou alterar as permissões do registro do aplicativo, o token em cache se torna inválido. O add-in tenta atualizá-lo, mas falha porque o segredo armazenado não corresponde mais. O loop de login começa porque o add-in não consegue concluir a troca de tokens.
Consentimento Expirado ou Revogado
O consentimento do administrador para o add-in pode expirar ou ser revogado. Quando o consentimento está ausente, o Azure AD trata cada solicitação de token como uma nova tentativa de autenticação. O add-in redireciona para a página de consentimento e, após o usuário aprovar, o redirecionamento volta para o add-in, que dispara outra solicitação de token e outro prompt de consentimento. Isso cria um loop que nunca chega ao conteúdo do add-in.
Corrupção do Cache do Navegador ou do Add-In
O navegador armazena o estado SSO em cookies e armazenamento local. Se esses dados forem corrompidos ou desatualizados, o add-in lê informações de estado incorretas e inicia um novo fluxo de login. Cada tentativa de login produz um novo cookie de estado que entra em conflito com o anterior, causando o loop.
Etapas para Redefinir a Confiança SSO de um Add-in do Outlook Web
Siga estas etapas em ordem. Cada etapa limpa uma camada específica da confiança quebrada. Teste o add-in após cada etapa para verificar se o loop parou.
Etapa 1: Limpar Cookies do Navegador para o Domínio do Outlook
- Abra as ferramentas de desenvolvedor do navegador
Pressione F12 no Chrome, Edge ou Firefox. Vá para a guia Application no Chrome ou Edge, ou a guia Storage no Firefox. - Selecione Cookies
No painel esquerdo, expanda Cookies e selecione o domínio do Outlook na Web, geralmenteoutlook.office365.comououtlook.office.com. - Exclua cookies relacionados ao SSO
Procure cookies chamadosEstsAuthState,SignInState,ESTSAUTHPERSISTENTeESTSAUTHLIGHT. Clique com o botão direito em cada cookie e selecione Delete. Não exclua todos os cookies, apenas esses cookies de SSO. - Atualize a guia do Outlook
Feche as ferramentas de desenvolvedor e atualize a guia do navegador. Abra o add-in novamente. Se o loop parar, nenhuma etapa adicional é necessária.
Etapa 2: Remover e Readicionar o Add-in no Outlook na Web
- Abra o gerenciamento de add-ins
No Outlook na Web, selecione o ícone de engrenagem no canto superior direito e escolha Gerenciar add-ins no menu. - Encontre o add-in afetado
Role a lista de add-ins instalados. Clique nos três pontos ao lado do nome do add-in e selecione Remover. - Confirme a remoção
Na caixa de diálogo de confirmação, selecione Remover novamente. O add-in desaparece da lista. - Readicione o add-in
Clique em Adicionar add-in no canto superior esquerdo. Pesquise o add-in pelo nome ou navegue pela loja. Selecione-o e clique em Adicionar. Aguarde a instalação ser concluída. - Teste o add-in
Abra uma mensagem de email nova ou existente. Clique no ícone do add-in na faixa de opções. Se o loop de login retornar, vá para a Etapa 3.
Etapa 3: Recriar o Segredo do Cliente no Azure AD
- Abra o centro de administração do Azure Active Directory
Acesse https://aad.portal.azure.com e faça login como Administrador Global ou Administrador de Aplicativos. - Navegue até App registrations
No menu à esquerda, selecione App registrations. Pesquise o registro do aplicativo que corresponde ao add-in do Outlook. O nome do aplicativo geralmente é o mesmo que o nome do add-in ou o nome do editor do add-in. - Abra Certificados e segredos
Selecione o registro do aplicativo. No menu esquerdo da página de registro do aplicativo, selecione Certificados e segredos. - Exclua o segredo do cliente antigo
Em Segredos do cliente, localize o segredo que o add-in usa. Clique no ícone de lixeira e confirme a exclusão. Anote a data de expiração do segredo que está excluindo. - Crie um novo segredo do cliente
Clique em Novo segredo do cliente. Insira uma descrição, por exemplo, Segredo SSO do add-in do Outlook. Defina a expiração para 180 dias ou 365 dias com base na política da sua organização. Clique em Adicionar. Copie o valor do segredo imediatamente. Você não poderá recuperá-lo após sair desta página. - Atualize o manifesto ou a configuração do add-in
Se o add-in for personalizado, atualize seu arquivo de configuração ou script de implantação com o novo segredo. Para add-ins do AppSource, entre em contato com o suporte do fornecedor para atualizar o segredo. Após a atualização do segredo, repita a Etapa 2 para remover e readicionar o add-in.
Etapa 4: Reaplicar o Consentimento do Administrador para o Add-In
- Vá para Enterprise applications
No centro de administração do Azure AD, selecione Enterprise applications. Pesquise o registro do aplicativo do add-in. - Abra Permissões
Selecione o aplicativo. No menu à esquerda, selecione Permissões. Revise a lista de permissões delegadas e de aplicativo. - Conceda consentimento do administrador
Clique em Conceder consentimento do administrador para sua organização. Faça login como Administrador Global. Aceite as permissões. Aguarde a mensagem de confirmação. - Teste o add-in novamente
Volte ao Outlook na Web, abra o add-in e confirme que o loop de login desapareceu.
Se o Add-In Ainda Estiver em Loop Após a Correção Principal
O Add-In Funciona em Outro Navegador, Mas Não no Atual
Isso indica um problema local do navegador, não um problema de locatário ou add-in. Limpe todo o cache e cookies do navegador para o domínio do Outlook, não apenas os cookies de SSO. No Chrome, vá em Configurações > Privacidade e segurança > Limpar dados de navegação. Selecione Cookies e outros dados do site e Imagens e arquivos em cache. Defina o intervalo de tempo como Todo o período. Clique em Limpar dados. Teste o add-in novamente.
O Add-In Falha em uma Caixa de Correio Compartilhada ou Delegada
Os tokens SSO são limitados ao nome principal do usuário. Ao acessar uma caixa de correio compartilhada, o add-in pode solicitar um token para a identidade da caixa de correio compartilhada em vez da sua identidade. A troca de tokens falha porque o add-in está registrado apenas para seu usuário. Use o add-in apenas em sua caixa de correio principal. Para suporte a caixas de correio compartilhadas, o fornecedor do add-in deve registrar um aplicativo separado para cenários de caixa de correio compartilhada.
Vários Usuários Relatam o Mesmo Loop
Isso sugere um problema em todo o locatário. O segredo do cliente pode ter expirado sem que o administrador perceba. Verifique a data de expiração do segredo do cliente no Azure AD. Se o segredo expirou, siga a Etapa 3 para criar um novo segredo e atualizar o add-in. Verifique também se o consentimento do administrador não foi revogado por uma política de acesso condicional. Revise os logs de login do Azure AD para o aplicativo add-in para ver o motivo da falha.
Token SSO em Cache vs. Token Novo: Principais Diferenças
| Item | Token SSO em Cache | Token Novo Após Redefinição de Confiança |
|---|---|---|
| Origem | Armazenado em cookies do navegador ou armazenamento local | Emitido pelo Azure AD após uma nova solicitação de autenticação |
| Validade | Pode estar expirado ou baseado em um segredo de cliente antigo | Válido para o segredo de cliente e consentimento atuais |
| Status do consentimento | Pode referenciar consentimento de administrador revogado ou expirado | Inclui o consentimento de administrador atual para o add-in |
| Comportamento no loop | Dispara redirecionamentos repetidos para o login do Azure AD | Permite aquisição silenciosa de token sem prompts ao usuário |
Limpar o token SSO em cache e redefinir a confiança força o add-in a solicitar um novo token do Azure AD. Esse novo token usa o segredo de cliente e o consentimento atuais, o que interrompe o loop infinito. Após a redefinição, o add-in pode adquirir tokens silenciosamente e exibir seu conteúdo sem interromper seu fluxo de trabalho.