AADSTS7000222: error BadRequest o InvalidClientSecret
En este artículo se describe cómo identificar y resolver el AADSTS7000222 error (BadRequest o InvalidClientSecret) que se produce al intentar crear o actualizar un clúster de Microsoft Azure Kubernetes Service (AKS).
Requisitos previos
Síntomas
Al intentar crear o actualizar un clúster de AKS, recibirá uno de los siguientes mensajes de error.
| Código de error | Message |
|---|---|
BadRequest |
Las credenciales de ServicePrincipalProfile no eran válidas. Consulte https://aka.ms/aks-sp-help para más información. (Detalles: adal: error en la solicitud de actualización. Código de estado = '401'. Cuerpo de la respuesta: {"error": "invalid_client", "error_description": "AADSTS7000222: las claves secretas de cliente proporcionadas para la aplicación "<application-id>" han expirado. Visite Azure Portal para crear nuevas claves para la aplicación: https://aka.ms/NewClientSecreto considere la posibilidad de usar credenciales de certificado para mayor seguridad: https://aka.ms/certCreds". |
InvalidClientSecret |
La autenticación del cliente no es válida para el inquilino: tenant-id>: <adal: error en la solicitud de actualización. Código de estado = '401'. Cuerpo de la respuesta: {"error": "invalid_client", "error_description": "AADSTS7000222: las claves secretas de cliente proporcionadas para la aplicación "<application-id>" han expirado. Visite Azure Portal para crear nuevas claves para la aplicación: https://aka.ms/NewClientSecreto considere la posibilidad de usar credenciales de certificado para mayor seguridad: https://aka.ms/certCreds". |
Causa
El problema que genera esta alerta de entidad de servicio suele producirse por uno de los siguientes motivos:
El secreto de cliente expiró.
Se proporcionaron credenciales incorrectas.
La entidad de servicio no existe dentro del inquilino de Id. de Microsoft Entra de la suscripción.
Comprobación de la causa
Ejecute el siguiente código de la CLI de Azure para recuperar el perfil de entidad de servicio del clúster de AKS y comprobar la fecha de expiración de la entidad de servicio:
SP_ID=$(az aks show --resource-group <rg-name> \
--name <aks-cluster-name> \
--query servicePrincipalProfile.clientId \
--output tsv)
az ad app credential list --id "$SP_ID"
Como alternativa, puede comprobar que el nombre y el secreto de la entidad de seguridad de servicio son correctos y no han expirado. Para ello, siga estos pasos:
En Azure Portal, busque y seleccione Microsoft Entra ID.
En el panel de navegación de Microsoft Entra ID, seleccione Registros de aplicaciones.
En la pestaña Aplicaciones propiedad , seleccione la aplicación afectada.
Busque el nombre de la entidad de seguridad de servicio y la información secreta y compruebe que la información es correcta y actual.
Solución
En el artículo Actualización o rotación de las credenciales de un clúster de AKS, siga las instrucciones de una de las secciones de artículo siguientes, según corresponda:
Con las nuevas credenciales de la entidad de servicio, siga las instrucciones de la sección Actualización del clúster de AKS con credenciales de entidad de servicio de ese artículo.
Más información
- Uso de una entidad de servicio con Azure Kubernetes Service (AKS) (especialmente la sección Solución de problemas )
Ponte en contacto con nosotros para obtener ayuda
Si tiene preguntas o necesita ayuda, cree una solicitud de soporte o busque consejo en la comunidad de Azure. También puede enviar comentarios sobre el producto con los comentarios de la comunidad de Azure.