AADSTS7000222 - Erreur BadRequest ou InvalidClientSecret
Cet article explique comment identifier et résoudre l’erreur AADSTS7000222 (BadRequest ou InvalidClientSecret) qui se produit lorsque vous essayez de créer ou de mettre à niveau un cluster Microsoft Azure Kubernetes Service (AKS).
Conditions préalables
Symptômes
Lorsque vous essayez de créer ou de mettre à niveau un cluster AKS, vous recevez l’un des messages d’erreur suivants.
| Code d'erreur | Message |
|---|---|
BadRequest |
Les informations d’identification dans ServicePrincipalProfile n’étaient pas valides. Pour plus d’informations, consultez https://aka.ms/aks-sp-help . (Détails : adal : échec de la demande d’actualisation. Code d’état = '401'. Corps de la réponse : {"error » : « invalid_client », « error_description » : « AADSTS7000222 : Les clés secrètes client fournies pour l’application '<application-id>' ont expiré. Visitez la Portail Azure pour créer des clés pour votre application : https://aka.ms/NewClientSecret, ou envisagez d’utiliser des informations d’identification de certificat pour renforcer la sécurité : https://aka.ms/certCreds. » |
InvalidClientSecret |
L’authentification client n’est pas valide pour le locataire : <tenant-id> : adal : échec de la demande d’actualisation. Code d’état = '401'. Corps de la réponse : {"error » : « invalid_client », « error_description » : « AADSTS7000222 : Les clés secrètes client fournies pour l’application '<application-id>' ont expiré. Visitez la Portail Azure pour créer des clés pour votre application : https://aka.ms/NewClientSecret, ou envisagez d’utiliser des informations d’identification de certificat pour renforcer la sécurité : https://aka.ms/certCreds. » |
Cause
Le problème qui génère cette alerte de principal de service se produit généralement pour l’une des raisons suivantes :
La clé secrète client a expiré.
Des informations d’identification incorrectes ont été fournies.
Le principal de service n’existe pas dans le locataire Microsoft Entra ID de l’abonnement.
Vérifier la cause
Exécutez le code Azure CLI suivant pour récupérer le profil de principal de service pour votre cluster AKS et case activée la date d’expiration du principal de service :
SP_ID=$(az aks show --resource-group <rg-name> \
--name <aks-cluster-name> \
--query servicePrincipalProfile.clientId \
--output tsv)
az ad app credential list --id "$SP_ID"
Vous pouvez également vérifier que le nom et le secret du principal du service sont corrects et qu’ils n’ont pas expiré. Pour cela, procédez comme suit :
Dans le portail Azure, recherchez et sélectionnez Microsoft Entra ID.
Dans le volet de navigation de Microsoft Entra ID, sélectionnez inscriptions d'applications.
Sous l’onglet Applications détenues , sélectionnez l’application affectée.
Recherchez le nom du principal de service et les informations secrètes, puis vérifiez que les informations sont correctes et actuelles.
Solution
Dans l’article Mettre à jour ou faire pivoter les informations d’identification d’un cluster AKS , suivez les instructions de l’une des sections d’article suivantes, le cas échéant :
À l’aide de vos nouvelles informations d’identification de principal de service, suivez les instructions de la section Mettre à jour le cluster AKS avec les informations d’identification du principal de service de cet article.
Informations supplémentaires
- Utiliser un principal de service avec Azure Kubernetes Service (AKS) (en particulier la section Résolution des problèmes)
Contactez-nous pour obtenir de l’aide
Pour toute demande ou assistance, créez une demande de support ou posez une question au support de la communauté Azure. Vous pouvez également soumettre des commentaires sur les produits à la communauté de commentaires Azure.