AADSTS7000222 – Erreur BadRequest ou InvalidClientSecret
Cet article explique comment identifier et résoudre l’erreur AADSTS7000222 (BadRequest ou InvalidClientSecret) qui se produit lorsque vous essayez de créer ou de mettre à niveau un cluster Microsoft Azure Kubernetes Service (AKS).
Prerequisites
Symptômes
Lorsque vous essayez de créer ou de mettre à niveau un cluster AKS, vous recevez l’un des messages d’erreur suivants.
| Code d’erreur | Message |
|---|---|
BadRequest |
Les informations d’identification dans ServicePrincipalProfile n’étaient pas valides. Pour plus d’informations, consultez https://aka.ms/aks-sp-help. (Détails : adal : Échec de la demande d’actualisation. Code d’état = '401'. Corps de la réponse : {"error » : « invalid_client », « error_description » : « AADSTS7000222 : Les clés secrètes client fournies pour l’application '<application-id>' ont expiré. Visitez le Portail Azure pour créer de nouvelles clés pour votre application : https://aka.ms/NewClientSecretou envisagez d’utiliser des informations d’identification de certificat pour renforcer la sécurité : https://aka.ms/certCreds». |
InvalidClientSecret |
L’authentification du client n’est pas valide pour le locataire : <tenant-id> : adal : Échec de la demande d’actualisation. Code d’état = '401'. Corps de la réponse : {"error » : « invalid_client », « error_description » : « AADSTS7000222 : Les clés secrètes client fournies pour l’application '<application-id>' ont expiré. Visitez le Portail Azure pour créer de nouvelles clés pour votre application : https://aka.ms/NewClientSecretou envisagez d’utiliser des informations d’identification de certificat pour renforcer la sécurité : https://aka.ms/certCreds». |
Cause
Le problème qui génère cette alerte de principal de service se produit généralement pour l’une des raisons suivantes :
La clé secrète client a expiré.
Des informations d’identification incorrectes ont été fournies.
Le principal de service n’existe pas dans le locataire Microsoft Entra ID de l’abonnement.
Vérifier la cause
Exécutez le code Azure CLI suivant pour récupérer le profil de principal de service de votre cluster AKS et vérifiez la date d’expiration du principal de service :
SP_ID=$(az aks show --resource-group <rg-name> \
--name <aks-cluster-name> \
--query servicePrincipalProfile.clientId \
--output tsv)
az ad app credential list --id "$SP_ID"
Vous pouvez également vérifier que le nom du principal de service et le secret sont corrects et qu’ils n’ont pas expiré. Pour ce faire, procédez comme suit :
Dans le portail Azure, recherchez et sélectionnez Microsoft Entra ID.
Dans le volet de navigation de Microsoft Entra ID, sélectionnez Inscriptions d’applications.
Sous l’onglet Applications détenues, sélectionnez l’application affectée.
Recherchez le nom du principal du service et les informations secrètes, puis vérifiez que les informations sont correctes et actuelles.
Solution
Dans la mise à jour ou la rotation des informations d’identification d’un article de cluster AKS, suivez les instructions de l’une des sections d’article suivantes, le cas échéant :
À l’aide de vos nouvelles informations d’identification de principal de service, suivez les instructions du cluster Update AKS avec les informations d’identification du principal de service de cet article.
Plus d’informations
- Utiliser un principal de service avec Azure Kubernetes Service (AKS) (en particulier la section Résoudre les problèmes )
Contactez-nous pour obtenir de l’aide
Pour toute demande ou assistance, créez une demande de support ou posez une question au support de la communauté Azure. Vous pouvez également soumettre des commentaires sur les produits à la communauté de commentaires Azure.