AADSTS7000222 - Errore BadRequest o InvalidClientSecret
Questo articolo illustra come identificare e risolvere l'errore AADSTS7000222 (BadRequest o InvalidClientSecret) che si verifica quando si tenta di creare o aggiornare un cluster microsoft servizio Azure Kubernetes (servizio Azure Kubernetes).
Prerequisiti
Sintomi
Quando si tenta di creare o aggiornare un cluster del servizio Azure Kubernetes, viene visualizzato uno dei messaggi di errore seguenti.
| Codice di errore | Message |
|---|---|
BadRequest |
Le credenziali in ServicePrincipalProfile non sono valide. Per altri dettagli, vedere https://aka.ms/aks-sp-help . (Dettagli: adal: richiesta di aggiornamento non riuscita. Codice di stato = '401'. Corpo della risposta: {"error": "invalid_client", "error_description": "AADSTS7000222: le chiavi segrete client fornite per l'app '<application-id>' sono scadute. Visitare il portale di Azure per creare nuove chiavi per l'app: https://aka.ms/NewClientSecreto prendere in considerazione l'uso delle credenziali del certificato per una maggiore sicurezza: https://aka.ms/certCreds". |
InvalidClientSecret |
L'autenticazione del cliente non è valida per tenant: <tenant-id>: adal: richiesta di aggiornamento non riuscita. Codice di stato = '401'. Corpo della risposta: {"error": "invalid_client", "error_description": "AADSTS7000222: le chiavi segrete client fornite per l'app '<application-id>' sono scadute. Visitare il portale di Azure per creare nuove chiavi per l'app: https://aka.ms/NewClientSecreto prendere in considerazione l'uso delle credenziali del certificato per una maggiore sicurezza: https://aka.ms/certCreds". |
Causa
Il problema che genera questo avviso dell'entità servizio si verifica in genere per uno dei motivi seguenti:
Il segreto client è scaduto.
Sono state fornite credenziali non corrette.
L'entità servizio non esiste all'interno del tenant microsoft Entra ID della sottoscrizione.
Verificare la causa
Eseguire il codice dell'interfaccia della riga di comando di Azure seguente per recuperare il profilo dell'entità servizio per il cluster del servizio Azure Kubernetes e controllare la data di scadenza dell'entità servizio:
SP_ID=$(az aks show --resource-group <rg-name> \
--name <aks-cluster-name> \
--query servicePrincipalProfile.clientId \
--output tsv)
az ad app credential list --id "$SP_ID"
In alternativa, è possibile verificare che il nome e il segreto dell'entità servizio siano corretti e non siano scaduti. A tale scopo, effettuare i passaggi seguenti:
Nel portale di Azure, cercare e selezionare Microsoft Entra ID.
Nel riquadro di spostamento di Microsoft Entra ID selezionare Registrazioni app.
Nella scheda Applicazioni di proprietà selezionare l'applicazione interessata.
Trovare il nome dell'entità servizio e le informazioni segrete e verificare che le informazioni siano corrette e correnti.
Soluzione
Nell'articolo Aggiornare o ruotare le credenziali per un cluster del servizio Azure Kubernetes seguire le istruzioni riportate in una delle sezioni di articolo seguenti, in base alle esigenze:
Usando le nuove credenziali dell'entità servizio, seguire le istruzioni nella sezione Aggiornare il cluster del servizio Azure Kubernetes con le credenziali dell'entità servizio di tale articolo.
Ulteriori informazioni
- Usare un'entità servizio con servizio Azure Kubernetes (servizio Azure Kubernetes) (in particolare la sezione Risoluzione dei problemi)
Contattaci per ricevere assistenza
In caso di domande o bisogno di assistenza, creare una richiesta di supporto tecnico oppure formula una domanda nel Supporto della community di Azure. È possibile anche inviare un feedback sul prodotto al feedback della community di Azure.