AADSTS7000222 - Fout BadRequest of InvalidClientSecret

In dit artikel wordt beschreven hoe u de AADSTS7000222 fout (BadRequest of InvalidClientSecret) identificeert en oplost die optreedt wanneer u een AKS-cluster (Microsoft Azure Kubernetes Service) probeert te maken of bij te werken.

Voorwaarden

• Azure-CLI

Symptomen

Wanneer u probeert een AKS-cluster te maken of bij te werken, ontvangt u een van de volgende foutberichten.

Foutcode	Bericht
BadRequest	De referenties in ServicePrincipalProfile zijn ongeldig. Zie https://aka.ms/aks-sp-help voor meer informatie. (Details: adal: vernieuwingsaanvraag is mislukt. Statuscode = '401'. Antwoordtekst: {"error": "invalid_client", "error_description": "AADSTS7000222: De opgegeven clientgeheimsleutels voor de app '<application-id>' zijn verlopen. Ga naar Azure Portal om nieuwe sleutels voor uw app te maken: https://aka.ms/NewClientSecretof overweeg om certificaatreferenties te gebruiken voor extra beveiliging. https://aka.ms/certCreds
InvalidClientSecret	Verificatie van de klant is niet geldig voor tenant: <tenant-id>: adal: vernieuwingsaanvraag is mislukt. Statuscode = '401'. Antwoordtekst: {"error": "invalid_client", "error_description": "AADSTS7000222: De opgegeven clientgeheimsleutels voor de app '<application-id>' zijn verlopen. Ga naar Azure Portal om nieuwe sleutels voor uw app te maken: https://aka.ms/NewClientSecretof overweeg om certificaatreferenties te gebruiken voor extra beveiliging. https://aka.ms/certCreds

Oorzaak

Het probleem dat deze waarschuwing voor de service-principal genereert, treedt meestal op een van de volgende redenen op:

• Het clientgeheim is verlopen.

• Er zijn onjuiste referenties opgegeven.

• De service-principal bestaat niet binnen de Microsoft Entra ID-tenant van het abonnement.

De oorzaak controleren

Voer de volgende Azure CLI-code uit om het service-principalprofiel voor uw AKS-cluster op te halen en controleer de vervaldatum van de service-principal:

SP_ID=$(az aks show --resource-group <rg-name> \
    --name <aks-cluster-name> \
    --query servicePrincipalProfile.clientId \
    --output tsv)
az ad app credential list --id "$SP_ID"

U kunt ook controleren of de naam en het geheim van de service-principal juist zijn en niet zijn verlopen. Hiervoor volgt u deze stappen:

1. Zoek en selecteer Microsoft Entra ID in Azure Portal.

2. Selecteer App-registraties in het navigatiedeelvenster van Microsoft Entra ID.

3. Selecteer op het tabblad Toepassingen in eigendom de betreffende toepassing.

4. Zoek de naam en geheime informatie van de service-principal en controleer of de informatie juist en actueel is.

Oplossing

1. Volg in het artikel De referenties voor een AKS-cluster bijwerken of roteren de instructies in een van de volgende artikelsecties, indien van toepassing:

   • De bestaande referenties voor de service-principal opnieuw instellen
   • Een nieuwe service-principal maken

2. Volg met behulp van uw nieuwe referenties voor de service-principal de instructies in het gedeelte AKS-cluster bijwerken met referenties voor de service-principal van dat artikel.

Meer informatie

• Een service-principal gebruiken met Azure Kubernetes Service (AKS) (met name de sectie Problemen oplossen )

Contacteer ons voor hulp

Als u vragen hebt of hulp nodig hebt, maak een ondersteuningsaanvraag of vraag de Azure-communityondersteuning. U kunt ook productfeedback verzenden naar de Azure-feedbackcommunity.