AADSTS7000222 — ошибка BadRequest или InvalidClientSecret
В этой статье описывается, как определить и устранить AADSTS7000222 ошибку (BadRequestилиInvalidClientSecret), возникающую при попытке создать или обновить кластер Microsoft Служба Azure Kubernetes (AKS).
Предварительные требования
Симптомы
При попытке создать или обновить кластер AKS вы получите одно из следующих сообщений об ошибках.
| Код ошибки | Сообщение |
|---|---|
BadRequest |
Недопустимые учетные данные в ServicePrincipalProfile. Дополнительные сведения см. в разделе https://aka.ms/aks-sp-help. (Сведения: adal: сбой запроса на обновление. Код состояния = '401'. Текст ответа: {"error": "invalid_client", "error_description": "AADSTS7000222: истек срок действия предоставленных ключей секрета клиента для приложения "<application-id>". Посетите портал Azure, чтобы создать новые ключи для приложения: https://aka.ms/NewClientSecretили рассмотрите возможность использования учетных данных сертификата для дополнительной безопасности: https://aka.ms/certCreds |
InvalidClientSecret |
Проверка подлинности клиента недопустима для клиента: идентификатор> клиента: adal: <сбой запроса на обновление. Код состояния = '401'. Текст ответа: {"error": "invalid_client", "error_description": "AADSTS7000222: истек срок действия предоставленных ключей секрета клиента для приложения "<application-id>". Посетите портал Azure, чтобы создать новые ключи для приложения: https://aka.ms/NewClientSecretили рассмотрите возможность использования учетных данных сертификата для дополнительной безопасности: https://aka.ms/certCreds |
Причина
Проблема, которая создает это оповещение субъекта-службы, обычно возникает по одной из следующих причин:
Срок действия секрета клиента истек.
Указаны неверные учетные данные.
Субъект-служба не существует в клиенте идентификатора Microsoft Entra подписки.
Проверка причины
Выполните следующий код Azure CLI, чтобы получить профиль субъекта-службы для кластера AKS и проверить дату окончания срока действия субъекта-службы:
SP_ID=$(az aks show --resource-group <rg-name> \
--name <aks-cluster-name> \
--query servicePrincipalProfile.clientId \
--output tsv)
az ad app credential list --id "$SP_ID"
Кроме того, можно убедиться, что имя и секрет субъекта-службы верны и срок действия не истек. Для этого выполните следующие шаги.
В портал Azure найдите и выберите идентификатор Microsoft Entra.
В области навигации идентификатора Microsoft Entra выберите Регистрация приложений.
На вкладке " Принадлежащие приложения " выберите затронутое приложение.
Найдите имя субъекта-службы и сведения о секрете и убедитесь, что информация правильная и текущая.
Решение
В разделе "Обновление" или смене учетных данных для статьи кластера AKS следуйте инструкциям в одном из следующих разделов статьи.
Используя новые учетные данные субъекта-службы, следуйте инструкциям в кластере Update AKS с учетными данными субъекта-службы этой статьи.
Дополнительная информация
- Использование субъекта-службы с Служба Azure Kubernetes (AKS) (особенно в разделе "Устранение неполадок")
Свяжитесь с нами для получения помощи
Если у вас есть вопросы или вам нужна помощь, создайте запрос в службу поддержки или обратитесь за поддержкой сообщества Azure. Вы также можете отправить отзыв о продукте в сообщество отзывов Azure.