AADSTS7000222 – Fel i BadRequest eller InvalidClientSecret

Artikel
11/20/2024

I den här artikeln beskrivs hur du identifierar och löser felet AADSTS7000222 (BadRequest eller InvalidClientSecret) som uppstår när du försöker skapa eller uppgradera ett AkS-kluster (Microsoft Azure Kubernetes Service).

Förutsättningar

Azure CLI

Symptom

När du försöker skapa eller uppgradera ett AKS-kluster får du något av följande felmeddelanden.

Felkod Meddelande

BadRequest Autentiseringsuppgifterna i ServicePrincipalProfile var ogiltiga. https://aka.ms/aks-sp-help Mer information finns i. (Information: adal: Uppdateringsbegäran misslyckades. Statuskod = '401'. Svarstext: {"error": "invalid_client", "error_description": "AADSTS7000222: De angivna klienthemlighetsnycklarna för appen "<application-id>" har upphört att gälla. Gå till Azure Portal för att skapa nya nycklar för din app: https://aka.ms/NewClientSecret, eller överväg att använda certifikatautentiseringsuppgifter för extra säkerhet: https://aka.ms/certCreds.

InvalidClientSecret Kundautentiseringen är inte giltig för klientorganisationen: <klient-ID>: adal: Uppdateringsbegäran misslyckades. Statuskod = '401'. Svarstext: {"error": "invalid_client", "error_description": "AADSTS7000222: De angivna klienthemlighetsnycklarna för appen "<application-id>" har upphört att gälla. Gå till Azure Portal för att skapa nya nycklar för din app: https://aka.ms/NewClientSecret, eller överväg att använda certifikatautentiseringsuppgifter för extra säkerhet: https://aka.ms/certCreds.

Felkod	Meddelande
`BadRequest`	Autentiseringsuppgifterna i ServicePrincipalProfile var ogiltiga. https://aka.ms/aks-sp-help Mer information finns i. (Information: adal: Uppdateringsbegäran misslyckades. Statuskod = '401'. Svarstext: {"error": "invalid_client", "error_description": "AADSTS7000222: De angivna klienthemlighetsnycklarna för appen "<application-id>" har upphört att gälla. Gå till Azure Portal för att skapa nya nycklar för din app: https://aka.ms/NewClientSecret, eller överväg att använda certifikatautentiseringsuppgifter för extra säkerhet: https://aka.ms/certCreds.
`InvalidClientSecret`	Kundautentiseringen är inte giltig för klientorganisationen: <klient-ID>: adal: Uppdateringsbegäran misslyckades. Statuskod = '401'. Svarstext: {"error": "invalid_client", "error_description": "AADSTS7000222: De angivna klienthemlighetsnycklarna för appen "<application-id>" har upphört att gälla. Gå till Azure Portal för att skapa nya nycklar för din app: https://aka.ms/NewClientSecret, eller överväg att använda certifikatautentiseringsuppgifter för extra säkerhet: https://aka.ms/certCreds.

Orsak

Problemet som genererar den här tjänstens huvudnamnsavisering inträffar vanligtvis av någon av följande orsaker:

Klienthemligheten har upphört att gälla.
Felaktiga autentiseringsuppgifter angavs.
Tjänstens huvudnamn finns inte i prenumerationens Microsoft Entra-ID-klientorganisation.

Kontrollera orsaken

Kör följande Azure CLI-kod för att hämta tjänstens huvudnamnsprofil för ditt AKS-kluster och kontrollera förfallodatumet för tjänstens huvudnamn:

SP_ID=$(az aks show --resource-group <rg-name> \
    --name <aks-cluster-name> \
    --query servicePrincipalProfile.clientId \
    --output tsv)
az ad app credential list --id "$SP_ID"

Du kan också kontrollera att tjänstens huvudnamn och hemlighet är korrekta och inte har upphört att gälla. För att göra detta följer du stegen nedan:

I Azure Portal söker du efter och väljer Microsoft Entra-ID.
I navigeringsfönstret i Microsoft Entra-ID väljer du Appregistreringar.
På fliken Ägda program väljer du det berörda programmet.
Leta upp tjänstens huvudnamn och hemlig information och kontrollera att informationen är korrekt och aktuell.

Lösning

I artikeln Uppdatera eller rotera autentiseringsuppgifterna för ett AKS-kluster följer du anvisningarna i något av följande artikelavsnitt efter behov:
- Återställa de befintliga autentiseringsuppgifterna för tjänstens huvudnamn
- Skapa ett nytt huvudnamn för tjänsten
Följ anvisningarna i avsnittet Uppdatera AKS-kluster med autentiseringsuppgifter för tjänstens huvudnamn i den artikeln med hjälp av dina nya autentiseringsuppgifter för tjänstens huvudnamn.

Mer information

Använda tjänstens huvudnamn med Azure Kubernetes Service (AKS) (särskilt avsnittet Felsökning )

Kontakta oss för att få hjälp

Om du har frågor eller behöver hjälp skapar du en supportförfrågan eller frågar Azure community support. Du kan också skicka produktfeedback till Azure-feedbackcommunityn.

Dela via