Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Resumen
En este artículo se explica cómo identificar y resolver el AADSTS7000222 error (BadRequest o InvalidClientSecret) que se produce al intentar crear o actualizar un clúster de Azure Kubernetes Service (AKS).
Prerrequisitos
Síntomas
Al intentar crear o actualizar un clúster de AKS, recibirá uno de los siguientes mensajes de error.
| Código de error | Mensaje |
|---|---|
BadRequest |
Las credenciales de ServicePrincipalProfile no eran válidas. Consulte https://aka.ms/aks-sp-help para más información. (Detalles: adal: error en la solicitud de actualización. Código de estado = '401'. Cuerpo de la respuesta: {"error": "invalid_client", "error_description": "AADSTS7000222: las claves secretas de cliente proporcionadas para la aplicación "<application-id>" han expirado. Visite Azure Portal para crear nuevas claves para la aplicación: https://aka.ms/NewClientSecreto considere la posibilidad de usar credenciales de certificado para mayor seguridad: https://aka.ms/certCreds". |
InvalidClientSecret |
La autenticación del cliente no es válida para el inquilino: tenant-id<: >adal: error en la solicitud de actualización. Código de estado = '401'. Cuerpo de la respuesta: {"error": "invalid_client", "error_description": "AADSTS7000222: las claves secretas de cliente proporcionadas para la aplicación "<application-id>" han expirado. Visite Azure Portal para crear nuevas claves para la aplicación: https://aka.ms/NewClientSecreto considere la posibilidad de usar credenciales de certificado para mayor seguridad: https://aka.ms/certCreds". |
Causa
El problema que genera esta alerta de principal de servicio suele producirse por uno de los siguientes motivos:
El secreto del cliente ha expirado.
Se proporcionaron credenciales incorrectas.
La entidad de servicio no existe dentro del ID de cliente de Microsoft Entra de la suscripción.
Comprobación de la causa
Ejecute el siguiente código de la CLI de Azure para recuperar el perfil de entidad de servicio del clúster de AKS y comprobar la fecha de expiración de la entidad de servicio:
SP_ID=$(az aks show --resource-group <rg-name> \
--name <aks-cluster-name> \
--query servicePrincipalProfile.clientId \
--output tsv)
az ad app credential list --id "$SP_ID"
Alternativamente, puede verificar que el nombre y la contraseña de la entidad de seguridad del servicio son correctos y no han expirado. Para hacer esto, sigue estos pasos:
En Azure Portal, busque y seleccione Microsoft Entra ID.
En el panel de navegación de Microsoft Entra ID, seleccione Registros de aplicaciones.
En la pestaña Aplicaciones propiedad , seleccione la aplicación afectada.
Busque el nombre principal del servicio y la clave secreta, y verifique que la información es correcta y actualizada.
Solución
En el artículo Actualización o rotación de las credenciales de un clúster de AKS , siga las instrucciones de una de las secciones de artículo siguientes, según corresponda:
Con las nuevas credenciales de la entidad de servicio, siga las instrucciones de la sección Actualización del clúster de AKS con credenciales de entidad de servicio de ese artículo.