Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Sommario
Questo articolo illustra come identificare e risolvere l'errore AADSTS7000222 (BadRequest o InvalidClientSecret) che si verifica quando si tenta di creare o aggiornare un cluster del servizio Azure Kubernetes di Microsoft.
Prerequisiti
Sintomi
Quando si tenta di creare o aggiornare un cluster del servizio Azure Kubernetes, viene visualizzato uno dei messaggi di errore seguenti.
| Codice di errore | Messaggio |
|---|---|
BadRequest |
Le credenziali in ServicePrincipalProfile non sono valide. Per altri dettagli, vedere https://aka.ms/aks-sp-help . (Dettagli: adal: richiesta di aggiornamento non riuscita. Codice di stato = '401'. Corpo della risposta: {"error": "invalid_client", "error_description": "AADSTS7000222: le chiavi segrete client fornite per l'app '<application-id>' sono scadute. Visitare il portale di Azure per creare nuove chiavi per l'app: https://aka.ms/NewClientSecreto prendere in considerazione l'uso delle credenziali del certificato per una maggiore sicurezza: https://aka.ms/certCreds". |
InvalidClientSecret |
L'autenticazione del cliente non è valida per tenant: <tenant-id>: adal: richiesta di aggiornamento non riuscita. Codice di stato = '401'. Corpo della risposta: {"error": "invalid_client", "error_description": "AADSTS7000222: le chiavi segrete client fornite per l'app '<application-id>' sono scadute. Visitare il portale di Azure per creare nuove chiavi per l'app: https://aka.ms/NewClientSecreto prendere in considerazione l'uso delle credenziali del certificato per una maggiore sicurezza: https://aka.ms/certCreds". |
Causa
Il problema responsabile di questo avviso del principale del servizio di solito si verifica per uno dei motivi seguenti:
Il segreto del client è scaduto.
Sono state fornite credenziali non corrette.
L'oggetto servizio non esiste all'interno del tenant Microsoft Entra ID della sottoscrizione.
Verificare la causa
Usa i seguenti comandi per recuperare il profilo del principale del servizio per il cluster AKS e verificare la data di scadenza del principale del servizio. Assicurati di impostare le variabili appropriate per il gruppo di risorse di Azure Kubernetes Service e il nome del cluster.
SP_ID=$(az aks show --resource-group $RESOURCE_GROUP_NAME \
--name $AKS_CLUSTER_NAME \
--query servicePrincipalProfile.clientId \
--output tsv)
az ad app credential list --id "$SP_ID"
In alternativa, è possibile verificare che il nome principale del servizio e il segreto siano corretti e non siano scaduti. A tale scopo, effettuare i passaggi seguenti:
Nel portale di Azure, cercare e selezionare Microsoft Entra ID.
Nel riquadro di spostamento di Microsoft Entra ID selezionare Registrazioni app.
Nella scheda Applicazioni di proprietà selezionare l'applicazione interessata.
Trovare il nome principale del servizio e le informazioni segrete e verificare che le informazioni siano corrette e aggiornate.
Soluzione
Nell'articolo Aggiornare o ruotare le credenziali per un cluster del servizio Azure Kubernetes seguire le istruzioni riportate in una delle sezioni di articolo seguenti, in base alle esigenze:
Usando le nuove credenziali del principale del servizio, seguire le istruzioni nella sezione Aggiornare il cluster AKS con le credenziali del principale del servizio di quell'articolo.