AADSTS7000222 – Fel i BadRequest eller InvalidClientSecret

I den här artikeln beskrivs hur du identifierar och löser felet AADSTS7000222 (BadRequest eller InvalidClientSecret) som uppstår när du försöker skapa eller uppgradera ett AkS-kluster (Microsoft Azure Kubernetes Service).

Förutsättningar

• Azure CLI

Symptom

När du försöker skapa eller uppgradera ett AKS-kluster får du något av följande felmeddelanden.

Felkod	Meddelande
BadRequest	Autentiseringsuppgifterna i ServicePrincipalProfile var ogiltiga. https://aka.ms/aks-sp-help Mer information finns i. (Information: adal: Uppdateringsbegäran misslyckades. Statuskod = '401'. Svarstext: {"error": "invalid_client", "error_description": "AADSTS7000222: De angivna klienthemlighetsnycklarna för appen "<application-id>" har upphört att gälla. Gå till Azure Portal för att skapa nya nycklar för din app: https://aka.ms/NewClientSecret, eller överväg att använda certifikatautentiseringsuppgifter för extra säkerhet: https://aka.ms/certCreds.
InvalidClientSecret	Kundautentiseringen är inte giltig för klientorganisationen: <klient-ID>: adal: Uppdateringsbegäran misslyckades. Statuskod = '401'. Svarstext: {"error": "invalid_client", "error_description": "AADSTS7000222: De angivna klienthemlighetsnycklarna för appen "<application-id>" har upphört att gälla. Gå till Azure Portal för att skapa nya nycklar för din app: https://aka.ms/NewClientSecret, eller överväg att använda certifikatautentiseringsuppgifter för extra säkerhet: https://aka.ms/certCreds.

Orsak

Problemet som genererar den här tjänstens huvudnamnsavisering inträffar vanligtvis av någon av följande orsaker:

• Klienthemligheten har upphört att gälla.

• Felaktiga autentiseringsuppgifter angavs.

• Tjänstens huvudnamn finns inte i prenumerationens Microsoft Entra-ID-klientorganisation.

Kontrollera orsaken

Använd följande kommandon för att hämta tjänstens huvudnamnsprofil för ditt AKS-kluster och kontrollera förfallodatumet för tjänstens huvudnamn. Se till att ange lämpliga variabler för din AKS-resursgrupp och klusternamn.

SP_ID=$(az aks show --resource-group $RESOURCE_GROUP_NAME \
    --name $AKS_CLUSTER_NAME \
    --query servicePrincipalProfile.clientId \
    --output tsv)
az ad app credential list --id "$SP_ID"

Du kan också kontrollera att tjänstens huvudnamn och hemlighet är korrekta och inte har upphört att gälla. För att göra detta följer du stegen nedan:

1. I Azure Portal söker du efter och väljer Microsoft Entra-ID.

2. I navigeringsfönstret i Microsoft Entra-ID väljer du Appregistreringar.

3. På fliken Ägda program väljer du det berörda programmet.

4. Leta upp tjänstens huvudnamn och hemlig information och kontrollera att informationen är korrekt och aktuell.

Lösning

1. I artikeln Uppdatera eller rotera autentiseringsuppgifterna för ett AKS-kluster följer du anvisningarna i något av följande artikelavsnitt efter behov:

   • Återställa de befintliga autentiseringsuppgifterna för tjänstens huvudnamn
   • Skapa ett nytt huvudnamn för tjänsten

2. Följ anvisningarna i avsnittet Uppdatera AKS-kluster med autentiseringsuppgifter för tjänstens huvudnamn i den artikeln med hjälp av dina nya autentiseringsuppgifter för tjänstens huvudnamn.

Mer information

• Använda tjänstens huvudnamn med Azure Kubernetes Service (AKS) (särskilt avsnittet Felsökning )

Kontakta oss för att få hjälp

Om du har frågor kan du ställa support för Azure-communityn. Du kan också skicka produktfeedback till Azure-feedbackcommunityn.