AADSTS7000222 – erro BadRequest ou InvalidClientSecret
Este artigo discute como identificar e resolver o AADSTS7000222 erro (BadRequest ou InvalidClientSecret) que ocorre quando você tenta criar ou atualizar um cluster do AKS (Serviço de Kubernetes do Microsoft Azure).
Pré-requisitos
Sintomas
Ao tentar criar ou atualizar um cluster do AKS, você recebe uma das seguintes mensagens de erro.
| Código do erro | Mensagem |
|---|---|
BadRequest |
As credenciais em ServicePrincipalProfile eram inválidas. Confira https://aka.ms/aks-sp-help para obter mais detalhes. (Detalhes: adal: falha na solicitação de atualização. Código de status = '401'. Corpo da resposta: {"error": "invalid_client", "error_description": "AADSTS7000222: As chaves secretas do cliente fornecidas para o aplicativo '<application-id>' expiraram. Visite o portal do Azure para criar novas chaves para seu aplicativo: https://aka.ms/NewClientSecret, ou considere usar credenciais de certificado para maior segurança: https://aka.ms/certCreds." |
InvalidClientSecret |
A autenticação do cliente não é válida para tenant: <tenant-id>: adal: Falha na solicitação de atualização. Código de status = '401'. Corpo da resposta: {"error": "invalid_client", "error_description": "AADSTS7000222: As chaves secretas do cliente fornecidas para o aplicativo '<application-id>' expiraram. Visite o portal do Azure para criar novas chaves para seu aplicativo: https://aka.ms/NewClientSecret, ou considere usar credenciais de certificado para maior segurança: https://aka.ms/certCreds." |
Motivo
O problema que gera esse alerta de entidade de serviço geralmente ocorre por um dos seguintes motivos:
O segredo do cliente expirou.
Credenciais incorretas foram fornecidas.
A entidade de serviço não existe no locatário da ID do Microsoft Entra da assinatura.
Verifique a causa
Execute o seguinte código da CLI do Azure para recuperar o perfil da entidade de serviço do cluster do AKS e verificar a data de expiração da entidade de serviço:
SP_ID=$(az aks show --resource-group <rg-name> \
--name <aks-cluster-name> \
--query servicePrincipalProfile.clientId \
--output tsv)
az ad app credential list --id "$SP_ID"
Como alternativa, você pode verificar se o nome e o segredo da entidade de serviço estão corretos e não expiraram. Para fazer isso, siga estas etapas:
No portal do Azure, procure e clique em Microsoft Entra ID.
No painel de navegação da ID do Microsoft Entra, selecione Registros de aplicativo.
Na guia Aplicativos próprios , selecione o aplicativo afetado.
Localize o nome da entidade de serviço e as informações secretas e verifique se as informações estão corretas e atualizadas.
Solução
No artigo Atualizar ou girar as credenciais de um cluster do AKS, siga as instruções em uma das seguintes seções do artigo, conforme apropriado:
Usando suas novas credenciais de entidade de serviço, siga as instruções na seção Atualizar cluster do AKS com credenciais de entidade de serviço desse artigo.
Mais informações
- Usar uma entidade de serviço com o AKS (Serviço de Kubernetes do Azure) (especialmente a seção Solução de problemas )
Entre em contato conosco para obter ajuda
Se você tiver dúvidas ou precisar de ajuda, crie uma solicitação de suporte ou peça ajuda à comunidade de suporte do Azure. Você também pode enviar comentários sobre o produto para a comunidade de comentários do Azure.