AADSTS7000222 – erro BadRequest ou InvalidClientSecret
Este artigo discute como identificar e resolve o AADSTS7000222 erro (BadRequest ou InvalidClientSecret) que ocorre quando você tenta criar ou atualizar um cluster do AKS (Microsoft Serviço de Kubernetes do Azure).
Pré-requisitos
Sintomas
Ao tentar criar ou atualizar um cluster do AKS, você recebe uma das seguintes mensagens de erro.
| Código de erro | Mensagem |
|---|---|
BadRequest |
As credenciais no ServicePrincipalProfile eram inválidas. https://aka.ms/aks-sp-help Confira mais detalhes. (Detalhes: falha na solicitação de atualização. Código de status = '401'. Corpo da resposta: {"error": "invalid_client", "error_description": "AADSTS7000222: as chaves secretas do cliente fornecidas para o aplicativo '<application-id>' expiraram. Visite o portal do Azure para criar novas chaves para seu aplicativo: https://aka.ms/NewClientSecretou considere usar credenciais de certificado para obter mais segurança: https://aka.ms/certCreds." |
InvalidClientSecret |
A auth do cliente não é válida para locatário: <id> de locatário: adal: falha na solicitação de atualização. Código de status = '401'. Corpo da resposta: {"error": "invalid_client", "error_description": "AADSTS7000222: as chaves secretas do cliente fornecidas para o aplicativo '<application-id>' expiraram. Visite o portal do Azure para criar novas chaves para seu aplicativo: https://aka.ms/NewClientSecretou considere usar credenciais de certificado para obter mais segurança: https://aka.ms/certCreds." |
Motivo
O problema que gera esse alerta de entidade de serviço geralmente ocorre por um dos seguintes motivos:
O segredo do cliente expirou.
Credenciais incorretas foram fornecidas.
A entidade de serviço não existe no locatário Microsoft Entra ID da assinatura.
Verificar a causa
Execute o seguinte código da CLI do Azure para recuperar o perfil da entidade de serviço para o cluster do AKS e marcar a data de validade da entidade de serviço:
SP_ID=$(az aks show --resource-group <rg-name> \
--name <aks-cluster-name> \
--query servicePrincipalProfile.clientId \
--output tsv)
az ad app credential list --id "$SP_ID"
Como alternativa, você pode verificar se o nome e o segredo da entidade de serviço estão corretos e não expiraram. Para fazer isso, siga estas etapas:
No portal do Azure, procure e clique em Microsoft Entra ID.
No painel de navegação do Microsoft Entra ID, selecione Registros de aplicativo.
Na guia Aplicativos de propriedade , selecione o aplicativo afetado.
Localize o nome da entidade de serviço e as informações secretas e verifique se as informações estão corretas e atuais.
Solução
No artigo Atualizar ou girar as credenciais de um cluster do AKS , siga as instruções em uma das seguintes seções de artigo, conforme apropriado:
Usando suas novas credenciais de entidade de serviço, siga as instruções no cluster Atualizar AKS com credenciais de entidade de serviço desse artigo.
Mais informações
- Usar uma entidade de serviço com Serviço de Kubernetes do Azure (AKS) (especialmente a seção Solução de problemas)
Entre em contato conosco para obter ajuda
Se você tiver dúvidas ou precisar de ajuda, crie uma solicitação de suporte ou peça ajuda à comunidade de suporte do Azure. Você também pode enviar comentários sobre o produto para a comunidade de comentários do Azure.