Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra come identificare e risolvere l'errore AADSTS7000222 (BadRequest o InvalidClientSecret) che si verifica quando si tenta di creare o aggiornare un cluster microsoft servizio Azure Kubernetes (servizio Azure Kubernetes).
Prerequisiti
Sintomi
Quando si tenta di creare o aggiornare un cluster del servizio Azure Kubernetes, viene visualizzato uno dei messaggi di errore seguenti.
| Codice di errore | Messaggio |
|---|---|
BadRequest |
Le credenziali in ServicePrincipalProfile non sono valide. Per altri dettagli, vedere https://aka.ms/aks-sp-help . (Dettagli: adal: richiesta di aggiornamento non riuscita. Codice di stato = '401'. Corpo della risposta: {"error": "invalid_client", "error_description": "AADSTS7000222: le chiavi segrete client fornite per l'app '<application-id>' sono scadute. Visitare il portale di Azure per creare nuove chiavi per l'app: https://aka.ms/NewClientSecreto prendere in considerazione l'uso delle credenziali del certificato per una maggiore sicurezza: https://aka.ms/certCreds". |
InvalidClientSecret |
L'autenticazione del cliente non è valida per tenant: <tenant-id>: adal: richiesta di aggiornamento non riuscita. Codice di stato = '401'. Corpo della risposta: {"error": "invalid_client", "error_description": "AADSTS7000222: le chiavi segrete client fornite per l'app '<application-id>' sono scadute. Visitare il portale di Azure per creare nuove chiavi per l'app: https://aka.ms/NewClientSecreto prendere in considerazione l'uso delle credenziali del certificato per una maggiore sicurezza: https://aka.ms/certCreds". |
Causa
Il problema che genera questo avviso dell'entità servizio si verifica in genere per uno dei motivi seguenti:
Il segreto client è scaduto.
Sono state fornite credenziali non corrette.
L'entità servizio non esiste all'interno del tenant microsoft Entra ID della sottoscrizione.
Verificare la causa
Usa i seguenti comandi per recuperare il profilo del principale del servizio per il cluster AKS e verificare la data di scadenza del principale del servizio. Assicurati di impostare le variabili appropriate per il gruppo di risorse di Azure Kubernetes Service e il nome del cluster.
SP_ID=$(az aks show --resource-group $RESOURCE_GROUP_NAME \
--name $AKS_CLUSTER_NAME \
--query servicePrincipalProfile.clientId \
--output tsv)
az ad app credential list --id "$SP_ID"
In alternativa, è possibile verificare che il nome e il segreto dell'entità servizio siano corretti e non siano scaduti. A tale scopo, effettuare i passaggi seguenti:
Nel portale di Azure, cercare e selezionare Microsoft Entra ID.
Nel riquadro di spostamento di Microsoft Entra ID selezionare Registrazioni app.
Nella scheda Applicazioni di proprietà selezionare l'applicazione interessata.
Trovare il nome dell'entità servizio e le informazioni segrete e verificare che le informazioni siano corrette e correnti.
Soluzione
Nell'articolo Aggiornare o ruotare le credenziali per un cluster del servizio Azure Kubernetes seguire le istruzioni riportate in una delle sezioni di articolo seguenti, in base alle esigenze:
Usando le nuove credenziali dell'entità servizio, seguire le istruzioni nella sezione Aggiornare il cluster del servizio Azure Kubernetes con le credenziali dell'entità servizio di tale articolo.
Ulteriori informazioni
- Usare un'entità servizio con servizio Azure Kubernetes (servizio Azure Kubernetes) (in particolare la sezione Risoluzione dei problemi)
Contattaci per ricevere assistenza
In caso di domande, è possibile porre domande al supporto della community di Azure. È possibile anche inviare un feedback sul prodotto al feedback della community di Azure.