Problème d'authentification Vault OIDC Azure AD

RSS
maggie-didier 18/09/2025
RÉSOLU
Retour Répondre
Avatar de maggie-didier
maggie-didier
Auteur Actif
Avatar de maggie-didier
maggie-didier
Auteur Actif

Salut la gang j'ai un souci avec vault et l'authentification oidc via azure ad. ma config semble bonne j'ai créé l'application dans azure ad j'ai les bons client_id et client_secret. mais quand j'essaye de me co via la cli ou l'ui j'ai une erreur jwt validation failed

vault login -method=oidc

et là ça m'ouvre le navigateur puis après la validation azure j'ai ça dans le terminal

Error authenticating: Error making API request.

URL: PUT http://127.0.0.1:8200/v1/auth/oidc/callback
Code: 400. Errors:

* unable to parse ID Token: 'exp' claim is not an int64

quelqu'un a déjà vu ce truc d'expiration de token qui est pas int64 ? j'ai l'impression que vault attend un format différent ou un truc du genre c'est chiant

18/09/2025 à 07:20

6 commentaires

Avatar de hoareau-emile
hoareau-emile
Membre Actif
Avatar de hoareau-emile
hoareau-emile
Membre Actif

yo ça sent le problème de clock skew entre ton serveur vault et azure ad. vérifie que ton serveur vault a bien son horloge synchronisée avec un ntp précis. un petit décalage et les jwt se retrouvent invalides direct

ntpq -p
date

ça peut être suffisant à créer ce genre d'erreur d'expiration

19/09/2025 à 03:36
Avatar de maggie-didier
maggie-didier
Auteur Actif
Avatar de maggie-didier
maggie-didier
Auteur Actif

ah merde tu as ptete raison je vais checker le ntp. on a eu des soucis de synchro récemment sur cette vm. je te dis ça après un resync

19/09/2025 à 22:39
Avatar de mmartins
mmartins
Membre Actif
Avatar de mmartins
mmartins
Membre Actif

en plus du ntp vérifie aussi la config de ton oidc role dans vault. des fois on met des ttl ou max_ttl trop courts qui rentrent en conflit avec les tokens d'azure ad. ou même des allowed_redirect_uris qui foirent. regarde la sortie de vault read auth/oidc/role/ton_role

20/09/2025 à 21:34
Avatar de maggie-didier
maggie-didier
Auteur Actif
Avatar de maggie-didier
maggie-didier
Auteur Actif

d'acc je regarde tout ça. le ntp était un peu à la ramasse d'une seconde ou deux donc je l'ai resync. mais j'ai toujours le même message. le rôle vault a l'air ok je vois rien de bizarre dans les ttl. le redirect uri est bon aussi c'est bien celui que vault me dit d'utiliser

21/09/2025 à 21:34
Avatar de hoareau-emile
hoareau-emile
Membre Actif
Avatar de hoareau-emile
hoareau-emile
Membre Actif

ok si le ntp est ok et les ttl vault aussi alors le problème de 'exp' claim pas int64 c'est super bizarre. t'as quelle version de vault ? j'ai vu des bugs similaires sur des vieilles versions parfois ou avec des configs oidc exotiques. sinon un truc tout bête t'as bien coché les permissions "id tokens" dans la registration app azure ad ?

22/09/2025 à 21:03
Avatar de maggie-didier
maggie-didier
Auteur Actif
Avatar de maggie-didier
maggie-didier
Auteur Actif

merci les gars vous m'avez mis sur la bonne piste. c'était pas le ntp direct mais la version de vault (1.7.x). après upgrade en 1.11.x le problème a disparu. apparemment il y avait bien un bug de parsing jwt sur les claims 'exp' avec des tokens spécifiques d'azure ad sur les anciennes versions. thx !

23/09/2025 à 15:31

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire