Problème d'authentification Vault OIDC Azure AD

Posté par maggie-didier le 18/09/2025
RÉSOLU

maggie-didier

Membre depuis le 21/05/2024

Salut la gang j'ai un souci avec vault et l'authentification oidc via azure ad. ma config semble bonne j'ai créé l'application dans azure ad j'ai les bons client_id et client_secret. mais quand j'essaye de me co via la cli ou l'ui j'ai une erreur jwt validation failed

vault login -method=oidc

et là ça m'ouvre le navigateur puis après la validation azure j'ai ça dans le terminal

Error authenticating: Error making API request.

URL: PUT http://127.0.0.1:8200/v1/auth/oidc/callback
Code: 400. Errors:

* unable to parse ID Token: 'exp' claim is not an int64

quelqu'un a déjà vu ce truc d'expiration de token qui est pas int64 ? j'ai l'impression que vault attend un format différent ou un truc du genre c'est chiant

Commentaires

hoareau-emile

Membre depuis le 23/07/2024

yo ça sent le problème de clock skew entre ton serveur vault et azure ad. vérifie que ton serveur vault a bien son horloge synchronisée avec un ntp précis. un petit décalage et les jwt se retrouvent invalides direct

ntpq -p
date

ça peut être suffisant à créer ce genre d'erreur d'expiration

maggie-didier

Membre depuis le 21/05/2024

ah merde tu as ptete raison je vais checker le ntp. on a eu des soucis de synchro récemment sur cette vm. je te dis ça après un resync

mmartins

Membre depuis le 26/12/2024

en plus du ntp vérifie aussi la config de ton oidc role dans vault. des fois on met des ttl ou max_ttl trop courts qui rentrent en conflit avec les tokens d'azure ad. ou même des allowed_redirect_uris qui foirent. regarde la sortie de vault read auth/oidc/role/ton_role

maggie-didier

Membre depuis le 21/05/2024

d'acc je regarde tout ça. le ntp était un peu à la ramasse d'une seconde ou deux donc je l'ai resync. mais j'ai toujours le même message. le rôle vault a l'air ok je vois rien de bizarre dans les ttl. le redirect uri est bon aussi c'est bien celui que vault me dit d'utiliser

hoareau-emile

Membre depuis le 23/07/2024

ok si le ntp est ok et les ttl vault aussi alors le problème de 'exp' claim pas int64 c'est super bizarre. t'as quelle version de vault ? j'ai vu des bugs similaires sur des vieilles versions parfois ou avec des configs oidc exotiques. sinon un truc tout bête t'as bien coché les permissions "id tokens" dans la registration app azure ad ?

maggie-didier

Membre depuis le 21/05/2024

merci les gars vous m'avez mis sur la bonne piste. c'était pas le ntp direct mais la version de vault (1.7.x). après upgrade en 1.11.x le problème a disparu. apparemment il y avait bien un bug de parsing jwt sur les claims 'exp' avec des tokens spécifiques d'azure ad sur les anciennes versions. thx !

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire