High severityauthentication
Power BI Error:
AADSTS50006, token signature verification failed
What does this error mean?
Microsoft Entra ID (Azure AD) kon de cryptografische handtekening op een JWT- of SAML-token niet valideren.
Common causes
- 1Client assertion (private_key_jwt) ondertekend met een certificaat waarvan de public key niet (meer) in de App Registration → Certificates & secrets staat
- 2Signing certificaat van een SAML Identity Provider of relying party is geroteerd, maar de nieuwe public key/metadata is niet bijgewerkt aan de andere kant
- 3Verkeerd algoritme of verkeerde `kid`/thumbprint in de JWT-header — token wordt geverifieerd tegen een andere key dan waarmee het is gesigneerd
- 4Token is na uitgifte gemodificeerd (proxy, logging-middleware, encoding-issue) waardoor de signature-bytes niet meer kloppen
- 5Klok-skew of base64url-encoding fout in een zelfgebouwde client_assertion (padding, JSON canonicalization)
How to fix it
- 1Decodeer het falende token op jwt.ms en vergelijk de `kid` in de header met de thumbprints onder App Registration → Certificates & secrets in het Entra portal — als de `kid` daar niet voorkomt, upload het juiste public certificaat (.cer)
- 2Bij private_key_jwt / certificate credentials: controleer dat je client signt met de private key die hoort bij het public cert dat in Entra is geregistreerd, en dat het cert nog niet verlopen is
- 3Bij SAML SSO (federatie met ADFS, Okta, etc.): haal verse IdP-metadata op en re-importeer in Entra (Enterprise Application → Single sign-on → SAML signing certificate), of vice versa als Entra de IdP is
- 4Verwijder elke proxy/middleware die het token kan herschrijven (extra whitespace, re-encoding van JSON claims, veranderde header-volgorde) — JWT signatures breken bij elke byte-wijziging
- 5Als de fout optreedt bij Power BI Service Principal refresh of een Fabric/ADF Linked Service: roteer het certificaat in Key Vault, upload de nieuwe public key naar de App Registration, en update de Linked Service / dataset credentials