Résoudre l’échec des demandes de service Azure Digital Twins : Erreur 403 (Interdit)

Cet article décrit les causes et les étapes de résolution relatives à la réception d’une erreur 403 des demandes de service à Azure Digital Twins. Ces informations sont spécifiques au service Azure Digital Twins.

Symptômes

Cette erreur peut se produire sur de nombreux types de demandes de service qui nécessitent une authentification dans Azure Digital Twins. L’effet est que la demande d’API échoue, renvoyant un état d’erreur 403 (Forbidden).

Causes

Cause no 1

La plupart du temps, cette erreur dans Azure Digital Twins indique que vos autorisations de contrôle d’accès en fonction du rôle Azure (RBAC Azure) pour le service ne sont pas configurées correctement. De nombreuses actions pour une instance Azure Digital Twins nécessitent que vous disposiez du rôle Propriétaire de données Azure Digital Twins sur l’instance que vous essayez de gérer.

Cause no 2

Si vous utilisez une application cliente pour communiquer avec Azure Digital Twins qui s’authentifie avec une inscription d’application, cette erreur peut se produire si l’inscription de votre application n’a pas d’autorisations configurées pour le service Azure Digital Twins.

L’inscription de l’application doit avoir des autorisations d’accès configurées pour les API d’Azure Digital Twins. Ensuite, lorsque votre application cliente s’authentifie auprès de l’inscription d’application, elle recevra les autorisations configurées par l’inscription d’application.

Solutions

Solution no 1

La première solution consiste à vérifier que votre utilisateur Azure dispose du rôle Propriétaire de données Azure Digital Twins sur l’instance que vous tentez de gérer. Si vous n’avez pas ce rôle, configurez-le.

Ce rôle est différent de...

• l’ancien nom de ce rôle pendant la préversion, Propriétaire Azure Digital Twins (préversion). Dans ce cas, le rôle est le même, mais le nom a changé.
• du rôle Propriétaire sur l’ensemble de l’abonnement Azure. Propriétaire de données Azure Digital Twins est un rôle au sein d’Azure Digital Twins qui est étendu à cette instance individuelle d’Azure Digital Twins.
• du rôle Propriétaire dans Azure Digital Twins. Il s’agit de deux rôles de gestion distincts pour Azure Digital Twins et Propriétaire de données Azure Digital Twins est le rôle qui doit être utilisé pour la gestion.

Vérifier la configuration actuelle

Une façon de vérifier que vous avez correctement configuré l’attribution de rôle consiste à afficher les attributions de rôle pour l’instance Azure Digital Twins dans le Portail Azure. Accédez à votre instance Azure Digital Twins dans le Portail Azure. Pour cela, vous pouvez la rechercher dans la page Instances Azure Digital Twins ou rechercher son nom dans la barre de recherche du portail.

Ensuite, affichez tous les rôles qui lui sont attribués sous Contrôle d’accès (IAM) > Attributions de rôle. Votre attribution de rôle doit s’afficher dans la liste.

Corriger les problèmes

Si vous n’avez pas cette attribution de rôle, une personne disposant d’un rôle Propriétaire dans votre abonnement Azure doit exécuter la commande suivante pour donner à votre utilisateur Azure le rôle Propriétaire de données Azure Digital Twins sur l’instance Azure Digital Twins.

Si vous êtes propriétaire de l’abonnement, vous pouvez exécuter cette commande vous-même. Dans le cas contraire, contactez un propriétaire pour qu’il l’exécute à votre place.

az dt role-assignment create --dt-name <your-Azure-Digital-Twins-instance> --assignee "<your-Azure-AD-email>" --role "Azure Digital Twins Data Owner"

Pour plus d’informations sur cette exigence de rôle et le processus d’attribution, consultez Configurer les autorisations d’accès de votre utilisateur.

Si vous disposez déjà de cette attribution de rôle et que vous utilisez une inscription d’application Microsoft Entra pour authentifier une application cliente, vous pouvez passer à la solution suivante si cette solution n’a pas résolu le problème 403.

Solution no 2

Si vous utilisez une inscription d’application Microsoft Entra pour authentifier une application cliente, la deuxième solution possible consiste à vérifier que l’inscription de l’application dispose d’autorisations configurées pour le service Azure Digital Twins. Si ce n’est pas le cas, configurez-les.

Vérifier la configuration actuelle

Pour case activée si les autorisations ont été configurées correctement, accédez à la page vue d’ensemble de l’inscription de l’application Microsoft Entra dans le Portail Azure. Vous pouvez accéder à cette page vous-même en recherchant Inscriptions d’applications dans la barre de recherche du portail.

Basculez sur l’onglet Toutes les applications pour voir toutes les inscriptions d’application qui ont été créées dans votre abonnement.

Vous devez voir apparaître l’inscription d’application que vous venez de créer dans la liste. Sélectionnez-la pour afficher ses détails.

Tout d’abord, vérifiez que les paramètres des autorisations Azure Digital Twins ont été correctement définis sur l’inscription : sélectionnez Manifeste dans la barre de menus pour afficher le code du manifeste de l’inscription de l’application. Faites défiler la fenêtre de code vers le bas et recherchez ces champs sous requiredResourceAccess. Les valeurs doivent correspondre à celles de la capture d’écran ci-dessous :

Ensuite, sélectionnez Autorisations de l’API dans la barre de menus pour vérifier que cette inscription d’application contient des autorisations de lecture/écriture pour Azure Digital Twins. Vous devriez obtenir une sortie similaire à celle-ci :

Corriger les problèmes

Si l’un de ces éléments ne correspond pas à la description, suivez les instructions de configuration d’une inscription d’application dans Créer une inscription d’application avec accès à Azure Digital Twins.

Étapes suivantes

Lisez les étapes de configuration relatives à la création et à l’authentification d’une nouvelle instance Azure Digital Twins :

• Configurer une instance et une authentification (CLI)

En savoir plus sur la sécurité et les autorisations sur Azure Digital Twins :

• Sécurité pour les solutions Azure Digital Twins