Memecahkan masalah permintaan layanan gagal Azure Digital Twins: Kesalahan 403 (Terlarang)
Artikel ini menjelaskan penyebab dan langkah-langkah resolusi untuk menerima kesalahan 403 dari permintaan layanan ke Azure Digital Twins. Informasi ini khusus untuk layanan Azure Digital Twins.
Gejala
Kesalahan ini dapat terjadi pada banyak jenis permintaan layanan yang memerlukan autentikasi dengan Azure Digital Twins. Efeknya adalah permintaan API gagal, menampilkan status kesalahan 403 (Forbidden).
Penyebab
Penyebab #1
Paling sering, menerima kesalahan ini di Azure Digital Twins menunjukkan bahwa izin kontrol akses berbasis peran Azure (Azure RBAC) Anda untuk layanan tidak disiapkan dengan benar. Banyak tindakan untuk instans Azure Digital Twins mengharuskan Anda memiliki peran Pemilik Data Azure Digital Twins pada instans yang Anda coba kelola.
Penyebab #2
Jika Anda menggunakan aplikasi klien untuk berkomunikasi dengan Azure Digital Twins yang mengautentikasi dengan pendaftaran aplikasi, kesalahan ini dapat terjadi karena pendaftaran aplikasi tidak menyiapkan izin untuk layanan Azure Digital Twins.
Pendaftaran aplikasi harus memiliki izin akses yang dikonfigurasi untuk API Azure Digital Twins. Kemudian, saat aplikasi klien Anda mengautentikasi terhadap pendaftaran aplikasi, aplikasi klien akan diberikan izin yang telah dikonfigurasi pendaftaran aplikasi.
Solusi
Solusi #1
Solusi pertama adalah memverifikasi bahwa pengguna Azure memiliki peran Pemilik Data Azure Digital Twins pada instans yang ingin Anda kelola. Jika Anda tidak memiliki peran ini, siapkan peran.
Perlu dicatat bahwa peran ini berbeda dari...
- nama sebelumnya untuk peran ini selama pratinjau, Pemilik Azure Digital Twins (Pratinjau). Dalam kasus ini, perannya sama, tetapi namanya telah berubah.
- peran Pemilik di seluruh langganan Azure. Pemilik Data Azure Digital Twins adalah peran dalam Azure Digital Twins dan tercakup dalam masing-masing instans Azure Digital Twins ini.
- peran Pemilik di Azure Digital Twins. Ini adalah dua peran manajemen Azure Digital Twins yang berbeda, dan Pemilik Data Azure Digital Twins adalah peran yang harus digunakan untuk manajemen.
Memeriksa persiapan saat ini
Salah satu cara untuk memeriksa apakah Anda telah berhasil menyiapkan penetapan peran adalah dengan melihat penetapan peran untuk instans Azure Digital Twins di portal Azure. Buka instans Azure Digital Twins Anda di portal Azure. Untuk sampai ke sana, Anda dapat mencarinya di halaman instans Azure Digital Twins atau mencari namanya di bilah pencarian portal).
Kemudian, lihat semua peran yang ditetapkan di bawah Penetapan Peran kontrol akses (IAM>). Penetapan peran Anda akan muncul dalam daftar.
Memperbaiki masalah
Jika Anda tidak memiliki penetapan peran ini, orang yang memiliki peran Pemilik di langganan Azure Anda harus menjalankan perintah berikut untuk memberi pengguna Azure peran Pemilik Data Azure Digital Twins di instans Azure Digital Twins.
Jika Anda adalah Pemilik langganan, Anda dapat menjalankan perintah ini sendiri. Jika bukan, hubungi Pemilik untuk menjalankan perintah ini atas nama Anda.
az dt role-assignment create --dt-name <your-Azure-Digital-Twins-instance> --assignee "<your-Azure-AD-email>" --role "Azure Digital Twins Data Owner"
Untuk informasi selengkapnya tentang persyaratan peran ini dan proses penugasan, lihat Menyiapkan izin akses pengguna Anda.
Jika Anda sudah memiliki penetapan peran ini dan menggunakan pendaftaran aplikasi Microsoft Entra untuk mengautentikasi aplikasi klien, Anda dapat melanjutkan ke solusi berikutnya jika solusi ini tidak mengatasi masalah 403.
Solusi #2
Jika Anda menggunakan pendaftaran aplikasi Microsoft Entra untuk mengautentikasi aplikasi klien, solusi kedua yang mungkin adalah memverifikasi bahwa pendaftaran aplikasi memiliki izin yang dikonfigurasi untuk layanan Azure Digital Twins. Jika izin tidak dikonfigurasi, siapkan izin.
Memeriksa persiapan saat ini
Untuk memeriksa apakah izin telah dikonfigurasi dengan benar, navigasikan ke halaman gambaran umum pendaftaran aplikasi Microsoft Entra di portal Azure. Anda bisa masuk ke halaman ini sendiri dengan mencari pendaftaran aplikasi di bilah pencarian portal.
Beralih ke tab Semua aplikasi untuk melihat semua pendaftaran aplikasi yang telah dibuat dalam langganan Anda.
Anda akan melihat pendaftaran aplikasi yang baru saja dibuat dalam daftar. Pilih untuk membuka detailnya.
Pertama, verifikasi bahwa pengaturan izin Azure Digital Twins telah diatur dengan benar pada pendaftaran: Pilih Manifes dari bilah menu untuk melihat kode manifes pendaftaran aplikasi. Gulir ke bagian bawah jendela kode dan cari bidang ini di bawah requiredResourceAccess. Nilai harus sesuai dengan yang tercantum di cuplikan layar di bawah ini:
Selanjutnya, pilih Izin API dari bilah menu untuk memverifikasi bahwa pendaftaran aplikasi ini berisi izin Baca/Tulis untuk Azure Digital Twins. Anda akan melihat entri seperti ini:
Memperbaiki masalah
Jika salah satu dari ini muncul secara berbeda dari yang dijelaskan, ikuti instruksi tentang cara menyiapkan pendaftaran aplikasi di Membuat pendaftaran aplikasi dengan akses Azure Digital Twins.
Langkah berikutnya
Baca langkah-langkah persiapan untuk membuat dan mengautentikasi instans Azure Digital Twins baru:
Baca selengkapnya tentang keamanan dan izin di Azure Digital Twins:
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk