Condividi tramite


Risolvere i problemi relativi alla richiesta del servizio Gemelli digitali di Azure non riuscita: Errore 403 (Accesso negato)

Questo articolo descrive le cause e i passaggi di risoluzione per la ricezione di un errore 403 dalle richieste di servizio a Gemelli digitali di Azure. Queste informazioni sono specifiche del servizio Gemelli digitali di Azure.

Sintomi

Questo errore può verificarsi in molti tipi di richieste di servizio che richiedono l'autenticazione con Gemelli digitali di Azure. L'effetto è che la richiesta API ha esito negativo, restituendo lo stato di errore .403 (Forbidden)

Cause

Causa n. 1

Nella maggior parte dei casi, la ricezione di questo errore in Gemelli digitali di Azure indica che le autorizzazioni di controllo degli accessi in base al ruolo di Azure per il servizio non sono configurate correttamente. Per gestire un'istanza di Azure Digital Twins, molte azioni richiedono il ruolo di Proprietario dei dati di Azure Digital Twins nell'istanza che si sta tentando di gestire.

Causa n. 2

Se si comunica con Gemelli digitali di Azure tramite un'app client che esegue l'autenticazione con una registrazione dell'app, questo errore può verificarsi perché la registrazione dell'app non dispone delle autorizzazioni configurate per il servizio Gemelli digitali di Azure.

La registrazione dell'app deve disporre delle autorizzazioni di accesso configurate per le API di Gemelli digitali di Azure. Quindi, quando l'app client esegue l'autenticazione contro la registrazione dell'app, verranno concesse le autorizzazioni configurate dalla registrazione dell'app.

Soluzioni

Soluzione n. 1

La prima soluzione consiste nel verificare che l'account utente Azure abbia il ruolo di Proprietario dati di Azure Digital Twins sull'istanza che si sta tentando di gestire. Se questo ruolo non è disponibile, configurarlo.

Questo ruolo è diverso da...

  • nome precedente per questo ruolo durante l'anteprima, proprietario di Gemelli digitali di Azure (anteprima). In questo caso, il ruolo è lo stesso, ma il nome è cambiato.
  • Ruolo Proprietario nell'intera sottoscrizione di Azure. Il proprietario dei dati di Azure Digital Twins è un ruolo all'interno di Azure Digital Twins ed è circoscritto a questa singola istanza di Azure Digital Twins.
  • Ruolo proprietario in Gemelli digitali di Azure. Si tratta di due ruoli di gestione distinti dei Gemelli Digitali di Azure e il Proprietario dei dati di Azure Digital Twins è il ruolo da utilizzare per la gestione.

Verificare la configurazione corrente

Un modo per verificare che l'assegnazione di ruolo sia stata configurata correttamente consiste nel visualizzare le assegnazioni di ruolo per l'istanza di Gemelli digitali di Azure nel portale di Azure.

Vai alla tua istanza di Azure Digital Twins nel portale Azure. Per arrivarci, è possibile cercarlo nella pagina delle istanze di Azure Digital Twins o cercarne il nome nella barra di ricerca del portale.

Visualizzare quindi tutti i ruoli assegnati in Controllo di accesso (IAM) > Assegnazioni di ruolo. L'assegnazione di ruolo dovrebbe essere visualizzata nell'elenco.

Screenshot delle assegnazioni di ruolo per un'istanza di Gemelli digitali di Azure nel portale di Azure.

Correggere gli errori

Se non si dispone di questa assegnazione di ruolo, un utente con il ruolo Proprietario nella sottoscrizione di Azure dovrebbe eseguire il comando seguente per assegnare all'utente di Azure il ruolo Proprietario dati di Azure Digital Twins nell'istanza di Azure Digital Twins.

Se si è proprietari della sottoscrizione, è possibile eseguire manualmente questo comando. Se non lo sei, contatta un proprietario per eseguire questo comando per tuo conto.

az dt role-assignment create --dt-name <your-Azure-Digital-Twins-instance> --assignee "<your-Azure-AD-email>" --role "Azure Digital Twins Data Owner"

Per altre informazioni su questo requisito di ruolo e sul processo di assegnazione, vedere Configurare le autorizzazioni di accesso dell'utente.

Se si dispone già di questa assegnazione di ruolo e si usa una registrazione dell'app Microsoft Entra per autenticare un'app client, è possibile continuare con la soluzione successiva se questa soluzione non ha risolto il problema 403.

Soluzione n. 2

Se si usa una registrazione dell'app Microsoft Entra per autenticare un'app client, la seconda possibile soluzione consiste nel verificare che la registrazione dell'app disponga delle autorizzazioni configurate per il servizio Gemelli digitali di Azure. Se non sono configurati, configurateli.

Verificare la configurazione corrente

Per verificare se le autorizzazioni sono state configurate correttamente, passare alla pagina di panoramica della registrazione dell'app Microsoft Entra nel portale di Azure. È possibile accedere a questa pagina manualmente cercando registrazioni di app nella barra di ricerca del portale.

Passare alla scheda Tutte le applicazioni per visualizzare tutte le registrazioni dell'app create nella sottoscrizione.

Dovresti vedere la registrazione dell'app che hai creato nell'elenco. Selezionarlo per aprire i relativi dettagli.

Screenshot della pagina registrazioni dell'app nel portale di Azure.

Verificare prima di tutto che le impostazioni delle autorizzazioni di Gemelli digitali di Azure siano state impostate correttamente nella registrazione: selezionare Manifesto dalla barra dei menu per visualizzare il codice manifesto della registrazione dell'app. Scorrere fino alla fine della finestra del codice e cercare questi campi sotto requiredResourceAccess. I valori devono corrispondere a quelli nella schermata seguente (rappresentano l'ID risorsa per l'endpoint del servizio Azure Digital Twins e l'ID autorizzazione per l'autorizzazione delegata Read.Write in Azure Digital Twins).

Screenshot del manifesto per la registrazione dell'app Microsoft Entra nel portale di Azure.

Successivamente, selezionare Autorizzazioni API dalla barra dei menù per verificare che la registrazione dell'app contenga Autorizzazioni di Lettura/Scrittura per Gemelli Digitali di Azure. Verrà visualizzata una voce simile alla seguente:

Screenshot delle autorizzazioni API per la registrazione dell'app Microsoft Entra nel portale di Azure, che mostra

Correggere gli errori

Se uno di questi elementi viene visualizzato in modo diverso da quello descritto, seguire le istruzioni su come configurare la registrazione di un'app in Creare una registrazione dell'app con l'accesso a Gemelli digitali di Azure.

Passaggi successivi

Leggere i passaggi di configurazione per la creazione e l'autenticazione di una nuova istanza di Gemelli digitali di Azure:

Altre informazioni sulla sicurezza e sulle autorizzazioni per Gemelli digitali di Azure: