Risolvere i problemi relativi alla richiesta del servizio Gemelli digitali di Azure non riuscita: Errore 403 (Accesso negato)
Questo articolo descrive le cause e i passaggi di risoluzione per la ricezione di un errore 403 dalle richieste di servizio a Gemelli digitali di Azure. Queste informazioni sono specifiche del servizio Gemelli digitali di Azure.
Sintomi
Questo errore può verificarsi in molti tipi di richieste di servizio che richiedono l'autenticazione con Gemelli digitali di Azure. L'effetto è che la richiesta API ha esito negativo, restituendo lo stato di errore .403 (Forbidden)
Cause
Causa 1
Nella maggior parte dei casi, la ricezione di questo errore in Gemelli digitali di Azure indica che le autorizzazioni di controllo degli accessi in base al ruolo di Azure per il servizio non sono configurate correttamente. Molte azioni per un'istanza di Gemelli digitali di Azure richiedono il ruolo Proprietario dati di Gemelli digitali di Azure nell'istanza che si sta tentando di gestire.
Causa 2
Se si usa un'app client per comunicare con Gemelli digitali di Azure che esegue l'autenticazione con una registrazione dell'app, questo errore può verificarsi perché la registrazione dell'app non dispone delle autorizzazioni configurate per il servizio Gemelli digitali di Azure.
La registrazione dell'app deve disporre delle autorizzazioni di accesso configurate per le API di Gemelli digitali di Azure. Quindi, quando l'app client esegue l'autenticazione con la registrazione dell'app, verrà concessa le autorizzazioni configurate dalla registrazione dell'app.
Soluzioni
Soluzione n. 1
La prima soluzione consiste nel verificare che l'utente di Azure abbia il ruolo proprietario dei dati di Gemelli digitali di Azure nell'istanza che si sta tentando di gestire. Se questo ruolo non è disponibile, configurarlo.
Questo ruolo è diverso da...
- nome precedente per questo ruolo durante l'anteprima, proprietario di Gemelli digitali di Azure (anteprima). In questo caso, il ruolo è lo stesso, ma il nome è cambiato.
- Ruolo Proprietario nell'intera sottoscrizione di Azure. Il proprietario dei dati di Gemelli digitali di Azure è un ruolo all'interno di Gemelli digitali di Azure e ha come ambito questa singola istanza di Gemelli digitali di Azure.
- Ruolo proprietario in Gemelli digitali di Azure. Si tratta di due ruoli di gestione distinti di Gemelli digitali di Azure e il proprietario dei dati di Gemelli digitali di Azure è il ruolo che deve essere usato per la gestione.
Controllare l'installazione corrente
Un modo per verificare che l'assegnazione di ruolo sia stata configurata correttamente consiste nel visualizzare le assegnazioni di ruolo per l'istanza di Gemelli digitali di Azure nel portale di Azure. Passare all'istanza di Gemelli digitali di Azure nel portale di Azure. Per arrivarci, è possibile cercarlo nella pagina delle istanze di Gemelli digitali di Azure o cercarne il nome nella barra di ricerca del portale.
Visualizzare quindi tutti i ruoli assegnati in Assegnazioni di ruolo di controllo di accesso (IAM>). L'assegnazione di ruolo dovrebbe essere visualizzata nell'elenco.
Risolvere i problemi
Se non si ha questa assegnazione di ruolo, un utente con un ruolo Proprietario nella sottoscrizione di Azure deve eseguire il comando seguente per assegnare all'utente di Azure il ruolo Proprietario dati di Gemelli digitali di Azure nell'istanza di Gemelli digitali di Azure.
Se si è proprietari della sottoscrizione, è possibile eseguire manualmente questo comando. In caso contrario, contattare un proprietario per eseguire questo comando per conto dell'utente.
az dt role-assignment create --dt-name <your-Azure-Digital-Twins-instance> --assignee "<your-Azure-AD-email>" --role "Azure Digital Twins Data Owner"
Per altre informazioni su questo requisito di ruolo e sul processo di assegnazione, vedere Configurare le autorizzazioni di accesso dell'utente.
Se si dispone già di questa assegnazione di ruolo e si usa una registrazione dell'app Microsoft Entra per autenticare un'app client, è possibile continuare con la soluzione successiva se questa soluzione non ha risolto il problema 403.
Soluzione n. 2
Se si usa una registrazione dell'app Microsoft Entra per autenticare un'app client, la seconda possibile soluzione consiste nel verificare che la registrazione dell'app disponga delle autorizzazioni configurate per il servizio Gemelli digitali di Azure. Se non sono configurati, configurarli.
Controllare l'installazione corrente
Per verificare se le autorizzazioni sono state configurate correttamente, passare alla pagina di panoramica della registrazione dell'app Microsoft Entra nel portale di Azure. È possibile accedere a questa pagina manualmente cercando registrazioni di app nella barra di ricerca del portale.
Passare alla scheda Tutte le applicazioni per visualizzare tutte le registrazioni dell'app create nella sottoscrizione.
Verrà visualizzata la registrazione dell'app creata nell'elenco. Selezionarlo per aprire i relativi dettagli.
Verificare prima di tutto che le impostazioni delle autorizzazioni di Gemelli digitali di Azure siano state impostate correttamente nella registrazione: selezionare Manifesto dalla barra dei menu per visualizzare il codice manifesto della registrazione dell'app. Scorrere fino alla fine della finestra del codice e cercare questi campi sotto requiredResourceAccess. I valori devono corrispondere a quelli nello screenshot seguente:
Selezionare quindi Autorizzazioni API dalla barra dei menu per verificare che la registrazione dell'app contenga autorizzazioni di lettura/scrittura per Gemelli digitali di Azure. Verrà visualizzata una voce simile alla seguente:
Risolvere i problemi
Se uno di questi elementi viene visualizzato in modo diverso da quello descritto, seguire le istruzioni su come configurare la registrazione di un'app in Creare una registrazione dell'app con l'accesso a Gemelli digitali di Azure.
Passaggi successivi
Leggere i passaggi di configurazione per la creazione e l'autenticazione di una nuova istanza di Gemelli digitali di Azure:
Altre informazioni sulla sicurezza e sulle autorizzazioni per Gemelli digitali di Azure: