Problemen met azure Digital Twins-serviceaanvraag oplossen: fout 403 (verboden)
In dit artikel worden oorzaken en oplossingsstappen beschreven voor het ontvangen van een 403-fout van serviceaanvragen naar Azure Digital Twins. Deze informatie is specifiek voor de Azure Digital Twins-service.
Symptomen
Deze fout kan optreden bij veel soorten serviceaanvragen waarvoor verificatie met Azure Digital Twins is vereist. Het effect is dat de API-aanvraag mislukt en een foutstatus retourneert van 403 (Forbidden)
.
Oorzaken
Oorzaak 1
Meestal geeft het ontvangen van deze fout in Azure Digital Twins aan dat uw Azure RBAC-machtigingen (op rollen gebaseerd toegangsbeheer) voor de service niet juist zijn ingesteld. Voor veel acties voor een Azure Digital Twins-exemplaar moet u de rol Azure Digital Twins-gegevenseigenaar hebben voor het exemplaar dat u probeert te beheren.
Oorzaak 2
Als u een client-app gebruikt om te communiceren met Azure Digital Twins die wordt geverifieerd met een app-registratie, kan deze fout optreden omdat uw app-registratie geen machtigingen heeft ingesteld voor de Azure Digital Twins-service.
De app-registratie moet toegangsmachtigingen hebben geconfigureerd voor de Azure Digital Twins-API's. Wanneer uw client-app vervolgens wordt geverifieerd bij de app-registratie, krijgt deze de machtigingen die de app-registratie heeft geconfigureerd.
Oplossingen
Oplossing 1
De eerste oplossing is om te controleren of uw Azure-gebruiker de rol Azure Digital Twins-gegevenseigenaar heeft voor het exemplaar dat u probeert te beheren. Als u deze rol niet hebt, stelt u deze in.
Deze rol verschilt van...
- de voormalige naam voor deze rol tijdens de preview,Azure Digital Twins Owner (preview). In dit geval is de rol hetzelfde, maar de naam is gewijzigd.
- de rol Eigenaar voor het hele Azure-abonnement. Azure Digital Twins-gegevenseigenaar is een rol binnen Azure Digital Twins en is gericht op dit afzonderlijke Azure Digital Twins-exemplaar.
- de rol Eigenaar in Azure Digital Twins. Dit zijn twee verschillende Azure Digital Twins-beheerrollen en Azure Digital Twins-gegevenseigenaar is de rol die moet worden gebruikt voor beheer.
Huidige installatie controleren
Een manier om te controleren of u de roltoewijzing hebt ingesteld, is door de roltoewijzingen voor het Azure Digital Twins-exemplaar in Azure Portal weer te geven. Ga naar uw Azure Digital Twins-exemplaar in Azure Portal. U kunt deze opzoeken op de pagina van Azure Digital Twins-exemplaren of de naam ervan doorzoeken in de zoekbalk van de portal.
Bekijk vervolgens alle toegewezen rollen onder Roltoewijzingen voor Toegangsbeheer (IAM>). Uw roltoewijzing moet worden weergegeven in de lijst.
Problemen oplossen
Als u deze roltoewijzing niet hebt, moet iemand met een rol Eigenaar in uw Azure-abonnement de volgende opdracht uitvoeren om uw Azure-gebruiker de rol Azure Digital Twins-gegevenseigenaar te geven in het Azure Digital Twins-exemplaar.
Als u eigenaar van het abonnement bent, kunt u deze opdracht zelf uitvoeren. Als u dit niet doet, neemt u contact op met een eigenaar om deze opdracht namens u uit te voeren.
az dt role-assignment create --dt-name <your-Azure-Digital-Twins-instance> --assignee "<your-Azure-AD-email>" --role "Azure Digital Twins Data Owner"
Zie De toegangsmachtigingen van uw gebruiker instellen voor meer informatie over deze rolvereiste en het toewijzingsproces.
Als u deze roltoewijzing al hebt en u een Microsoft Entra-app-registratie gebruikt om een client-app te verifiëren, kunt u doorgaan naar de volgende oplossing als dit probleem met 403 niet is opgelost.
Oplossing 2
Als u een Microsoft Entra-app-registratie gebruikt om een client-app te verifiëren, is de tweede mogelijke oplossing om te controleren of de app-registratie machtigingen heeft die zijn geconfigureerd voor de Azure Digital Twins-service. Als deze niet zijn geconfigureerd, stelt u deze in.
Huidige installatie controleren
Als u wilt controleren of de machtigingen juist zijn geconfigureerd, gaat u naar de overzichtspagina van de Microsoft Entra-app-registratie in Azure Portal. U kunt deze pagina zelf openen door te zoeken naar app-registraties in de zoekbalk van de portal.
Ga naar het tabblad Alle toepassingen om alle app-registraties te zien die in uw abonnement zijn gemaakt.
U ziet nu de app-registratie die u in de lijst hebt gemaakt. Selecteer deze om de details ervan te openen.
Controleer eerst of de azure Digital Twins-machtigingeninstellingen juist zijn ingesteld voor de registratie: Selecteer Manifest in de menubalk om de manifestcode van de app-registratie weer te geven. Schuif naar de onderkant van het codevenster en zoek naar deze velden onder requiredResourceAccess
. De waarden moeten overeenkomen met de waarden in de onderstaande schermafbeelding:
Selecteer vervolgens API-machtigingen in de menubalk om te controleren of deze app-registratie lees-/schrijfmachtigingen voor Azure Digital Twins bevat. Als het goed is, ziet u een vermelding zoals deze:
Problemen oplossen
Als een van deze opties anders wordt weergegeven dan beschreven, volgt u de instructies voor het instellen van een app-registratie in Een app-registratie maken met Azure Digital Twins-toegang.
Volgende stappen
Lees de installatiestappen voor het maken en verifiëren van een nieuw Azure Digital Twins-exemplaar:
Meer informatie over beveiliging en machtigingen voor Azure Digital Twins: