Sdílet prostřednictvím

Řešení potíží s neúspěšnou žádostí o službu Azure Digital Twins: Chyba 403 (Zakázáno)

  • Článek

Tento článek popisuje příčiny a kroky řešení pro příjem chyby 403 z požadavků na službu Azure Digital Twins. Tyto informace jsou specifické pro službu Azure Digital Twins.

Příznaky

K této chybě může dojít u mnoha typů žádostí o služby, které vyžadují ověřování pomocí služby Azure Digital Twins. Výsledkem je, že požadavek rozhraní API selže a vrací chybový stav 403 (Forbidden).

Příčiny

Příčina č. 1

Nejčastější příčinou této chyby ve službě Azure Digital Twins je, že vaše oprávnění řízení přístupu na základě role v Azure (Azure RBAC) pro službu nejsou správně nastavená. Řada akcí pro instanci Azure Digital Twins vyžaduje, abyste měli roli Vlastník dat Služby Azure Digital Twins v instanci, kterou se pokoušíte spravovat.

Příčina č. 2

Pokud ke komunikaci s Azure Digital Twins používáte klientskou aplikaci, která se ověřuje registrací aplikace, může k této chybě dojít, protože registrace aplikace nemá nastavená oprávnění pro službu Azure Digital Twins.

Registrace aplikace musí mít nakonfigurovaná přístupová oprávnění pro rozhraní API služby Azure Digital Twins. Když se pak vaše klientská aplikace ověří v registraci aplikace, udělí se jí oprávnění, která registrace aplikace nakonfigurovala.

Řešení

Řešení č. 1

Prvním řešením je ověřit, že váš uživatel Azure má roli Vlastník dat Služby Azure Digital Twins v instanci, kterou se pokoušíte spravovat. Pokud tuto roli nemáte, nastavte ji.

Tato role se liší od...

  • původní název této role ve verzi Preview, vlastník služby Azure Digital Twins (Preview). V tomto případě je role stejná, ale název se změnil.
  • role Vlastník v celém předplatném Azure. Vlastník dat Azure Digital Twins je role v rámci služby Azure Digital Twins a je vymezená na tuto individuální instanci Služby Azure Digital Twins.
  • role Vlastník ve službě Azure Digital Twins. Jedná se o dvě odlišné role správy služby Azure Digital Twins a vlastník dat Služby Azure Digital Twins je role, kterou byste měli použít ke správě.

Kontrola aktuálního nastavení

Jedním ze způsobů, jak zkontrolovat, jestli jste přiřazení role úspěšně nastavili, je zobrazit přiřazení rolí pro instanci služby Azure Digital Twins na webu Azure Portal. Na webu Azure Portal přejděte k vaší instanci Služby Azure Digital Twins. Abyste se tam dostali, můžete ho vyhledat na stránce instancí služby Azure Digital Twins nebo vyhledat jeho název na panelu hledání na portálu.

Pak si prohlédněte všechny jeho přiřazené role v části Přiřazení rolí řízení přístupu (IAM>). Vaše přiřazení role by se mělo zobrazit v seznamu.

Snímek obrazovky s přiřazeními rolí pro instanci služby Azure Digital Twins na webu Azure Portal

Řešení problémů

Pokud toto přiřazení role nemáte, měl by někdo s rolí vlastníka ve vašem předplatném Azure spustit následující příkaz, kterým uživateli Azure udělíte roli Vlastník dat Azure Digital Twins v instanci Azure Digital Twins.

Pokud jste vlastníkem předplatného, můžete tento příkaz spustit sami. Pokud nejste, obraťte se na vlastníka a spusťte tento příkaz vaším jménem.

az dt role-assignment create --dt-name <your-Azure-Digital-Twins-instance> --assignee "<your-Azure-AD-email>" --role "Azure Digital Twins Data Owner"

Další informace o tomto požadavku na roli a procesu přiřazení najdete v tématu Nastavení přístupových oprávnění uživatele.

Pokud už toto přiřazení role máte a k ověření klientské aplikace používáte registraci aplikace Microsoft Entra, můžete pokračovat k dalšímu řešení, pokud toto řešení problém 403 nevyřeší.

Řešení č. 2

Pokud k ověření klientské aplikace používáte registraci aplikace Microsoft Entra, druhým možným řešením je ověřit, že registrace aplikace má nakonfigurovaná oprávnění pro službu Azure Digital Twins. Pokud nejsou nakonfigurované, nastavte je.

Kontrola aktuálního nastavení

Pokud chcete zkontrolovat, jestli jsou oprávnění správně nakonfigurovaná, přejděte na stránku Přehled registrace aplikace Microsoft Entra na webu Azure Portal. Na tuto stránku se můžete dostat sami tak, že na panelu hledání portálu vyhledáte registrace aplikací.

Přepněte na kartu Všechny aplikace , abyste viděli všechny registrace aplikací, které byly vytvořeny ve vašem předplatném.

V seznamu by se měla zobrazit registrace aplikace, kterou jste vytvořili. Vyberte ho, aby se otevřely jeho podrobnosti.

Snímek obrazovky se stránkou registrace aplikací na webu Azure Portal

Nejprve ověřte, že nastavení oprávnění Služby Azure Digital Twins bylo správně nastaveno v registraci: Výběrem manifestu na řádku nabídek zobrazte kód manifestu registrace aplikace. Posuňte se do dolní části okna kódu a vyhledejte tato pole v části requiredResourceAccess. Hodnoty by se měly shodovat s hodnotami na následujícím snímku obrazovky:

Snímek obrazovky manifestu pro registraci aplikace Microsoft Entra na webu Azure Portal

Dále na řádku nabídek vyberte oprávnění rozhraní API a ověřte, že tato registrace aplikace obsahuje oprávnění ke čtení a zápisu pro Azure Digital Twins. Měla by se zobrazit nějaká položka podobná této:

Snímek obrazovky s oprávněními rozhraní API pro registraci aplikace Microsoft Entra na webu Azure Portal zobrazující přístup pro čtení a zápis pro Azure Digital Twins

Řešení problémů

Pokud se některá z těchto možností zobrazuje jinak, než je popsáno, postupujte podle pokynů k nastavení registrace aplikace v části Vytvoření registrace aplikace s přístupem ke službě Azure Digital Twins.

Další kroky

Přečtěte si postup nastavení pro vytvoření a ověření nové instance Služby Azure Digital Twins:

Přečtěte si další informace o zabezpečení a oprávněních ve službě Azure Digital Twins: