Delen via

Problemen met azure Digital Twins-serviceaanvraag oplossen: fout 403 (verboden)

  • Artikel

In dit artikel worden oorzaken en oplossingsstappen beschreven voor het ontvangen van een 403-fout van serviceaanvragen naar Azure Digital Twins. Deze informatie is specifiek voor de Azure Digital Twins-service.

Symptomen

Deze fout kan optreden bij veel soorten serviceaanvragen waarvoor verificatie met Azure Digital Twins is vereist. Het effect is dat de API-aanvraag mislukt en een foutstatus retourneert van 403 (Forbidden).

Oorzaken

Oorzaak 1

Meestal geeft het ontvangen van deze fout in Azure Digital Twins aan dat uw Azure RBAC-machtigingen (op rollen gebaseerd toegangsbeheer) voor de service niet juist zijn ingesteld. Voor veel acties voor een Azure Digital Twins-exemplaar moet u de rol Azure Digital Twins-gegevenseigenaar hebben voor het exemplaar dat u probeert te beheren.

Oorzaak 2

Als u communiceert met Azure Digital Twins via een client-app die wordt geverifieerd met een app-registratie, kan deze fout optreden omdat uw app-registratie geen machtigingen heeft die zijn ingesteld voor de Azure Digital Twins-service.

De app-registratie moet toegangsmachtigingen hebben geconfigureerd voor de Azure Digital Twins-API's. Wanneer uw client-app vervolgens wordt geverifieerd bij de app-registratie, krijgt deze de machtigingen die de app-registratie heeft geconfigureerd.

Oplossingen

Oplossing 1

De eerste oplossing is om te controleren of uw Azure-gebruiker de rol Azure Digital Twins-gegevenseigenaar heeft voor het exemplaar dat u probeert te beheren. Als u deze rol niet hebt, stelt u deze in.

Deze rol verschilt van...

  • de voormalige naam voor deze rol tijdens de preview,Azure Digital Twins Owner (preview). In dit geval is de rol hetzelfde, maar de naam is gewijzigd.
  • de rol Eigenaar voor het hele Azure-abonnement. Azure Digital Twins-gegevenseigenaar is een rol binnen Azure Digital Twins en is gericht op dit afzonderlijke Azure Digital Twins-exemplaar.
  • de rol Eigenaar in Azure Digital Twins. Dit zijn twee verschillende Azure Digital Twins-beheerrollen en Azure Digital Twins-gegevenseigenaar is de rol die moet worden gebruikt voor beheer.

Huidige installatie controleren

Een manier om te controleren of u de roltoewijzing hebt ingesteld, is door de roltoewijzingen voor het Azure Digital Twins-exemplaar in Azure Portal weer te geven.

Ga naar uw Azure Digital Twins-exemplaar in Azure Portal. Hiertoe kunt u deze opzoeken op de pagina van Azure Digital Twins-exemplaren of de naam ervan doorzoeken in de zoekbalk van de portal.

Bekijk vervolgens alle toegewezen rollen onder Roltoewijzingen voor Toegangsbeheer (IAM>). Uw roltoewijzing moet worden weergegeven in de lijst.

Schermopname van de roltoewijzingen voor een Azure Digital Twins-exemplaar in Azure Portal.

Problemen oplossen

Als u deze roltoewijzing niet hebt, moet iemand met een rol Eigenaar in uw Azure-abonnement de volgende opdracht uitvoeren om uw Azure-gebruiker de rol Azure Digital Twins-gegevenseigenaar te geven in het Azure Digital Twins-exemplaar.

Als u eigenaar van het abonnement bent, kunt u deze opdracht zelf uitvoeren. Als u dit niet doet, neemt u contact op met een eigenaar om deze opdracht namens u uit te voeren.

az dt role-assignment create --dt-name <your-Azure-Digital-Twins-instance> --assignee "<your-Azure-AD-email>" --role "Azure Digital Twins Data Owner"

Zie De toegangsmachtigingen van uw gebruiker instellen voor meer informatie over deze rolvereiste en het toewijzingsproces.

Als u deze roltoewijzing al hebt en u een Microsoft Entra-app-registratie gebruikt om een client-app te verifiëren, kunt u doorgaan naar de volgende oplossing als dit probleem met 403 niet is opgelost.

Oplossing 2

Als u een Microsoft Entra-app-registratie gebruikt om een client-app te verifiëren, is de tweede mogelijke oplossing om te controleren of de app-registratie machtigingen heeft die zijn geconfigureerd voor de Azure Digital Twins-service. Als deze niet zijn geconfigureerd, stelt u deze in.

Huidige installatie controleren

Als u wilt controleren of de machtigingen juist zijn geconfigureerd, gaat u naar de overzichtspagina van de Microsoft Entra-app-registratie in Azure Portal. U kunt deze pagina zelf openen door te zoeken naar app-registraties in de zoekbalk van de portal.

Ga naar het tabblad Alle toepassingen om alle app-registraties te zien die in uw abonnement zijn gemaakt.

U ziet nu de app-registratie die u in de lijst hebt gemaakt. Selecteer deze om de details ervan te openen.

Schermopname van de pagina app-registraties in Azure Portal.

Controleer eerst of de azure Digital Twins-machtigingeninstellingen juist zijn ingesteld voor de registratie: Selecteer Manifest in de menubalk om de manifestcode van de app-registratie weer te geven. Schuif naar de onderkant van het codevenster en zoek naar deze velden onder requiredResourceAccess. De waarden moeten overeenkomen met de waarden in de onderstaande schermopname (deze vertegenwoordigen de resource-id voor het Azure Digital Twins-service-eindpunt en de machtigings-id voor de gedelegeerde machtiging Read.Write in Azure Digital Twins).

Schermopname van het manifest voor de registratie van de Microsoft Entra-app in Azure Portal.

Selecteer vervolgens API-machtigingen in de menubalk om te controleren of deze app-registratie lees-/schrijfmachtigingen voor Azure Digital Twins bevat. Als het goed is, ziet u een vermelding zoals deze:

Schermopname van de API-machtigingen voor de registratie van de Microsoft Entra-app in Azure Portal, met lees-/schrijftoegang voor Azure Digital Twins.

Problemen oplossen

Als een van deze opties anders wordt weergegeven dan beschreven, volgt u de instructies voor het instellen van een app-registratie in Een app-registratie maken met Azure Digital Twins-toegang.

Volgende stappen

Lees de installatiestappen voor het maken en verifiëren van een nieuw Azure Digital Twins-exemplaar:

Meer informatie over beveiliging en machtigingen voor Azure Digital Twins: