Solucionar problemas de solicitação de serviço com falha do Azure Digital Twins: Erro 403 (Proibido)

Este artigo descreve causas e etapas de resolução para receber um erro 403 de solicitações de serviço para Gêmeos Digitais do Azure. Essas informações são específicas do serviço Gêmeos Digitais do Azure.

Sintomas

Esse erro pode ocorrer em muitos tipos de solicitações de serviço que exigem autenticação com o Azure Digital Twins. O efeito é que a solicitação de API falha, retornando um status de erro de 403 (Forbidden).

Causas

Causa #1

Na maioria das vezes, receber esse erro no Azure Digital Twins indica que suas permissões de controle de acesso baseado em função do Azure (Azure RBAC) para o serviço não estão configuradas corretamente. Muitas ações para uma instância do Azure Digital Twins exigem que você tenha a função de Proprietário de Dados do Azure Digital Twins na instância que está tentando gerenciar.

Causa #2

Se você estiver usando um aplicativo cliente para se comunicar com o Azure Digital Twins que está autenticando com um registro de aplicativo, esse erro pode acontecer porque seu registro de aplicativo não tem permissões configuradas para o serviço Azure Digital Twins.

O registro do aplicativo deve ter permissões de acesso configuradas para as APIs do Azure Digital Twins. Em seguida, quando o aplicativo cliente for autenticado no registro do aplicativo, ele receberá as permissões que o registro do aplicativo configurou.

Soluções

Solução #1

A primeira solução é verificar se o usuário do Azure tem a função de Proprietário de Dados do Azure Digital Twins na instância que você está tentando gerenciar. Se você não tiver essa função, configure-a.

Este papel é diferente de...

• o nome anterior para esta função durante a pré-visualização, Azure Digital Twins Owner (Pré-visualização). Neste caso, a função é a mesma, mas o nome mudou.
• a função Proprietário em toda a assinatura do Azure. O Proprietário de Dados dos Gêmeos Digitais do Azure é uma função dentro dos Gêmeos Digitais do Azure e tem como escopo essa instância individual dos Gêmeos Digitais do Azure.
• a função Proprietário nos Gêmeos Digitais do Azure. Estas são duas funções de gestão distintas dos Gêmeos Digitais do Azure e o Proprietário de Dados dos Gêmeos Digitais do Azure é a função que deve ser usada para o gerenciamento.

Verifique a configuração atual

Uma maneira de verificar se você configurou com êxito a atribuição de função é exibir as atribuições de função para a instância dos Gêmeos Digitais do Azure no portal do Azure. Vá para sua instância do Azure Digital Twins no portal do Azure. Para chegar lá, você pode procurá-lo na página de instâncias do Azure Digital Twins ou pesquisar seu nome na barra de pesquisa do portal).

Em seguida, exiba todas as funções atribuídas em Atribuições de função de controle de acesso (IAM). > Sua atribuição de função deve aparecer na lista.

Corrigir problemas

Se você não tiver essa atribuição de função, alguém com uma função de Proprietário em sua assinatura do Azure deverá executar o seguinte comando para dar ao usuário do Azure a função de Proprietário de Dados dos Gêmeos Digitais do Azure na instância dos Gêmeos Digitais do Azure.

Se você for um Proprietário na assinatura, poderá executar esse comando sozinho. Se não estiver, contacte um Proprietário para executar este comando em seu nome.

az dt role-assignment create --dt-name <your-Azure-Digital-Twins-instance> --assignee "<your-Azure-AD-email>" --role "Azure Digital Twins Data Owner"

Para obter mais informações sobre esse requisito de função e o processo de atribuição, consulte Configurar as permissões de acesso do usuário.

Se você já tiver essa atribuição de função e estiver usando um registro de aplicativo Microsoft Entra para autenticar um aplicativo cliente, poderá continuar para a próxima solução se essa solução não resolver o problema 403.

Solução #2

Se você estiver usando um registro de aplicativo Microsoft Entra para autenticar um aplicativo cliente, a segunda solução possível é verificar se o registro do aplicativo tem permissões configuradas para o serviço Gêmeos Digitais do Azure. Se não estiverem configurados, configure-os.

Verifique a configuração atual

Para verificar se as permissões foram configuradas corretamente, navegue até a página de visão geral do registro do aplicativo Microsoft Entra no portal do Azure. Você mesmo pode acessar esta página pesquisando por registros de aplicativos na barra de pesquisa do portal.

Mude para o separador Todas as aplicações para ver todos os registos de aplicações que foram criados na sua subscrição.

Você deve ver o registro do aplicativo que você criou na lista. Selecione-o para abrir seus detalhes.

Primeiro, verifique se as configurações de permissões do Azure Digital Twins foram definidas corretamente no registro: Selecione Manifesto na barra de menus para exibir o código de manifesto do registro do aplicativo. Desloque-se para a parte inferior da janela de código e procure estes campos em requiredResourceAccess. Os valores devem corresponder aos da imagem abaixo:

Em seguida, selecione Permissões de API na barra de menus para verificar se esse registro de aplicativo contém permissões de Leitura/Gravação para Gêmeos Digitais do Azure. Você deve ver uma entrada como esta:

Corrigir problemas

Se qualquer um destes aspetos for diferente do descrito, siga as instruções sobre como configurar um registo de aplicação em Criar um registo de aplicação com acesso aos Gêmeos Digitais do Azure.

Próximos passos

Leia as etapas de configuração para criar e autenticar uma nova instância do Azure Digital Twins:

• Configurar uma instância e autenticação (CLI)

Leia mais sobre segurança e permissões nos Gêmeos Digitais do Azure:

• Segurança para soluções de Gêmeos Digitais do Azure