azure - Azure Maps 403“权限、容量或身份验证问题”。

Question

我正在尝试使用 OAuth 访问令牌调用 Azure Maps，但它向我抛出了 403 Forbidden 消息“权限、容量或身份验证问题。”。我已遵循此处提到的程序：https ://docs.microsoft.com/en-us/azure/azure-maps/azure-maps-authentication

• 在 AD 中创建应用注册，生成秘密
• 向 Azure Maps 添加了 API 权限
• 在 Azure Maps > IAM > 将应用程序添加为 Map Data Reader
• 从https://login.microsoftonline.com/ /oauth2/token 获取访问令牌，资源 = https://atlas.microsoft.com/
• 使用 x-ms-client-id 和 Authorization=Bearer调用https://atlas.microsoft.com/route/directions/json?api-version=1.0&query=52.50931,13.42936:52.50274,13.43872

同样的程序适用于我的个人免费订阅，但不适用于我公司的订阅。不知道怎么调试。

Answer 1

有关Azure RBAC 工作原理的参考。

• 确保您没有可能从特定角色的管理组强制执行的拒绝分配。

• 确保将角色分配应用于正确的范围。在 Azure Maps 帐户或帐户的父级（例如资源组或订阅）的范围内的含义。

• 如果您已将安全主体分配给正确的范围，但仍收到 403。这通常意味着您已分配或使用错误的安全主体进行身份验证。

示例：应用注册的“仅限应用”令牌需要在范围内分配服务主体应用。

• 如果您作为用户身份验证为应用程序注册的用户，这意味着应该将用户安全主体分配给范围；不是应用程序。

• 如果您使用的是 Azure AD 组，则可能意味着安全主体可能不是分配访问权限的组的一部分。

不过，我认为将服务主体添加到安全组并不常见。但这是一种应该被证实的可能性。在传播权限之前也有可能延迟，但这通常不会超过几分钟。

只是为了彻底，但可能不适用于这里。某些 REST API 需要在帐户上选择 S1 sku。这将导致相同的错误响应。

Answer 2

我们向微软提出了罚单，他们告诉我们这是由以下原因引起的：

关于全球 RBAC 配置的更长同步时间