Ověřování Microsoft Entra pro Application Insights

Aplikační Přehledy teď podporuje ověřování Microsoft Entra. Pomocí ID Microsoft Entra můžete zajistit, aby se ve vaší aplikaci Přehledy prostředky ingestovala pouze ověřená telemetrie.

Používání různých ověřovacích systémů může být těžkopádné a rizikové, protože je obtížné spravovat přihlašovací údaje ve velkém měřítku. Teď se můžete rozhodnout odhlásit místní ověřování , abyste zajistili, že se ve vašem prostředku ingestují jenom telemetrie výhradně ověřená pomocí spravovaných identit a ID Microsoft Entra . Tato funkce je krokem k vylepšení zabezpečení a spolehlivosti telemetrie používané k provádění důležitých provozních (upozorňování a automatického škálování) a obchodních rozhodnutí.

Požadavky

K povolení příjmu dat ověřených microsoftem Entra jsou potřeba následující předběžné kroky. Budete muset:

• Buďte ve veřejném cloudu.
• Seznamte se s těmito informacemi:
  • Spravovaná identita
  • Instanční objekt.
  • Přiřazení rolí Azure
• Udělení přístupu pomocí předdefinovaných rolí Azure vyžaduje, aby skupina prostředků měla roli Vlastník.
• Seznamte se s nepodporovanými scénáři.

Nepodporované scénáře

Následující sady SDK (Software Development Kit) a funkce nejsou podporovány pro použití s příjmem dat ověřeným Microsoft Entra:

• Application Přehledy Java 2.x SDK.
  Ověřování Microsoft Entra je k dispozici pouze pro agenta Java Přehledy aplikace větší nebo rovno 3.2.0.
• Application Přehledy JavaScript Web SDK.
• Sada Application Přehledy OpenCensus Python SDK s Pythonem verze 3.4 a 3.5.
• Automatické nebo bezkódové monitorování (pro jazyky) pro službu Aplikace Azure Service, Azure Virtual Machines nebo Azure Virtual Machine Scale Sets a Azure Functions ve výchozím nastavení
• Profiler.

Konfigurace a povolení ověřování založeného na ID microsoftu Entra

1. Pokud ještě identitu nemáte, vytvořte ji pomocí spravované identity nebo instančního objektu.

   • Doporučujeme použít spravovanou identitu:

     Nastavte spravovanou identitu pro vaši službu Azure (Virtual Machines nebo App Service).

   • Nedoporučujeme používat instanční objekt:

     Další informace o tom, jak vytvořit aplikaci Microsoft Entra a instanční objekt, který má přístup k prostředkům, naleznete v tématu Vytvoření instančního objektu.

2. Přiřaďte požadovanou roli řízení přístupu na základě role (RBAC) k identitě Azure, instančnímu objektu nebo uživatelskému účtu Azure.

   Postupujte podle kroků v části Přiřazení rolí Azure a přidejte roli Vydavatele metrik monitorování k očekávané identitě, instančnímu objektu nebo uživatelskému účtu Azure nastavením cílového prostředku Přehledy aplikace jako oboru role.

   Poznámka:

   I když role Vydavatel metrik monitorování říká "metriky", publikuje veškerou telemetrii do prostředku Přehledy aplikace.

3. Postupujte podle pokynů ke konfiguraci v souladu s následujícím jazykem.

.NET

Poznámka:

Podpora id Microsoft Entra v sadě Application Přehledy .NET SDK je součástí verze 2.18-Beta3.

Sada Application Přehledy .NET SDK podporuje třídy přihlašovacích údajů poskytované službou Azure Identity.

• DefaultAzureCredential Doporučujeme pro místní vývoj.
• Ujistěte se, že jste v sadě Visual Studio ověřeni pomocí očekávaného uživatelského účtu Azure. Další informace najdete v tématu Ověřování prostřednictvím sady Visual Studio.
• Doporučujeme ManagedIdentityCredential pro spravované identity přiřazené systémem a přiřazené uživatelem.
  • Pro přiřazení systému použijte výchozí konstruktor bez parametrů.
  • Pro uživatelem přiřazené zadejte ID klienta konstruktoru.

Následující příklad ukazuje, jak ručně vytvořit a nakonfigurovat TelemetryConfiguration pomocí .NET:

TelemetryConfiguration.Active.ConnectionString = "InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/";
var credential = new DefaultAzureCredential();
TelemetryConfiguration.Active.SetAzureTokenCredential(credential);

Následující příklad ukazuje, jak nakonfigurovat TelemetryConfiguration pomocí .NET Core:

services.Configure<TelemetryConfiguration>(config =>
{
       var credential = new DefaultAzureCredential();
       config.SetAzureTokenCredential(credential);
});
services.AddApplicationInsightsTelemetry(new ApplicationInsightsServiceOptions
{
    ConnectionString = "InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/"
});

Node.js

Poznámka:

Podpora id Microsoft Entra v Přehledy Node.JS aplikace je součástí verze 2.1.0-beta.1.

Aplikační Přehledy Node.JS podporuje třídy přihlašovacích údajů poskytované službou Azure Identity.

DefaultAzureCredential

import appInsights from "applicationinsights";
import { DefaultAzureCredential } from "@azure/identity"; 
 
const credential = new DefaultAzureCredential();
appInsights.setup("InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/").start();
appInsights.defaultClient.config.aadTokenCredential = credential;

Java

Poznámka:

Podpora id Microsoft Entra v agentu Aplikace Přehledy Javě je součástí javy 3.2.0-BETA.

1. Nakonfigurujte aplikaci pomocí agenta Javy.

   Důležité

   Při konfiguraci aplikace s agentem Java použijte úplný připojovací řetězec, který zahrnujeIngestionEndpoint. Například použijte InstrumentationKey=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX;IngestionEndpoint=https://XXXX.applicationinsights.azure.com/.

2. Přidejte konfiguraci JSON do konfiguračního souboru aplikace Přehledy.json v závislosti na používaném ověřování. Doporučujeme používat spravované identity.

Poznámka:

Další informace o migraci ze 2.X sady SDK na agenta 3.X Java naleznete v tématu Upgrade z aplikace Přehledy Java 2.x SDK.

Spravovaná identita přiřazená systémem

Následující příklad ukazuje, jak nakonfigurovat agenta Javy tak, aby pro ověřování pomocí ID Microsoft Entra používal spravovanou identitu přiřazenou systémem.

{ 
  "connectionString": "App Insights Connection String with IngestionEndpoint", 
  "authentication": { 
    "enabled": true, 
    "type": "SAMI" 
  } 
} 

Spravovaná identita přiřazená uživatelem

Následující příklad ukazuje, jak nakonfigurovat agenta Javy tak, aby pro ověřování s ID Microsoft Entra používal spravovanou identitu přiřazenou uživatelem.

{ 
  "connectionString": "App Insights Connection String with IngestionEndpoint", 
  "authentication": { 
    "enabled": true, 
    "type": "UAMI", 
    "clientId":"<USER-ASSIGNED MANAGED IDENTITY CLIENT ID>" 
  } 
} 

Konfigurace proměnné prostředí

APPLICATIONINSIGHTS_AUTHENTICATION_STRING Proměnná prostředí umožňuje aplikaci Přehledy ověření v ID Microsoft Entra a odesílání telemetrie.

• Pro identitu přiřazenou systémem:

Nastavení aplikace	Hodnota
APPLICATIONINSIGHTS_AUTHENTICATION_STRING	Authorization=AAD

• Pro identitu přiřazenou uživatelem:

Nastavení aplikace	Hodnota
APPLICATIONINSIGHTS_AUTHENTICATION_STRING	Authorization=AAD;ClientId={Client id of the User-Assigned Identity}

Nastavte proměnnou APPLICATIONINSIGHTS_AUTHENTICATION_STRING prostředí pomocí tohoto řetězce.

V systémech Unix/Linux:

export APPLICATIONINSIGHTS_AUTHENTICATION_STRING="Authorization=AAD"

Ve Windows:

set APPLICATIONINSIGHTS_AUTHENTICATION_STRING="Authorization=AAD"

Po nastavení restartujte aplikaci. Teď odesílá telemetrii do aplikace Přehledy pomocí ověřování Microsoft Entra.

Python

Poznámka:

Ověřování Microsoft Entra je k dispozici pouze pro Python verze 2.7, v3.6 a v3.7. Podpora id Microsoft Entra v sadě Application Přehledy OpenCensus Python SDK je součástí beta verze opencensus-ext-azure 1.1b0.

Poznámka:

Sada OpenCensus Python SDK je zastaralá, ale Microsoft ji podporuje až do vyřazení ze 30. září 2024. Teď doporučujeme nabídku Pythonu založenou na OpenTelemetry a poskytnout pokyny k migraci.

Vytvořte příslušné přihlašovací údaje a předejte je do konstruktoru vývozce služby Azure Monitor. Ujistěte se, že je váš připojovací řetězec nastavený pomocí instrumentačního klíče a koncového bodu příjmu dat vašeho prostředku.

Exportéři OpenCensus služby Azure Monitor podporují tyto typy ověřování. Doporučujeme používat spravované identity v produkčních prostředích.

Spravovaná identita přiřazená systémem

from azure.identity import ManagedIdentityCredential

from opencensus.ext.azure.trace_exporter import AzureExporter
from opencensus.trace.samplers import ProbabilitySampler
from opencensus.trace.tracer import Tracer

credential = ManagedIdentityCredential()
tracer = Tracer(
    exporter=AzureExporter(credential=credential, connection_string="InstrumentationKey=<your-instrumentation-key>;IngestionEndpoint=<your-ingestion-endpoint>"),
    sampler=ProbabilitySampler(1.0)
)
...

Spravovaná identita přiřazená uživatelem

from azure.identity import ManagedIdentityCredential

from opencensus.ext.azure.trace_exporter import AzureExporter
from opencensus.trace.samplers import ProbabilitySampler
from opencensus.trace.tracer import Tracer

credential = ManagedIdentityCredential(client_id="<client-id>")
tracer = Tracer(
    exporter=AzureExporter(credential=credential, connection_string="InstrumentationKey=<your-instrumentation-key>;IngestionEndpoint=<your-ingestion-endpoint>"),
    sampler=ProbabilitySampler(1.0)
)
...

Dotazování Přehledy aplikace pomocí ověřování Microsoft Entra

Žádost o dotaz můžete odeslat pomocí koncového bodu https://api.applicationinsights.ioPřehledy aplikace Azure Monitor . Pokud chcete získat přístup ke koncovému bodu, musíte se ověřit prostřednictvím ID Microsoft Entra.

Nastavení ověřování

Pro přístup k rozhraní API zaregistrujete klientskou aplikaci s ID Microsoft Entra a požádáte o token.

1. Zaregistrujte aplikaci v Microsoft Entra ID.

2. Na stránce přehledu aplikace vyberte oprávnění rozhraní API.

3. Vyberte Přidat oprávnění.

4. Na rozhraníCH API používá moje organizace kartu, vyhledejte Přehledy aplikace a ze seznamu vyberte Rozhraní API Přehledy aplikace.

5. Vyberte Delegovaná oprávnění.

6. Zaškrtněte políčko Data.Read .

7. Vyberte Přidat oprávnění.

Teď, když je vaše aplikace zaregistrovaná a má oprávnění k používání rozhraní API, udělte aplikaci přístup k vašemu prostředku Přehledy aplikace.

1. Na stránce přehledu prostředků Přehledy aplikace vyberte Řízení přístupu (IAM).

2. Vyberte Přidat přiřazení role.

3. Vyberte roli Čtenář a pak vyberte Členové.

4. Na kartě Členové zvolte Vybrat členy.

5. Do pole Vybrat zadejte název aplikace.

6. Vyberte aplikaci a zvolte Vybrat.

7. Vyberte Zkontrolovat + přiřadit.

8. Po dokončení nastavení a oprávnění služby Active Directory požádejte o autorizační token.

Poznámka:

V tomto příkladu jsme použili roli Čtenář. Tato role je jednou z mnoha předdefinovanýchrolích Můžete vytvořit podrobnější role a oprávnění.

Vyžádání autorizačního tokenu

Než začnete, ujistěte se, že máte všechny hodnoty potřebné k úspěšnému provedení požadavku. Všechny požadavky vyžadují:

• ID vašeho tenanta Microsoft Entra.
• ID aplikace Přehledy – pokud aktuálně používáte klíče rozhraní API, je to stejné ID aplikace.
• ID klienta Microsoft Entra pro aplikaci.
• Tajný kód klienta Microsoft Entra pro aplikaci.

Rozhraní API pro Přehledy aplikací podporuje ověřování Microsoft Entra se třemi různými toky Microsoft Entra ID OAuth2:

• Přihlašovací údaje klienta
• Autorizační kód
• Implicitní

Tok přihlašovacích údajů klienta

V toku přihlašovacích údajů klienta se token používá s koncovým bodem Přehledy aplikace. Při registraci aplikace v Microsoft Entra ID se provede jedna žádost o přijetí tokenu pomocí přihlašovacích údajů zadaných pro vaši aplikaci v předchozím kroku.

https://api.applicationinsights.io Použijte koncový bod.

Adresa URL tokenu přihlašovacích údajů klienta (požadavek POST)

    POST /<your-tenant-id>/oauth2/token
    Host: https://login.microsoftonline.com
    Content-Type: application/x-www-form-urlencoded
    
    grant_type=client_credentials
    &client_id=<app-client-id>
    &resource=https://api.applicationinsights.io
    &client_secret=<app-client-secret>

Úspěšný požadavek obdrží přístupový token v odpovědi:

    {
        token_type": "Bearer",
        "expires_in": "86399",
        "ext_expires_in": "86399",
        "access_token": ""eyJ0eXAiOiJKV1QiLCJ.....Ax"
    }

Použijte token v požadavcích na koncový bod Přehledy aplikace:

    POST /v1/apps/yous_app_id/query?timespan=P1D
    Host: https://api.applicationinsights.io
    Content-Type: application/json
    Authorization: Bearer <your access token>

    Body:
    {
    "query": "requests | take 10"
    }

Příklad odpovědi:

  "tables": [
    {
      "name": "PrimaryResult",
      "columns": [
        {
          "name": "timestamp",
          "type": "datetime"
        },
        {
          "name": "id",
          "type": "string"
        },
        {
          "name": "source",
          "type": "string"
        },
        {
          "name": "name",
          "type": "string"
        },
        {
          "name": "url",
          "type": "string"
        },
        {
          "name": "success",
          "type": "string"
        },
        {
          "name": "resultCode",
          "type": "string"
        },
        {
          "name": "duration",
          "type": "real"
        },
        {
          "name": "performanceBucket",
          "type": "string"
        },
        {
          "name": "customDimensions",
          "type": "dynamic"
        },
        {
          "name": "customMeasurements",
          "type": "dynamic"
        },
        {
          "name": "operation_Name",
          "type": "string"
        },
        {
          "name": "operation_Id",
          "type": "string"
        },
        {
          "name": "operation_ParentId",
          "type": "string"
        },
        {
          "name": "operation_SyntheticSource",
          "type": "string"
        },
        {
          "name": "session_Id",
          "type": "string"
        },
        {
          "name": "user_Id",
          "type": "string"
        },
        {
          "name": "user_AuthenticatedId",
          "type": "string"
        },
        {
          "name": "user_AccountId",
          "type": "string"
        },
        {
          "name": "application_Version",
          "type": "string"
        },
        {
          "name": "client_Type",
          "type": "string"
        },
        {
          "name": "client_Model",
          "type": "string"
        },
        {
          "name": "client_OS",
          "type": "string"
        },
        {
          "name": "client_IP",
          "type": "string"
        },
        {
          "name": "client_City",
          "type": "string"
        },
        {
          "name": "client_StateOrProvince",
          "type": "string"
        },
        {
          "name": "client_CountryOrRegion",
          "type": "string"
        },
        {
          "name": "client_Browser",
          "type": "string"
        },
        {
          "name": "cloud_RoleName",
          "type": "string"
        },
        {
          "name": "cloud_RoleInstance",
          "type": "string"
        },
        {
          "name": "appId",
          "type": "string"
        },
        {
          "name": "appName",
          "type": "string"
        },
        {
          "name": "iKey",
          "type": "string"
        },
        {
          "name": "sdkVersion",
          "type": "string"
        },
        {
          "name": "itemId",
          "type": "string"
        },
        {
          "name": "itemType",
          "type": "string"
        },
        {
          "name": "itemCount",
          "type": "int"
        }
      ],
      "rows": [
        [
          "2018-02-01T17:33:09.788Z",
          "|0qRud6jz3k0=.c32c2659_",
          null,
          "GET Reports/Index",
          "http://fabrikamfiberapp.azurewebsites.net/Reports",
          "True",
          "200",
          "3.3833",
          "<250ms",
          "{\"_MS.ProcessedByMetricExtractors\":\"(Name:'Requests', Ver:'1.0')\"}",
          null,
          "GET Reports/Index",
          "0qRud6jz3k0=",
          "0qRud6jz3k0=",
          "Application Insights Availability Monitoring",
          "9fc6738d-7e26-44f0-b88e-6fae8ccb6b26",
          "us-va-ash-azr_9fc6738d-7e26-44f0-b88e-6fae8ccb6b26",
          null,
          null,
          "AutoGen_49c3aea0-4641-4675-93b5-55f7a62d22d3",
          "PC",
          null,
          null,
          "52.168.8.0",
          "Boydton",
          "Virginia",
          "United States",
          null,
          "fabrikamfiberapp",
          "RD00155D5053D1",
          "cf58dcfd-0683-487c-bc84-048789bca8e5",
          "fabrikamprod",
          "5a2e4e0c-e136-4a15-9824-90ba859b0a89",
          "web:2.5.0-33031",
          "051ad4ef-0776-11e8-ac6e-e30599af6943",
          "request",
          "1"
        ],
        [
          "2018-02-01T17:33:15.786Z",
          "|x/Ysh+M1TfU=.c32c265a_",
          null,
          "GET Home/Index",
          "http://fabrikamfiberapp.azurewebsites.net/",
          "True",
          "200",
          "716.2912",
          "500ms-1sec",
          "{\"_MS.ProcessedByMetricExtractors\":\"(Name:'Requests', Ver:'1.0')\"}",
          null,
          "GET Home/Index",
          "x/Ysh+M1TfU=",
          "x/Ysh+M1TfU=",
          "Application Insights Availability Monitoring",
          "58b15be6-d1e6-4d89-9919-52f63b840913",
          "emea-se-sto-edge_58b15be6-d1e6-4d89-9919-52f63b840913",
          null,
          null,
          "AutoGen_49c3aea0-4641-4675-93b5-55f7a62d22d3",
          "PC",
          null,
          null,
          "51.141.32.0",
          "Cardiff",
          "Cardiff",
          "United Kingdom",
          null,
          "fabrikamfiberapp",
          "RD00155D5053D1",
          "cf58dcfd-0683-487c-bc84-048789bca8e5",
          "fabrikamprod",
          "5a2e4e0c-e136-4a15-9824-90ba859b0a89",
          "web:2.5.0-33031",
          "051ad4f0-0776-11e8-ac6e-e30599af6943",
          "request",
          "1"
        ]
      ]
    }
  ]
}

Tok autorizačního kódu

Hlavní podporovaný tok OAuth2 je prostřednictvím autorizačních kódů. Tato metoda vyžaduje dva požadavky HTTP k získání tokenu, pomocí kterého se má volat rozhraní API služby Azure Monitor application Přehledy. Existují dvě adresy URL s jedním koncovým bodem na požadavek. Jejich formáty jsou popsány v následujících částech.

Adresa URL autorizačního kódu (požadavek GET)

    GET https://login.microsoftonline.com/YOUR_Azure AD_TENANT/oauth2/authorize?
    client_id=<app-client-id>
    &response_type=code
    &redirect_uri=<app-redirect-uri>
    &resource=https://api.applicationinsights.io

Když se na autorizovanou adresu URL vytvoří požadavek, client_id je ID aplikace z vaší aplikace Microsoft Entra zkopírované z nabídky vlastností aplikace. Redirect_uri je adresa URL domovské stránky nebo přihlášení ze stejné aplikace Microsoft Entra. Pokud je žádost úspěšná, tento koncový bod vás přesměruje na přihlašovací stránku, kterou jste zadali při registraci s autorizačním kódem připojeným k adrese URL. Prohlédněte si následující příklad:

    http://<app-client-id>/?code=AUTHORIZATION_CODE&session_state=STATE_GUID

V tomto okamžiku získáte autorizační kód, který teď použijete k vyžádání přístupového tokenu.

Adresa URL tokenu autorizačního kódu (požadavek POST)

    POST /YOUR_Azure AD_TENANT/oauth2/token HTTP/1.1
    Host: https://login.microsoftonline.com
    Content-Type: application/x-www-form-urlencoded
    
    grant_type=authorization_code
    &client_id=<app client id>
    &code=<auth code fom GET request>
    &redirect_uri=<app-client-id>
    &resource=https://api.applicationinsights.io
    &client_secret=<app-client-secret>

Všechny hodnoty jsou stejné jako předtím, s některými sčítáními. Autorizační kód je stejný kód, který jste obdrželi v předchozím požadavku po úspěšném přesměrování. Kód se zkombinuje s klíčem získaným z aplikace Microsoft Entra. Pokud jste klíč neuložili, můžete ho odstranit a vytvořit nový z karty kláves v nabídce aplikace Microsoft Entra. Odpověď je řetězec JSON, který obsahuje token s následujícím schématem. Pro hodnoty tokenu jsou uvedené typy.

Příklad odpovědi:

    {
        "access_token": "eyJ0eXAiOiJKV1QiLCJ.....Ax",
        "expires_in": "3600",
        "ext_expires_in": "1503641912",
        "id_token": "not_needed_for_app_insights",
        "not_before": "1503638012",
        "refresh_token": "eyJ0esdfiJKV1ljhgYF.....Az",
        "resource": "https://api.applicationinsights.io",
        "scope": "Data.Read",
        "token_type": "bearer"
    }

Část přístupového tokenu této odpovědi je to, co prezentujete v rozhraní API Přehledy aplikace v Authorization: Bearer hlavičce. Obnovovací token můžete použít také v budoucnu k získání nového access_token a refresh_token, když vaše zařízení přestane být zastaralé. Pro tento požadavek platí, že formát a koncový bod jsou:

    POST /YOUR_AAD_TENANT/oauth2/token HTTP/1.1
    Host: https://login.microsoftonline.com
    Content-Type: application/x-www-form-urlencoded
    
    client_id=<app-client-id>
    &refresh_token=<refresh-token>
    &grant_type=refresh_token
    &resource=https://api.applicationinsights.io
    &client_secret=<app-client-secret>

Příklad odpovědi:

    {
      "token_type": "Bearer",
      "expires_in": "3600",
      "expires_on": "1460404526",
      "resource": "https://api.applicationinsights.io",
      "access_token": "eyJ0eXAiOiJKV1QiLCJ.....Ax",
      "refresh_token": "eyJ0esdfiJKV1ljhgYF.....Az"
    }

Implicitní tok kódu

Rozhraní API Přehledy aplikace podporuje implicitní tok OAuth2. Pro tento tok se vyžaduje jenom jeden požadavek, ale není možné získat žádný obnovovací token.

Implicitní adresa URL autorizace kódu

    GET https://login.microsoftonline.com/YOUR_AAD_TENANT/oauth2/authorize?
    client_id=<app-client-id>
    &response_type=token
    &redirect_uri=<app-redirect-uri>
    &resource=https://api.applicationinsights.io

Úspěšný požadavek vytvoří přesměrování na identifikátor URI přesměrování s tokenem v adrese URL:

    http://YOUR_REDIRECT_URI/#access_token=YOUR_ACCESS_TOKEN&token_type=Bearer&expires_in=3600&session_state=STATE_GUID

Tato access_token slouží jako Authorization: Bearer hodnota hlavičky při předání do rozhraní API Přehledy aplikace k autorizaci požadavků.

Zakázání místního ověřování

Po povolení ověřování Microsoft Entra můžete zakázat místní ověřování. Tato konfigurace umožňuje ingestovat telemetrii ověřenou výhradně id Microsoft Entra a ovlivnit přístup k datům (například prostřednictvím klíčů rozhraní API).

Místní ověřování můžete zakázat pomocí webu Azure Portal nebo Azure Policy nebo prostřednictvím kódu programu.

portál Azure

1. V Přehledy prostředku aplikace vyberte v nabídce na levé straně příkaz Vlastnosti v části Konfigurovat. Pokud je místní ověřování povolené, vyberte Možnost Povoleno (kliknutím můžete změnit ).

   

2. Vyberte Zakázáno a použijte změny.

   

3. Po zakázání místního ověřování prostředku se v podokně Přehled zobrazí odpovídající informace.

   

Azure Policy

Azure Policy pro DisableLocalAuth odepření uživatelům možnost vytvořit nový prostředek aplikace Přehledy bez této vlastnosti nastavena na true. Název zásady je Application Insights components should block non-AAD auth ingestion.

Pokud chcete tuto definici zásad použít pro vaše předplatné, vytvořte nové přiřazení zásady a přiřaďte ji.

Následující příklad ukazuje definici šablony zásad:

{
    "properties": {
        "displayName": "Application Insights components should block non-AAD auth ingestion",
        "policyType": "BuiltIn",
        "mode": "Indexed",
        "description": "Improve Application Insights security by disabling log ingestion that are not AAD-based.",
        "metadata": {
            "version": "1.0.0",
            "category": "Monitoring"
        },
        "parameters": {
            "effect": {
                "type": "String",
                "metadata": {
                    "displayName": "Effect",
                    "description": "The effect determines what happens when the policy rule is evaluated to match"
                },
                "allowedValues": [
                    "audit",
                    "deny",
                    "disabled"
                ],
                "defaultValue": "audit"
            }
        },
        "policyRule": {
            "if": {
                "allOf": [
                    {
                        "field": "type",
                        "equals": "Microsoft.Insights/components"
                    },
                    {
                        "field": "Microsoft.Insights/components/DisableLocalAuth",
                        "notEquals": "true"                        
                    }
                ]
            },
            "then": {
                "effect": "[parameters('effect')]"
            }
        }
    }
}

Programové povolení

Tato vlastnost DisableLocalAuth slouží k zakázání místního ověřování v prostředku Přehledy aplikace. Pokud je tato vlastnost nastavena na true, vynucuje, že ověřování Microsoft Entra musí být použito pro veškerý přístup.

Následující příklad ukazuje šablonu Azure Resource Manageru, pomocí které můžete vytvořit aplikaci založenou na pracovním prostoru Přehledy prostředek se zakázanýmLocalAuth.

{
    "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "name": {
            "type": "string"
        },
        "type": {
            "type": "string"
        },
        "regionId": {
            "type": "string"
        },
        "tagsArray": {
            "type": "object"
        },
        "requestSource": {
            "type": "string"
        },
        "workspaceResourceId": {
            "type": "string"
        },
        "disableLocalAuth": {
            "type": "bool"
        }
     
    },
    "resources": [
        {
        "name": "[parameters('name')]",
        "type": "microsoft.insights/components",
        "location": "[parameters('regionId')]",
        "tags": "[parameters('tagsArray')]",
        "apiVersion": "2020-02-02-preview",
        "dependsOn": [],
        "properties": {
            "Application_Type": "[parameters('type')]",
            "Flow_Type": "Redfield",
            "Request_Source": "[parameters('requestSource')]",
            "WorkspaceResourceId": "[parameters('workspaceResourceId')]",
            "DisableLocalAuth": "[parameters('disableLocalAuth')]"
            }
    }
 ]
}

Cílová skupina tokenů

Při vývoji vlastního klienta pro získání přístupového tokenu z ID Microsoft Entra pro odesílání telemetrie do služby Application Přehledy najdete v následující tabulce a určete odpovídající řetězec cílové skupiny pro vaše konkrétní hostitelské prostředí.

Verze cloudu Azure	Hodnota cílové skupiny tokenů
Veřejný cloud Azure	https://monitor.azure.com
Microsoft Azure provozovaný cloudem 21Vianet	https://monitor.azure.cn
Cloud Azure US Government	https://monitor.azure.us

Pokud používáte suverénní cloudy, najdete informace o cílové skupině také v připojovací řetězec. Připojovací řetězec se řídí touto strukturou:

InstrumentationKey={profile. InstrumentationKey}; IngestionEndpoint={ingestionEndpoint}; LiveEndpoint={liveDiagnosticsEndpoint}; AADAudience={aadAudience}

Parametr cílové skupiny AADAudience se může lišit v závislosti na vašem konkrétním prostředí.

Řešení problému

Tato část obsahuje jedinečné scénáře řešení potíží a kroky, které můžete provést při řešení problému před vytvořením lístku podpory.

Chyby HTTP příjmu dat

Služba příjmu dat vrací konkrétní chyby bez ohledu na jazyk sady SDK. Síťový provoz je možné shromažďovat pomocí nástroje, jako je Fiddler. Přenosy do koncového bodu příjmu dat nastaveného v připojovací řetězec byste měli filtrovat.

Nepodporuje se ověřování HTTP/1.1 400

Tato chyba ukazuje, že je prostředek nastavený pouze pro Microsoft Entra. Sadu SDK je potřeba správně nakonfigurovat, protože se odesílá do nesprávného rozhraní API.

Poznámka:

"v2/track" nepodporuje ID Microsoft Entra. Když je sada SDK správně nakonfigurovaná, telemetrie se odešle na "v2.1/track".

Dále byste měli zkontrolovat konfiguraci sady SDK.

Vyžaduje se autorizace HTTP/1.1 401

Tato chyba značí, že sada SDK je správně nakonfigurovaná, ale nemůže získat platný token. Tato chyba může znamenat problém s ID Microsoft Entra.

Dále byste měli identifikovat výjimky v protokolech sady SDK nebo chybách sítě z identity Azure.

HTTP/1.1 403 Neautorizováno

Tato chyba znamená, že sada SDK používá přihlašovací údaje bez oprávnění k prostředku nebo předplatnému aplikace Přehledy.

Nejprve zkontrolujte řízení přístupu k prostředku Přehledy aplikace. Sadu SDK musíte nakonfigurovat pomocí přihlašovacích údajů, které mají roli vydavatele metrik monitorování.

Řešení potíží pro konkrétní jazyk

.NET

Zdroj událostí

Sada Application Přehledy .NET SDK generuje protokoly chyb pomocí zdroje událostí. Další informace o shromažďování protokolů zdroje událostí najdete v tématu Řešení potíží s žádnými daty – shromažďování protokolů pomocí nástroje PerfView.

Pokud se sadě SDK nepodaří získat token, zpráva o výjimce se zaprotokoluje jako Failed to get AAD Token. Error message:.

Node.js

Interní protokoly je možné zapnout pomocí následujícího nastavení. Po povolení se v konzole zobrazí protokoly chyb, včetně všech chyb souvisejících s integrací Microsoft Entra. Mezi příklady patří selhání vygenerování tokenu při zadání nesprávných přihlašovacích údajů nebo chyby, když se koncový bod příjmu dat nepodaří ověřit pomocí zadaných přihlašovacích údajů.

let appInsights = require("applicationinsights");
appInsights.setup("InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/").setInternalLogging(true, true);

Java

Provoz HTTP

Síťový provoz můžete zkontrolovat pomocí nástroje, jako je Fiddler. Pokud chcete povolit tunelování provozu přes Fiddler, přidejte do konfiguračního souboru následující nastavení proxy serveru:

"proxy": {
"host": "localhost",
"port": 8888
}

Nebo při spuštění aplikace přidejte následujícírgy prostředí Java Virtual Machine (JVM): -Djava.net.useSystemProxies=true -Dhttps.proxyHost=localhost -Dhttps.proxyPort=8888

Pokud je v agentu povolené ID Microsoft Entra, odchozí provoz zahrnuje hlavičku AuthorizationHTTP .

401 – Neautorizováno

Pokud se v protokolu zobrazí zpráva WARN c.m.a.TelemetryChannel - Failed to send telemetry with status code: 401, please check your credentials , znamená to, že agent nemohl odesílat telemetrii. Pravděpodobně jste v agentovi nepovolili ověřování Microsoft Entra, zatímco prostředek aplikace Přehledy obsahuje DisableLocalAuth: true. Ujistěte se, že předáváte platné přihlašovací údaje s oprávněním k přístupu k prostředku Přehledy aplikace.

Pokud používáte Fiddler, může se zobrazit hlavička HTTP/1.1 401 Unauthorized - please provide the valid authorization tokenodpovědi .

Výjimka při nedostupných přihlašovacích údajích

Pokud se v souboru protokolu zobrazí výjimka com.azure.identity.CredentialUnavailableException: ManagedIdentityCredential authentication unavailable. Connection to IMDS endpoint cannot be established , znamená to, že se agent nepodařilo získat přístupový token. Pravděpodobnou příčinou je neplatné ID klienta v konfiguraci spravované identity přiřazené uživatelem.

Odeslání telemetrie se nezdařilo.

Pokud se v protokolu zobrazí zpráva WARN c.m.a.TelemetryChannel - Failed to send telemetry with status code: 403, please check your credentials , znamená to, že agent nemohl odesílat telemetrii. Pravděpodobnou příčinou je, že použité přihlašovací údaje nepovolí příjem telemetrie.

Pomocí Fiddleru si můžete všimnout odpovědi HTTP/1.1 403 Forbidden - provided credentials do not grant the access to ingest the telemetry into the component.

Příčinou problému může být:

• Vytvoření prostředku se spravovanou identitou přiřazenou systémem nebo přidružením identity přiřazené uživatelem bez přidání role Vydavatele metrik monitorování
• Použití správných přihlašovacích údajů pro přístupové tokeny, ale jejich propojení s nesprávným prostředkem Přehledy aplikace. Ujistěte se, že váš prostředek (virtuální počítač nebo app service) nebo identita přiřazená uživatelem má ve vašem prostředku Přehledy prostředek monitorování metrik.

Neplatné ID klienta

Pokud výjimka v com.microsoft.aad.msal4j.MsalServiceException: Application with identifier <CLIENT_ID> was not found in the directory protokolu znamená, že agent se nepodařilo získat přístupový token. K této výjimce pravděpodobně dochází, protože ID klienta v konfiguraci tajného klíče klienta je neplatné nebo nesprávné.

K tomuto problému dochází v případě, že správce aplikaci nenainstaluje nebo k němu uživatel tenanta neschová souhlas. K tomu dochází také v případě, že odešlete žádost o ověření nesprávnému tenantovi.

Python

Chyba začíná chybou "chyba přihlašovacích údajů" (bez stavového kódu)

Něco není správné u přihlašovacích údajů, které používáte, a klient nemůže získat token pro autorizaci. Je to proto, že požadovaným datům chybí stav. Příklad by předával systém ManagedIdentityCredential , ale prostředek není nakonfigurovaný tak, aby používal identitu spravovanou systémem.

Chyba začíná chybou "Chyba ověřování" (bez stavových kódů)

Klientovi se nepodařilo ověřit se zadanými přihlašovacími údaji. K této chybě obvykle dochází v případě, že použité přihlašovací údaje nemají správná přiřazení rolí.

V protokolech chyb se zobrazuje stavový kód 400

Pravděpodobně chybí přihlašovací údaje nebo je vaše přihlašovací údaje nastavené na None, ale vaše aplikace Přehledy prostředek je nakonfigurovaný DisableLocalAuth: true. Ujistěte se, že předáváte platné přihlašovací údaje a že má oprávnění pro přístup k vašemu prostředku Přehledy aplikace.

V protokolech chyb se zobrazuje stavový kód 403

K této chybě obvykle dochází v případě, že zadané přihlašovací údaje neudělují přístup k ingestační telemetrii pro prostředek Přehledy aplikace. Ujistěte se, že prostředek aplikace Přehledy má správné přiřazení rolí.

Další kroky

• Monitorování telemetrických dat na portálu
• Diagnostika pomocí živého streamu metrik
• Dotazování Přehledy aplikace pomocí ověřování Microsoft Entra