Microsoft Entra-hitelesítés az Application Insightshoz

Az Application Insights mostantól támogatja a Microsoft Entra-hitelesítést. A Microsoft Entra ID használatával meggyőződhet arról, hogy csak a hitelesített telemetriai adatok kerülnek be az Application Insights-erőforrásokba.

A különböző hitelesítési rendszerek használata nehézkes és kockázatos lehet, mert a hitelesítő adatok nagy léptékben nehezen kezelhetők. Mostantól kikapcsolhatja a helyi hitelesítést, hogy csak felügyelt identitásokkal hitelesített telemetriai adatok legyenek hitelesítve, és a Microsoft Entra-azonosító be legyen osztva az erőforrásba. Ez a funkció a kritikus fontosságú üzemeltetési (riasztási és automatikus skálázási) és üzleti döntések meghozatalához használt telemetriai adatok biztonságának és megbízhatóságának fokozására szolgál.

Előfeltételek

A Microsoft Entra által hitelesített betöltés engedélyezéséhez az alábbi előzetes lépések szükségesek. A következőkre van szüksége:

• Legyen a nyilvános felhőben.
• Ismerkedjen meg a következőkkel:
  • Felügyelt identitás.
  • Szolgáltatásnév.
  • Azure-szerepkörök hozzárendelése.
• A hozzáférés azure-beli beépített szerepkörökkel való biztosításához tulajdonosi szerepkörrel kell rendelkeznie az erőforráscsoporthoz.
• Ismerje meg a nem támogatott forgatókönyveket.

Nem támogatott forgatókönyvek

Az alábbi szoftverfejlesztői készletek (SDK-k) és funkciók nem támogatottak a Microsoft Entra által hitelesített betöltéssel való használathoz:

• Application Insights Java 2.x SDK.
  A Microsoft Entra-hitelesítés csak a 3.2.0-s vagy annál nagyobb Application Insights Java-ügynökhöz érhető el.
• ApplicationInsights JavaScript webes SDK.
• Application Insights OpenCensus Python SDK a Python 3.4-es és 3.5-ös verziójával.
• AutoInstrumentation for Python on Azure-alkalmazás Service
• Profilkészítő.

A Microsoft Entra ID-alapú hitelesítés konfigurálása és engedélyezése

1. Ha még nem rendelkezik identitással, hozzon létre egyet felügyelt identitás vagy szolgáltatásnév használatával.

   • Felügyelt identitás használatát javasoljuk:

     Felügyelt identitás beállítása az Azure-szolgáltatáshoz (Virtuális gépek vagy App Service).

   • Nem javasoljuk a szolgáltatásnév használatát:

     Az erőforrásokhoz hozzáférő Microsoft Entra-alkalmazás és szolgáltatásnév létrehozásáról további információt a Szolgáltatásnév létrehozása című témakörben talál.

2. Rendelje hozzá a szükséges szerepköralapú hozzáférés-vezérlési (RBAC) szerepkört az Azure-identitáshoz, szolgáltatásnévhez vagy Azure-felhasználói fiókhoz.

   Az Azure-szerepkörök hozzárendelésének lépéseit követve adja hozzá a Monitorozási metrikák közzétevői szerepkört a várt identitáshoz, szolgáltatásnévhez vagy Azure-felhasználói fiókhoz a cél Application Insights-erőforrás szerepkör-hatókörként való beállításával.

   Feljegyzés

   Bár a Monitorozási metrikák közzétevője szerepkör "metrikák" szöveget tartalmaz, minden telemetriát közzé fog tenni az Application Insights-erőforrásban.

3. Kövesse a konfigurációs útmutatót az alábbi nyelvnek megfelelően.

.NET

Feljegyzés

A Microsoft Entra ID támogatása az Application Insights .NET SDK-ban a 2.18-beta3 verziótól kezdve érhető el.

Az Application Insights .NET SDK támogatja az Azure Identity által biztosított hitelesítő osztályokat.

• Helyi fejlesztéshez ajánljuk DefaultAzureCredential .
• Hitelesítés a Visual Studióban a várt Azure-felhasználói fiókkal. További információ: Hitelesítés a Visual Studióban.
• Rendszer által hozzárendelt és felhasználó által hozzárendelt felügyelt identitásokhoz javasoljuk ManagedIdentityCredential .
  • A rendszer által hozzárendelt alapértelmezett konstruktort használja paraméterek nélkül.
  • Felhasználó által hozzárendelt esetben adja meg az ügyfél-azonosítót a konstruktornak.

Az alábbi példa bemutatja, hogyan hozhat létre és konfigurálhat TelemetryConfiguration manuálisan a .NET használatával:

TelemetryConfiguration.Active.ConnectionString = "InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/";
var credential = new DefaultAzureCredential();
TelemetryConfiguration.Active.SetAzureTokenCredential(credential);

Az alábbi példa bemutatja, hogyan konfigurálható TelemetryConfiguration a .NET Core használatával:

services.Configure<TelemetryConfiguration>(config =>
{
    var credential = new DefaultAzureCredential();
    config.SetAzureTokenCredential(credential);
});
services.AddApplicationInsightsTelemetry(new ApplicationInsightsServiceOptions
{
    ConnectionString = "InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/"
});

Környezeti változó konfigurációja

A környezeti változóval hitelesítheti az APPLICATIONINSIGHTS_AUTHENTICATION_STRING Application Insightst a Microsoft Entra-azonosítón, és telemetriát küldhet a Azure-alkalmazás Services automatikus kialakításakor.

• Rendszer által hozzárendelt identitás esetén:

Alkalmazásbeállítás	Érték
APPLICATIONINSIGHTS_AUTHENTICATION_STRING	Authorization=AAD

• Felhasználó által hozzárendelt identitás esetén:

Alkalmazásbeállítás	Érték
APPLICATIONINSIGHTS_AUTHENTICATION_STRING	Authorization=AAD;ClientId={Client id of the User-Assigned Identity}

Node.js

Az Azure Monitor OpenTelemetry és az Application Insights Node.JS támogatja az Azure Identity által biztosított hitelesítő osztályokat.

• Helyi fejlesztéshez ajánljuk DefaultAzureCredential .
• Rendszer által hozzárendelt és felhasználó által hozzárendelt felügyelt identitásokhoz javasoljuk ManagedIdentityCredential .
  • A rendszer által hozzárendelt alapértelmezett konstruktort használja paraméterek nélkül.
  • Felhasználó által hozzárendelt esetben adja meg az ügyfél-azonosítót a konstruktornak.
• A szolgáltatásnevek használatát javasoljuk ClientSecretCredential .
  • Adja meg a bérlőazonosítót, az ügyfélazonosítót és az ügyfél titkos kódját a konstruktornak.

Ha a @azure/monitor-opentelemetry

const { useAzureMonitor, AzureMonitorOpenTelemetryOptions } = require("@azure/monitor-opentelemetry");
const { ManagedIdentityCredential } = require("@azure/identity");

const credential = new ManagedIdentityCredential();
const options: AzureMonitorOpenTelemetryOptions = {
    azureMonitorExporterOptions: {
        connectionString:
            process.env["APPLICATIONINSIGHTS_CONNECTION_STRING"] || "<your connection string>",
        credential: credential
    }
};
useAzureMonitor(options);

Feljegyzés

Az Application Insights Node.JS Microsoft Entra-azonosítójának támogatása a 2.1.0-béta.1-es verziótól kezdve érhető el.

Ha npm-csomagot használ applicationinsights .

const appInsights = require("applicationinsights");
const { DefaultAzureCredential } = require("@azure/identity");
 
const credential = new DefaultAzureCredential();
appInsights.setup("InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/").start();
appInsights.defaultClient.config.aadTokenCredential = credential;

Környezeti változó konfigurációja

A környezeti változóval hitelesítheti az APPLICATIONINSIGHTS_AUTHENTICATION_STRING Application Insightst a Microsoft Entra-azonosítón, és telemetriát küldhet a Azure-alkalmazás Services automatikus kialakításakor.

• Rendszer által hozzárendelt identitás esetén:

Alkalmazásbeállítás	Érték
APPLICATIONINSIGHTS_AUTHENTICATION_STRING	Authorization=AAD

• Felhasználó által hozzárendelt identitás esetén:

Alkalmazásbeállítás	Érték
APPLICATIONINSIGHTS_AUTHENTICATION_STRING	Authorization=AAD;ClientId={Client id of the User-Assigned Identity}

Java

Feljegyzés

Az Application Insights Java-ügynök Microsoft Entra-azonosítójának támogatása a Java 3.2.0-BÉTA verziótól kezdve érhető el.

1. Konfigurálja az alkalmazást a Java-ügynökkel.

   Fontos

   Használja a teljes kapcsolati sztring, beleértve IngestionEndpointaz alkalmazást a Java-ügynökkel való konfigurálásakor. Használja például a következőt InstrumentationKey=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX;IngestionEndpoint=https://XXXX.applicationinsights.azure.com/: .

2. Adja hozzá a JSON-konfigurációt a ApplicationInsights.json konfigurációs fájlhoz a használt hitelesítéstől függően. A felügyelt identitások használatát javasoljuk.

Feljegyzés

Az SDK-ról a 2.X Java-ügynökre való migrálásról további információt az 3.X Application Insights Java 2.x SDK-ról való frissítéssel foglalkozó cikkben talál.

Rendszer által hozzárendelt felügyelt identitás

Az alábbi példa bemutatja, hogyan konfigurálhatja a Java-ügynököt úgy, hogy rendszer által hozzárendelt felügyelt identitást használjon a Microsoft Entra-azonosítóval való hitelesítéshez.

{ 
  "connectionString": "App Insights Connection String with IngestionEndpoint", 
  "authentication": { 
    "enabled": true, 
    "type": "SAMI" 
  } 
} 

Felhasználó által hozzárendelt felügyelt identitás

Az alábbi példa bemutatja, hogyan konfigurálhatja a Java-ügynököt úgy, hogy felhasználó által hozzárendelt felügyelt identitást használjon a Microsoft Entra-azonosítóval való hitelesítéshez.

{ 
  "connectionString": "App Insights Connection String with IngestionEndpoint", 
  "authentication": { 
    "enabled": true, 
    "type": "UAMI", 
    "clientId":"<USER-ASSIGNED MANAGED IDENTITY CLIENT ID>" 
  } 
} 

Környezeti változó konfigurációja

A APPLICATIONINSIGHTS_AUTHENTICATION_STRING környezeti változó lehetővé teszi, hogy az Application Insights hitelesítse magát a Microsoft Entra-azonosítón, és telemetriát küldjön.

• Rendszer által hozzárendelt identitás esetén:

Alkalmazásbeállítás	Érték
APPLICATIONINSIGHTS_AUTHENTICATION_STRING	Authorization=AAD

• Felhasználó által hozzárendelt identitás esetén:

Alkalmazásbeállítás	Érték
APPLICATIONINSIGHTS_AUTHENTICATION_STRING	Authorization=AAD;ClientId={Client id of the User-Assigned Identity}

Ezzel a sztringgel állítsa be a APPLICATIONINSIGHTS_AUTHENTICATION_STRING környezeti változót.

Unix/Linux esetén:

export APPLICATIONINSIGHTS_AUTHENTICATION_STRING="Authorization=AAD"

Windows rendszerben:

set APPLICATIONINSIGHTS_AUTHENTICATION_STRING="Authorization=AAD"

A beállítás után indítsa újra az alkalmazást. Mostantól telemetriát küld az Application Insightsnak Microsoft Entra-hitelesítéssel.

Python

Az Azure-hoz való biztonságos kapcsolat OpenTelemetria használatával történő konfigurálásához tekintse meg a Microsoft Entra ID (korábbi nevén Azure AD) hitelesítésének engedélyezése című témakört.

Az OpenCensus (elavult) használatával való konfiguráláshoz lásd a Microsoft Entra ID-alapú hitelesítésének konfigurálását és engedélyezését.

Application Insights lekérdezése Microsoft Entra-hitelesítéssel

Lekérdezési kérelmet az Azure Monitor Application Insights végpont https://api.applicationinsights.iohasználatával küldhet el. A végpont eléréséhez a Microsoft Entra-azonosítón keresztül kell hitelesítenie magát.

Hitelesítés beállítása

Az API eléréséhez regisztrálnia kell egy ügyfélalkalmazást a Microsoft Entra-azonosítóval, és jogkivonatot kell kérnie.

1. Alkalmazás regisztrálása a Microsoft Entra-azonosítóban.

2. Az alkalmazás áttekintő lapján válassza ki az API-engedélyeket.

3. Válassza az Engedély hozzáadása lehetőséget.

4. A szervezetem által használt API-kban keresse meg az Application Insightst, és válassza az Application Insights API-t a listából.

5. Válassza a Delegált engedélyek lehetőséget.

6. Jelölje be a Data.Read jelölőnégyzetet.

7. Jelölje be az Engedélyek hozzáadása lehetőséget.

Most, hogy az alkalmazás regisztrálva lett, és rendelkezik az API használatára vonatkozó engedélyekkel, hozzáférést kell adnia az alkalmazásnak az Application Insights-erőforráshoz.

1. Az Application Insights-erőforrás áttekintési lapján válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

2. Válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget.

3. Válassza ki az Olvasó szerepkört, majd válassza a Tagok lehetőséget.

4. A Tagok lapon válassza a Tagok kijelölése lehetőséget.

5. Írja be az alkalmazás nevét a Kiválasztás mezőbe.

6. Válassza ki az alkalmazást, és válassza a Kiválasztás lehetőséget.

7. Válassza az Áttekintés + hozzárendelés lehetőséget.

8. Miután befejezte az Active Directory beállítását és engedélyeit, kérjen egy engedélyezési jogkivonatot.

Feljegyzés

Ebben a példában az Olvasó szerepkört alkalmaztuk. Ez a szerepkör egyike a számos beépített szerepkörnek, és a szükségesnél több engedélyt is tartalmazhat. Részletesebb szerepkörök és engedélyek hozhatók létre.

Engedélyezési jogkivonat kérése

Mielőtt hozzákezdene, győződjön meg arról, hogy rendelkezik a kérés sikeres végrehajtásához szükséges összes értékkel. Minden kéréshez a következőre van szükség:

• A Microsoft Entra-bérlő azonosítója.
• Az App Insights alkalmazásazonosítója – Ha jelenleg API-kulcsokat használ, az ugyanaz az alkalmazásazonosító.
• Az alkalmazás Microsoft Entra-ügyfélazonosítója.
• Az alkalmazás Microsoft Entra-ügyfélkódja.

Az Application Insights API három különböző Microsoft Entra ID OAuth2-folyamattal támogatja a Microsoft Entra-hitelesítést:

• Ügyfél-hitelesítő adatok
• Engedélyezési kód
• Implicit

Ügyfél hitelesítő adatainak folyamata

Az ügyfél hitelesítő adatainak folyamatában a jogkivonatot az Application Insights végpontja használja. Az alkalmazás Microsoft Entra-azonosítóban való regisztrálásakor az előző lépésben megadott hitelesítő adatokkal egyetlen kérés érkezik a jogkivonat fogadásához.

Használja a végpontot https://api.applicationinsights.io .

Ügyfél hitelesítő adatainak token URL-címe (POST-kérés)

    POST /<your-tenant-id>/oauth2/token
    Host: https://login.microsoftonline.com
    Content-Type: application/x-www-form-urlencoded
    
    grant_type=client_credentials
    &client_id=<app-client-id>
    &resource=https://api.applicationinsights.io
    &client_secret=<app-client-secret>

A sikeres kérés hozzáférési jogkivonatot kap a válaszban:

    {
        token_type": "Bearer",
        "expires_in": "86399",
        "ext_expires_in": "86399",
        "access_token": "eyJ0eXAiOiJKV1QiLCJ.....Ax"
    }

Használja a jogkivonatot az Application Insights-végpontra irányuló kérelmekben:

    POST /v1/apps/yous_app_id/query?timespan=P1D
    Host: https://api.applicationinsights.io
    Content-Type: application/json
    Authorization: Bearer <your access token>

    Body:
    {
    "query": "requests | take 10"
    }

Példaválasz:

  "tables": [
    {
      "name": "PrimaryResult",
      "columns": [
        {
          "name": "timestamp",
          "type": "datetime"
        },
        {
          "name": "id",
          "type": "string"
        },
        {
          "name": "source",
          "type": "string"
        },
        {
          "name": "name",
          "type": "string"
        },
        {
          "name": "url",
          "type": "string"
        },
        {
          "name": "success",
          "type": "string"
        },
        {
          "name": "resultCode",
          "type": "string"
        },
        {
          "name": "duration",
          "type": "real"
        },
        {
          "name": "performanceBucket",
          "type": "string"
        },
        {
          "name": "customDimensions",
          "type": "dynamic"
        },
        {
          "name": "customMeasurements",
          "type": "dynamic"
        },
        {
          "name": "operation_Name",
          "type": "string"
        },
        {
          "name": "operation_Id",
          "type": "string"
        },
        {
          "name": "operation_ParentId",
          "type": "string"
        },
        {
          "name": "operation_SyntheticSource",
          "type": "string"
        },
        {
          "name": "session_Id",
          "type": "string"
        },
        {
          "name": "user_Id",
          "type": "string"
        },
        {
          "name": "user_AuthenticatedId",
          "type": "string"
        },
        {
          "name": "user_AccountId",
          "type": "string"
        },
        {
          "name": "application_Version",
          "type": "string"
        },
        {
          "name": "client_Type",
          "type": "string"
        },
        {
          "name": "client_Model",
          "type": "string"
        },
        {
          "name": "client_OS",
          "type": "string"
        },
        {
          "name": "client_IP",
          "type": "string"
        },
        {
          "name": "client_City",
          "type": "string"
        },
        {
          "name": "client_StateOrProvince",
          "type": "string"
        },
        {
          "name": "client_CountryOrRegion",
          "type": "string"
        },
        {
          "name": "client_Browser",
          "type": "string"
        },
        {
          "name": "cloud_RoleName",
          "type": "string"
        },
        {
          "name": "cloud_RoleInstance",
          "type": "string"
        },
        {
          "name": "appId",
          "type": "string"
        },
        {
          "name": "appName",
          "type": "string"
        },
        {
          "name": "iKey",
          "type": "string"
        },
        {
          "name": "sdkVersion",
          "type": "string"
        },
        {
          "name": "itemId",
          "type": "string"
        },
        {
          "name": "itemType",
          "type": "string"
        },
        {
          "name": "itemCount",
          "type": "int"
        }
      ],
      "rows": [
        [
          "2018-02-01T17:33:09.788Z",
          "|0qRud6jz3k0=.c32c2659_",
          null,
          "GET Reports/Index",
          "http://fabrikamfiberapp.azurewebsites.net/Reports",
          "True",
          "200",
          "3.3833",
          "<250ms",
          "{\"_MS.ProcessedByMetricExtractors\":\"(Name:'Requests', Ver:'1.0')\"}",
          null,
          "GET Reports/Index",
          "0qRud6jz3k0=",
          "0qRud6jz3k0=",
          "Application Insights Availability Monitoring",
          "9fc6738d-7e26-44f0-b88e-6fae8ccb6b26",
          "us-va-ash-azr_9fc6738d-7e26-44f0-b88e-6fae8ccb6b26",
          null,
          null,
          "AutoGen_49c3aea0-4641-4675-93b5-55f7a62d22d3",
          "PC",
          null,
          null,
          "52.168.8.0",
          "Boydton",
          "Virginia",
          "United States",
          null,
          "fabrikamfiberapp",
          "RD00155D5053D1",
          "cf58dcfd-0683-487c-bc84-048789bca8e5",
          "fabrikamprod",
          "5a2e4e0c-e136-4a15-9824-90ba859b0a89",
          "web:2.5.0-33031",
          "051ad4ef-0776-11e8-ac6e-e30599af6943",
          "request",
          "1"
        ],
        [
          "2018-02-01T17:33:15.786Z",
          "|x/Ysh+M1TfU=.c32c265a_",
          null,
          "GET Home/Index",
          "http://fabrikamfiberapp.azurewebsites.net/",
          "True",
          "200",
          "716.2912",
          "500ms-1sec",
          "{\"_MS.ProcessedByMetricExtractors\":\"(Name:'Requests', Ver:'1.0')\"}",
          null,
          "GET Home/Index",
          "x/Ysh+M1TfU=",
          "x/Ysh+M1TfU=",
          "Application Insights Availability Monitoring",
          "58b15be6-d1e6-4d89-9919-52f63b840913",
          "emea-se-sto-edge_58b15be6-d1e6-4d89-9919-52f63b840913",
          null,
          null,
          "AutoGen_49c3aea0-4641-4675-93b5-55f7a62d22d3",
          "PC",
          null,
          null,
          "51.141.32.0",
          "Cardiff",
          "Cardiff",
          "United Kingdom",
          null,
          "fabrikamfiberapp",
          "RD00155D5053D1",
          "cf58dcfd-0683-487c-bc84-048789bca8e5",
          "fabrikamprod",
          "5a2e4e0c-e136-4a15-9824-90ba859b0a89",
          "web:2.5.0-33031",
          "051ad4f0-0776-11e8-ac6e-e30599af6943",
          "request",
          "1"
        ]
      ]
    }
  ]
}

Engedélyezési kódfolyamat

A fő támogatott OAuth2-folyamat engedélyezési kódokon keresztül történik. Ehhez a metódushoz két HTTP-kérés szükséges egy jogkivonat beszerzéséhez, amellyel meghívható az Azure Monitor Application Insights API. Két URL-cím érhető el, kérésenként egy végponttal. Formátumukat a következő szakaszok ismertetik.

Engedélyezési kód URL-címe (GET-kérelem)

    GET https://login.microsoftonline.com/YOUR_Azure AD_TENANT/oauth2/authorize?
    client_id=<app-client-id>
    &response_type=code
    &redirect_uri=<app-redirect-uri>
    &resource=https://api.applicationinsights.io

Amikor egy kérelem az engedélyezett URL-címre történik, az client\_id az alkalmazás azonosítója a Microsoft Entra alkalmazásból, amelyet az alkalmazás tulajdonságainak menüjéből másolnak. Ez redirect\_uri ugyanabból a homepage/login Microsoft Entra-alkalmazásból származó URL-cím. Ha egy kérés sikeres, ez a végpont átirányítja a regisztrációkor megadott bejelentkezési oldalra az URL-címhez fűzött engedélyezési kóddal. Lásd a következő példát:

    http://<app-client-id>/?code=AUTHORIZATION_CODE&session_state=STATE_GUID

Ezen a ponton beszerez egy engedélyezési kódot, amellyel most hozzáférési jogkivonatot kérhet le.

Engedélyezési kód jogkivonatÁNAK URL-címe (POST-kérelem)

    POST /YOUR_Azure AD_TENANT/oauth2/token HTTP/1.1
    Host: https://login.microsoftonline.com
    Content-Type: application/x-www-form-urlencoded
    
    grant_type=authorization_code
    &client_id=<app client id>
    &code=<auth code fom GET request>
    &redirect_uri=<app-client-id>
    &resource=https://api.applicationinsights.io
    &client_secret=<app-client-secret>

Minden érték megegyezik a korábbi értékekkel, néhány kiegészítéssel. Az engedélyezési kód ugyanaz a kód, amelyet az előző kérelemben kapott egy sikeres átirányítás után. A kód a Microsoft Entra alkalmazásból beszerzett kulccsal van kombinálva. Ha nem mentette a kulcsot, törölheti, és létrehozhat egy újat a Microsoft Entra alkalmazás menüjének Kulcsok lapján. A válasz egy JSON-sztring, amely a következő sémával rendelkező jogkivonatot tartalmazza. A tokenértékek esetében típusok jelennek meg.

Példa a válaszra:

    {
        "access_token": "eyJ0eXAiOiJKV1QiLCJ.....Ax",
        "expires_in": "3600",
        "ext_expires_in": "1503641912",
        "id_token": "not_needed_for_app_insights",
        "not_before": "1503638012",
        "refresh_token": "eyJ0esdfiJKV1ljhgYF.....Az",
        "resource": "https://api.applicationinsights.io",
        "scope": "Data.Read",
        "token_type": "bearer"
    }

Ennek a válasznak a hozzáférési jogkivonata az, amit a fejlécben az Application Insights API-nak Authorization: Bearer mutat be. A frissítési jogkivonatot a jövőben is használhatja egy új access_token beszerzéséhez, és refresh_token, amikor elavult. Ebben a kérésben a formátum és a végpont a következő:

    POST /YOUR_AAD_TENANT/oauth2/token HTTP/1.1
    Host: https://login.microsoftonline.com
    Content-Type: application/x-www-form-urlencoded
    
    client_id=<app-client-id>
    &refresh_token=<refresh-token>
    &grant_type=refresh_token
    &resource=https://api.applicationinsights.io
    &client_secret=<app-client-secret>

Példa a válaszra:

    {
      "token_type": "Bearer",
      "expires_in": "3600",
      "expires_on": "1460404526",
      "resource": "https://api.applicationinsights.io",
      "access_token": "eyJ0eXAiOiJKV1QiLCJ.....Ax",
      "refresh_token": "eyJ0esdfiJKV1ljhgYF.....Az"
    }

Implicit kódfolyamat

Az Application Insights API támogatja az OAuth2 implicit folyamatot. Ehhez a folyamathoz csak egyetlen kérésre van szükség, de nem szerezhető be frissítési jogkivonat.

Implicit kód engedélyezési URL-címe

    GET https://login.microsoftonline.com/YOUR_AAD_TENANT/oauth2/authorize?
    client_id=<app-client-id>
    &response_type=token
    &redirect_uri=<app-redirect-uri>
    &resource=https://api.applicationinsights.io

A sikeres kérés átirányítja az átirányítási URI-t az URL-címben található jogkivonattal:

    http://YOUR_REDIRECT_URI/#access_token=YOUR_ACCESS_TOKEN&token_type=Bearer&expires_in=3600&session_state=STATE_GUID

Ez a access_token szolgál fejlécértékként Authorization: Bearer , amikor átadja az Application Insights API-nak a kérések engedélyezéséhez.

Helyi hitelesítés letiltása

A Microsoft Entra-hitelesítés engedélyezése után letilthatja a helyi hitelesítést. Ez a konfiguráció lehetővé teszi a kizárólag a Microsoft Entra ID által hitelesített telemetriai adatok betöltését, és hatással van az adathozzáférésre (például API-kulcsokon keresztül).

Letilthatja a helyi hitelesítést az Azure Portal vagy az Azure Policy használatával, vagy programozott módon.

Azure Portal

1. Az Application Insights-erőforrásban válassza a Tulajdonságok lehetőséget a bal oldali menü Konfigurálás területén. Ha a helyi hitelesítés engedélyezve van, válassza az Engedélyezve (kattintson ide a módosításhoz) lehetőséget.

   

2. Válassza a Letiltva lehetőséget, és alkalmazza a módosításokat.

   

3. Miután letiltotta a helyi hitelesítést az erőforráson, a megfelelő információk megjelennek az Áttekintés panelen.

   

Azure Policy

Az Azure Policy tagadja DisableLocalAuth , hogy a felhasználók új Application Insights-erőforrást hozhatnak létre anélkül, hogy trueez a tulajdonság be van állítva. A szabályzat neve .Application Insights components should block non-Azure Active Directory based ingestion

Ha ezt a szabályzatdefiníciót az előfizetésére szeretné alkalmazni, hozzon létre egy új szabályzat-hozzárendelést, és rendelje hozzá a szabályzatot.

Az alábbi példa a szabályzatsablon definícióját mutatja be:

{
    "properties": {
        "displayName": "Application Insights components should block non-Azure Active Directory based ingestion",
        "policyType": "BuiltIn",
        "mode": "Indexed",
        "description": "Improve Application Insights security by disabling log ingestion that are not AAD-based.",
        "metadata": {
            "version": "1.0.0",
            "category": "Monitoring"
        },
        "parameters": {
            "effect": {
                "type": "String",
                "metadata": {
                    "displayName": "Effect",
                    "description": "The effect determines what happens when the policy rule is evaluated to match"
                },
                "allowedValues": [
                    "audit",
                    "deny",
                    "disabled"
                ],
                "defaultValue": "audit"
            }
        },
        "policyRule": {
            "if": {
                "allOf": [
                    {
                        "field": "type",
                        "equals": "Microsoft.Insights/components"
                    },
                    {
                        "field": "Microsoft.Insights/components/DisableLocalAuth",
                        "notEquals": "true"                        
                    }
                ]
            },
            "then": {
                "effect": "[parameters('effect')]"
            }
        }
    }
}

Programozott engedélyezés

A tulajdonság DisableLocalAuth az Application Insights-erőforráson található helyi hitelesítés letiltására szolgál. Ha ez a tulajdonság be van állítva true, kényszeríti, hogy a Microsoft Entra-hitelesítést minden hozzáféréshez használni kell.

Az alábbi példa azt az Azure Resource Manager-sablont mutatja be, amellyel munkaterület-alapú Application Insights-erőforrást LocalAuth hozhat létre letiltva.

{
    "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "name": {
            "type": "string"
        },
        "type": {
            "type": "string"
        },
        "regionId": {
            "type": "string"
        },
        "tagsArray": {
            "type": "object"
        },
        "requestSource": {
            "type": "string"
        },
        "workspaceResourceId": {
            "type": "string"
        },
        "disableLocalAuth": {
            "type": "bool"
        }
     
    },
    "resources": [
        {
        "name": "[parameters('name')]",
        "type": "microsoft.insights/components",
        "location": "[parameters('regionId')]",
        "tags": "[parameters('tagsArray')]",
        "apiVersion": "2020-02-02-preview",
        "dependsOn": [],
        "properties": {
            "Application_Type": "[parameters('type')]",
            "Flow_Type": "Redfield",
            "Request_Source": "[parameters('requestSource')]",
            "WorkspaceResourceId": "[parameters('workspaceResourceId')]",
            "DisableLocalAuth": "[parameters('disableLocalAuth')]"
            }
    }
 ]
}

Jogkivonat célközönsége

Amikor egyéni ügyfelet fejleszt, hogy hozzáférési jogkivonatot szerezzen be a Microsoft Entra ID-ból a telemetriai adatok Application Insightsba való elküldéséhez, tekintse meg az alábbi táblázatot, amely meghatározza az adott gazdagépkörnyezethez tartozó célközönség-sztringet.

Azure-felhőverzió	Jogkivonat célközönségének értéke
Nyilvános Azure-felhő	https://monitor.azure.com
A 21Vianet-felhő által üzemeltetett Microsoft Azure	https://monitor.azure.cn
Azure US Government-felhő	https://monitor.azure.us

Ha szuverén felhőket használ, a célközönség adatait is megtalálhatja a kapcsolati sztring. A kapcsolati sztring a következő struktúrát követi:

InstrumentationKey={profile. InstrumentationKey}; IngestionEndpoint={ingestionEndpoint}; LiveEndpoint={liveDiagnosticsEndpoint}; AADAudience={aadAudience}

Az AADAudience célközönségparamétere az adott környezettől függően változhat.

Hibaelhárítás

Ez a szakasz különböző hibaelhárítási forgatókönyveket és lépéseket tartalmaz, amelyeket a támogatási jegy létrehozása előtt elvégezhet a probléma megoldásához.

Betöltési HTTP-hibák

A betöltési szolgáltatás az SDK nyelvétől függetlenül adott hibákat ad vissza. A hálózati forgalom egy olyan eszközzel gyűjthető össze, mint a Fiddler. Szűrje a kapcsolati sztring beállított betöltési végpont felé irányuló forgalmat.

HTTP/1.1 400 Hitelesítés nem támogatott

Ez a hiba azt mutatja, hogy az erőforrás csak a Microsoft Entra-hoz van beállítva. Helyesen kell konfigurálnia az SDK-t, mert nem a megfelelő API-ra küldi.

Feljegyzés

A "v2/track" nem támogatja a Microsoft Entra-azonosítót. Ha az SDK megfelelően van konfigurálva, a rendszer a telemetriát a "v2.1/track" címre küldi.

Ezután tekintse át az SDK-konfigurációt.

HTTP/1.1 401 Engedélyezés szükséges

Ez a hiba azt jelzi, hogy az SDK megfelelően van konfigurálva, de nem tud érvényes jogkivonatot beszerezni. Ez a hiba a Microsoft Entra-azonosítóval kapcsolatos problémát jelezhet.

Ezután meg kell határoznia az SDK-naplókban szereplő kivételeket vagy az Azure Identity hálózati hibáit.

HTTP/1.1 403 Jogosulatlan

Ez a hiba azt jelenti, hogy az SDK az Application Insights-erőforrás vagy -előfizetés engedélye nélkül használ hitelesítő adatokat.

Először ellenőrizze az Application Insights-erőforrás hozzáférés-vezérlését. Az SDK-t olyan hitelesítő adatokkal kell konfigurálnia, amelyek rendelkeznek monitorozási metrikák közzétevői szerepkörével.

Nyelvspecifikus hibaelhárítás

.NET

Eseményforrás

Az Application Insights .NET SDK hibanaplókat bocsát ki az eseményforrás használatával. Az eseményforrás-naplók gyűjtésével kapcsolatos további információkért lásd : Adatok nélküli hibaelhárítás – naplók gyűjtése a PerfView-nal.

Ha az SDK nem tud jogkivonatot lekérni, a kivételüzenet naplózása a következőként Failed to get AAD Token. Error message:történik: .

Node.js

Kapcsolja be a belső naplókat az alábbi beállítással. Miután engedélyezte őket, a konzol megjeleníti a hibanaplókat, beleértve a Microsoft Entra-integrációval kapcsolatos hibákat is. Ilyen lehet például a nem megfelelő hitelesítő adatokkal rendelkező jogkivonat létrehozása, vagy ha a betöltési végpont nem tud hitelesíteni a megadott hitelesítő adatokkal.

let appInsights = require("applicationinsights");
appInsights.setup("InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/").setInternalLogging(true, true);

Java

HTTP-forgalom

A hálózati forgalmat egy olyan eszközzel vizsgálhatja meg, mint a Fiddler. A Fiddleren keresztüli alagútforgalom engedélyezéséhez adja hozzá a következő proxybeállításokat a konfigurációs fájlhoz:

"proxy": {
"host": "localhost",
"port": 8888
}

Vagy adja hozzá a következő Java virtuális gépet (JVM) az alkalmazás futtatása közben: -Djava.net.useSystemProxies=true -Dhttps.proxyHost=localhost -Dhttps.proxyPort=8888

Ha a Microsoft Entra-azonosító engedélyezve van az ügynökben, a kimenő forgalom tartalmazza a HTTP-fejlécet Authorization.

401 Nem engedélyezett

Ha megjelenik az üzenet, WARN c.m.a.TelemetryChannel - Failed to send telemetry with status code: 401, please check your credentials az azt jelenti, hogy az ügynök nem tudott telemetriát küldeni. Valószínűleg nem engedélyezte a Microsoft Entra-hitelesítést az ügynökön, míg az Application Insights-erőforrás rendelkezik DisableLocalAuth: true. Győződjön meg arról, hogy érvényes hitelesítő adatokat ad át hozzáférési engedéllyel az Application Insights-erőforrásnak.

Ha Fiddlert használ, előfordulhat, hogy megjelenik a válasz fejléce HTTP/1.1 401 Unauthorized - please provide the valid authorization token.

CredentialUnavailableException

Ha a kivétel megjelenik a com.azure.identity.CredentialUnavailableException: ManagedIdentityCredential authentication unavailable. Connection to IMDS endpoint cannot be established naplófájlban, az azt jelenti, hogy az ügynök nem tudta beolvasni a hozzáférési jogkivonatot. Ennek oka valószínűleg egy érvénytelen ügyfél-azonosító a felhasználó által hozzárendelt felügyelt identitás konfigurációjában.

Nem sikerült telemetriát küldeni

Ha megjelenik az üzenet, WARN c.m.a.TelemetryChannel - Failed to send telemetry with status code: 403, please check your credentials az azt jelenti, hogy az ügynök nem tudott telemetriát küldeni. Ennek valószínűleg az az oka, hogy a használt hitelesítő adatok nem teszik lehetővé a telemetriai adatok betöltését.

A Fiddler használatával észreveheti a választ HTTP/1.1 403 Forbidden - provided credentials do not grant the access to ingest the telemetry into the component.

A probléma oka a következő lehet:

• Az erőforrás létrehozása rendszer által hozzárendelt felügyelt identitással, vagy felhasználó által hozzárendelt identitás társítása anélkül, hogy hozzá lenne adva a Monitorozási metrikák közzétevője szerepkör.
• A hozzáférési jogkivonatokhoz a megfelelő hitelesítő adatokat használja, de nem a megfelelő Application Insights-erőforráshoz csatolja őket. Győződjön meg arról, hogy az erőforrás (virtuális gép vagy app service) vagy a felhasználó által hozzárendelt identitás figyelési metrikák közzétevői szerepköreivel rendelkezik az Application Insights-erőforrásban.

Érvénytelen ügyfélazonosító

Ha a kivétel a com.microsoft.aad.msal4j.MsalServiceException: Application with identifier <CLIENT_ID> was not found in the directory naplóban azt jelenti, hogy az ügynök nem tudta lekérni a hozzáférési jogkivonatot. Ez a kivétel valószínűleg azért fordul elő, mert az ügyfél titkos kódjának konfigurációjában szereplő ügyfélazonosító érvénytelen vagy helytelen.

Ez a probléma akkor fordul elő, ha a rendszergazda nem telepíti az alkalmazást, vagy egy bérlői felhasználó sem járul hozzá. Ez akkor is előfordul, ha a hitelesítési kérelmet nem a megfelelő bérlőnek küldi el.

Python

A hiba "hitelesítőadat-hibával" kezdődik (állapotkód nélkül)

A használt hitelesítő adatok helytelenek, és az ügyfél nem tud jogkivonatot beszerezni az engedélyezéshez. Ennek az az oka, hogy a szükséges adatok hiányoznak az állapothoz. Ilyen lehet például egy rendszer ManagedIdentityCredential átadása, de az erőforrás nincs rendszer által felügyelt identitás használatára konfigurálva.

A hiba "hitelesítési hibával" kezdődik (állapotkód nélkül)

Az ügyfél nem tudott hitelesíteni a megadott hitelesítő adatokkal. Ez a hiba általában akkor fordul elő, ha a használt hitelesítő adatok nem rendelkeznek a megfelelő szerepkör-hozzárendelésekkel.

400-ás állapotkódot kapok a hibanaplókban

Valószínűleg hiányzik egy hitelesítő adat, vagy a hitelesítő adatai be vannak állítva None, de az Application Insights-erőforrás ezzel van konfigurálva DisableLocalAuth: true. Győződjön meg arról, hogy érvényes hitelesítő adatokat ad át, és rendelkezik engedéllyel az Application Insights-erőforrás eléréséhez.

403-ás állapotkódot kapok a hibanaplóimban

Ez a hiba általában akkor fordul elő, ha a megadott hitelesítő adatok nem biztosítanak hozzáférést az Application Insights-erőforrás betöltési telemetriai adataihoz. Győződjön meg arról, hogy az Application Insights-erőforrás rendelkezik a megfelelő szerepkör-hozzárendelésekkel.

Következő lépések

• A telemetria figyelése a portálon
• Az Élő metrikák stream diagnosztizálása
• Application Insights lekérdezése Microsoft Entra-hitelesítéssel