Microsoft Entra-hitelesítés az Application Insightshoz

Az Application Insights mostantól támogatja a Microsoft Entra-hitelesítést. A Microsoft Entra ID használatával meggyőződhet arról, hogy csak a hitelesített telemetriai adatok kerülnek be az Application Insights-erőforrásokba.

A különböző hitelesítési rendszerek használata nehézkes és kockázatos lehet, mert a hitelesítő adatok nagy léptékben nehezen kezelhetők. Mostantól kikapcsolhatja a helyi hitelesítést, hogy csak felügyelt identitásokkalhitelesített telemetriai adatok legyenek hitelesítve, és a Microsoft Entra-azonosító be legyen osztva az erőforrásba. Ez a funkció a kritikus fontosságú üzemeltetési (riasztási és automatikus skálázási) és üzleti döntések meghozatalához használt telemetriai adatok biztonságának és megbízhatóságának fokozására szolgál.

Előfeltételek

A Microsoft Entra által hitelesített betöltés engedélyezéséhez az alábbi előzetes lépések szükségesek. A következőkre van szüksége:

• Legyen a nyilvános felhőben.
• Ismerkedjen meg a következőkkel:
  • Felügyelt identitás.
  • Szolgáltatásnév.
  • Azure-szerepkörök hozzárendelése.
• A Azure-beli beépített szerepkörökkel való hozzáférés biztosításához rendelkeznie kell egy Tulajdonosi szereppel az erőforráscsoporthoz.
• Ismerje meg a nem támogatott forgatókönyveket.

Nem támogatott forgatókönyvek

Az alábbi szoftverfejlesztői készletek (SDK-k) és funkciók nem támogatottak a Microsoft Entra által hitelesített betöltéssel való használathoz:

• Application Insights Java 2.x SDK.
  A Microsoft Entra-hitelesítés csak a 3.2.0-s vagy annál nagyobb Application Insights Java-ügynökhöz érhető el.
• ApplicationInsights JavaScript SDK.
• Az Application Insights OpenCensus Python SDK (kivezetve), Python 3.4 és 3.5 verzióval.
• Automatikus instrumentáció Pythonhoz az Azure App Service-en
• Application Insights Profiler for .NET.

A Microsoft Entra ID-alapú hitelesítés konfigurálása és engedélyezése

1. Ha még nem rendelkezik ilyen azonosítóval, hozzon létre egy identitást felügyelt identitással vagy szolgáltatásnévvel.

   • Felügyelt identitás használatát javasoljuk:

     Felügyelt identitás beállítása az Azure-szolgáltatáshoz (Virtuális gépek vagy App Service).

   • Nem javasoljuk a szolgáltatási főszemély használatát:

     Az erőforrásokhoz hozzáférő Microsoft Entra-alkalmazás és szolgáltatásnév létrehozásáról további információt a Szolgáltatásnév létrehozása című témakörben talál.

2. Rendelje hozzá a szükséges szerepköralapú hozzáférés-vezérlési (RBAC) szerepkört az Azure-identitáshoz, szolgáltatásnévhez vagy Azure-felhasználói fiókhoz.

   Az Azure-szerepkörök hozzárendelésének lépéseit követve adja hozzá a Monitorozási metrikák közzétevői szerepkört a várt identitáshoz, szolgáltatásnévhez vagy Azure-felhasználói fiókhoz a cél Application Insights-erőforrás szerepkör-hatókörként való beállításával.

   Feljegyzés

   Bár a Monitorozási metrikák közzétevője szerepkör "metrikák" szöveget tartalmaz, minden telemetriát közzétesz az Application Insights-erőforrásban.

3. Kövesse a konfigurációs útmutatót az alábbi nyelvnek megfelelően.

ASP.NET Core

Feljegyzés

• A Microsoft Entra ID támogatása az Application Insights .NET SDK-ban a 2.18-beta3 verziótól kezdve érhető el.
• Támogatjuk az Azure Identity által biztosított hitelesítő osztályokat.

• Helyi fejlesztéshez ajánljuk DefaultAzureCredential .
• Hitelesítse magát a Visual Studióban a várt Azure-felhasználói fiókkal. További információ: Hitelesítés a Visual Studióban.
• Rendszer által hozzárendelt és felhasználó által hozzárendelt felügyelt identitásokhoz javasoljuk ManagedIdentityCredential .
  • A rendszer által hozzárendelt alapértelmezett konstruktort használja paraméterek nélkül.
  • A felhasználó által hozzárendelt esetben a konstruktornak adja meg az ügyfélazonosítót.

1. Telepítse a legújabb Azure.Identity-csomagot :

   dotnet add package Azure.Identity
   

2. Adja meg a kívánt hitelesítőadat-osztályt:

   // Create a new ASP.NET Core web application builder.    
   var builder = WebApplication.CreateBuilder(args);
   
   // Add the OpenTelemetry telemetry service to the application.
   // This service will collect and send telemetry data to Azure Monitor.
   builder.Services.AddOpenTelemetry().UseAzureMonitor(options => {
       // Set the Azure Monitor credential to the DefaultAzureCredential.
       // This credential will use the Azure identity of the current user or
       // the service principal that the application is running as to authenticate
       // to Azure Monitor.
       options.Credential = new DefaultAzureCredential();
   });
   
   // Build the ASP.NET Core web application.
   var app = builder.Build();
   
   // Start the ASP.NET Core web application.
   app.Run();
   

Környezeti változó konfigurációja

Használja a APPLICATIONINSIGHTS_AUTHENTICATION_STRING környezeti változót, hogy az Application Insights hitelesítse magát a Microsoft Entra ID-n és küldje a telemetriát az Azure App Services automatikus instrumentáció használata során.

• Rendszer által hozzárendelt identitás esetén:

Alkalmazásbeállítás	Érték
APPLICATIONINSIGHTS_HITLESÍTÉSI_SZÖVEG	Authorization=AAD

• Felhasználó által hozzárendelt identitás esetén:

Alkalmazásbeállítás	Érték
APPLICATIONINSIGHTS_HITLESÍTÉSI_SZÖVEG	Authorization=AAD;ClientId={Client id of the User-Assigned Identity}

Klasszikus API

Az alábbi példa bemutatja, hogyan konfigurálható TelemetryConfiguration a .NET Core használatával:

services.Configure<TelemetryConfiguration>(config =>
{
    var credential = new DefaultAzureCredential();
    config.SetAzureTokenCredential(credential);
});
services.AddApplicationInsightsTelemetry(new ApplicationInsightsServiceOptions
{
    ConnectionString = "InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/"
});

.NET

Feljegyzés

• A Microsoft Entra ID támogatása az Application Insights .NET SDK-ban a 2.18-beta3 verziótól kezdve érhető el.
• Támogatjuk az Azure Identity által biztosított hitelesítő osztályokat.

• Helyi fejlesztéshez ajánljuk DefaultAzureCredential .
• Hitelesítse magát a Visual Studióban a várt Azure-felhasználói fiókkal. További információ: Hitelesítés a Visual Studióban.
• Rendszer által hozzárendelt és felhasználó által hozzárendelt felügyelt identitásokhoz javasoljuk ManagedIdentityCredential .
  • A rendszer által hozzárendelt alapértelmezett konstruktort használja paraméterek nélkül.
  • A felhasználó által hozzárendelt esetben a konstruktornak adja meg az ügyfélazonosítót.

1. Telepítse a legújabb Azure.Identity-csomagot :

   dotnet add package Azure.Identity
   

2. Adja meg a kívánt hitelesítőadat-osztályt:

   // Create a DefaultAzureCredential.
   var credential = new DefaultAzureCredential();
   
   // Create a new OpenTelemetry tracer provider and set the credential.
   // It is important to keep the TracerProvider instance active throughout the process lifetime.
   var tracerProvider = Sdk.CreateTracerProviderBuilder()
       .AddAzureMonitorTraceExporter(options =>
       {
           options.Credential = credential;
       })
       .Build();
   
   // Create a new OpenTelemetry meter provider and set the credential.
   // It is important to keep the MetricsProvider instance active throughout the process lifetime.
   var metricsProvider = Sdk.CreateMeterProviderBuilder()
       .AddAzureMonitorMetricExporter(options =>
       {
           options.Credential = credential;
       })
       .Build();
   
   // Create a new logger factory and add the OpenTelemetry logger provider with the credential.
   // It is important to keep the LoggerFactory instance active throughout the process lifetime.
   var loggerFactory = LoggerFactory.Create(builder =>
   {
       builder.AddOpenTelemetry(logging =>
       {
           logging.AddAzureMonitorLogExporter(options =>
           {
               options.Credential = credential;
           });
       });
   });
   

Környezeti változó konfigurációja

Használja a APPLICATIONINSIGHTS_AUTHENTICATION_STRING környezeti változót, hogy az Application Insights hitelesítse magát a Microsoft Entra ID-n és küldje a telemetriát az Azure App Services automatikus instrumentáció használata során.

• Rendszer által hozzárendelt identitás esetén:

Alkalmazásbeállítás	Érték
APPLICATIONINSIGHTS_HITLESÍTÉSI_SZÖVEG	Authorization=AAD

• Felhasználó által hozzárendelt identitás esetén:

Alkalmazásbeállítás	Érték
APPLICATIONINSIGHTS_HITLESÍTÉSI_SZÖVEG	Authorization=AAD;ClientId={Client id of the User-Assigned Identity}

Klasszikus API

Az alábbi példa bemutatja, hogyan hozhat létre és konfigurálhat TelemetryConfiguration manuálisan a .NET használatával:

TelemetryConfiguration.Active.ConnectionString = "InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/";
var credential = new DefaultAzureCredential();
TelemetryConfiguration.Active.SetAzureTokenCredential(credential);

Jáva

Feljegyzés

• Az Application Insights Java-ügynök Microsoft Entra-azonosítójának támogatása a Java 3.2.0-BÉTA verziótól kezdve érhető el.
• Támogatjuk az Azure Identity által biztosított hitelesítő osztályokat.

1. Konfigurálja az alkalmazást a Java-ügynökkel.

   Fontos

   Használja a teljes kapcsolati karakterláncot, beleértve IngestionEndpoint, amikor az alkalmazást a Java agenttel konfigurálja. Használja például a következőt InstrumentationKey=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX;IngestionEndpoint=https://XXXX.applicationinsights.azure.com/: .

2. Adja hozzá a JSON-konfigurációt a ApplicationInsights.json konfigurációs fájlhoz a használt hitelesítéstől függően. A felügyelt identitások használatát javasoljuk.

Környezeti változó konfigurációja

A APPLICATIONINSIGHTS_AUTHENTICATION_STRING környezeti változó lehetővé teszi az Application Insights számára a Microsoft Entra-azonosítóval való hitelesítést és a telemetriai adatok küldését. Konfigurálja a használt identitástípus alapján:

• Rendszer által hozzárendelt identitás
  Állítsa be a APPLICATIONINSIGHTS_AUTHENTICATION_STRING környezeti változót a következőre:

  Authorization=AAD
  

• Felhasználó által hozzárendelt identitás
  Állítsa be a APPLICATIONINSIGHTS_AUTHENTICATION_STRING környezeti változót a következőre:

  Authorization=AAD;ClientId={Client id of the User-Assigned Identity}
  

  Cserélje le a {Client id of the User-Assigned Identity} elemet a felhasználó által hozzárendelt identitás tényleges ügyfélazonosítójára.

Ezzel a sztringgel állítsa be a APPLICATIONINSIGHTS_AUTHENTICATION_STRING környezeti változót.

Unix/Linux alatt:

export APPLICATIONINSIGHTS_AUTHENTICATION_STRING="Authorization=AAD"

Windows rendszerben:

set APPLICATIONINSIGHTS_AUTHENTICATION_STRING="Authorization=AAD"

A beállítás után indítsa újra az alkalmazást. Mostantól telemetriát küld az Application Insightsnak Microsoft Entra-hitelesítéssel.

Manuális konfigurálás

Feljegyzés

• Az SDK-ról a 2.X Java-ügynökre való migrálásról további információt az 3.X Application Insights Java 2.x SDK-ról való frissítéssel foglalkozó cikkben talál.
• A Java-val kapcsolatos további információkért tekintse meg a Java kiegészítő dokumentációját.

Rendszer által hozzárendelt felügyelt identitás

Az alábbi példa bemutatja, hogyan konfigurálhatja a Java-ügynököt úgy, hogy rendszer által hozzárendelt felügyelt identitást használjon a Microsoft Entra-azonosítóval való hitelesítéshez.

{ 
  "connectionString": "App Insights Connection String with IngestionEndpoint", 
  "authentication": { 
    "enabled": true, 
    "type": "SAMI" 
  } 
} 

Felhasználó által hozzárendelt felügyelt identitás

Az alábbi példa bemutatja, hogyan konfigurálhatja a Java-ügynököt úgy, hogy felhasználó által hozzárendelt felügyelt identitást használjon a Microsoft Entra-azonosítóval való hitelesítéshez.

{ 
  "connectionString": "App Insights Connection String with IngestionEndpoint", 
  "authentication": { 
    "enabled": true, 
    "type": "UAMI", 
    "clientId":"<USER-ASSIGNED MANAGED IDENTITY CLIENT ID>" 
  } 
} 

Java natív

A Microsoft Entra ID-hitelesítés nem érhető el a GraalVM natív alkalmazásaihoz.

Node.js

Feljegyzés

• Az Application Insights Node.JS Microsoft Entra-azonosítójának támogatása a 2.1.0-béta.1-es verziótól kezdve érhető el.
• Támogatjuk az Azure Identity által biztosított hitelesítő osztályokat.

• Helyi fejlesztéshez ajánljuk DefaultAzureCredential .
• Rendszer által hozzárendelt és felhasználó által hozzárendelt felügyelt identitásokhoz javasoljuk ManagedIdentityCredential .
  • A rendszer által hozzárendelt alapértelmezett konstruktort használja paraméterek nélkül.
  • A felhasználó által hozzárendelt esetben a konstruktornak adja meg az ügyfélazonosítót.
• A szolgáltatásnevek használatát javasoljuk ClientSecretCredential .
  • Adja meg a bérlőazonosítót, az ügyfélazonosítót és az ügyfél titkos kódját a konstruktornak.

Környezeti változó konfigurációja

Használja a APPLICATIONINSIGHTS_AUTHENTICATION_STRING környezeti változót, hogy az Application Insights hitelesítse magát a Microsoft Entra ID-n és küldje a telemetriát az Azure App Services automatikus instrumentáció használata során.

• Rendszer által hozzárendelt identitás esetén:

Alkalmazásbeállítás	Érték
APPLICATIONINSIGHTS_HITLESÍTÉSI_SZÖVEG	Authorization=AAD

• Felhasználó által hozzárendelt identitás esetén:

Alkalmazásbeállítás	Érték
APPLICATIONINSIGHTS_HITLESÍTÉSI_SZÖVEG	Authorization=AAD;ClientId={Client id of the User-Assigned Identity}

Manuális konfigurálás

A következő minta akkor alkalmazható, ha a @azure/monitor-opentelemetry elem használata történik:

// Import the useAzureMonitor function, the AzureMonitorOpenTelemetryOptions class, and the ManagedIdentityCredential class from the @azure/monitor-opentelemetry and @azure/identity packages, respectively.
const { useAzureMonitor, AzureMonitorOpenTelemetryOptions } = require("@azure/monitor-opentelemetry");
const { ManagedIdentityCredential } = require("@azure/identity");

// Create a new ManagedIdentityCredential object.
const credential = new ManagedIdentityCredential();

// Create a new AzureMonitorOpenTelemetryOptions object and set the credential property to the credential object.
const options: AzureMonitorOpenTelemetryOptions = {
    azureMonitorExporterOptions: {
        connectionString:
            process.env["APPLICATIONINSIGHTS_CONNECTION_STRING"] || "<your connection string>",
        credential: credential
    }
};

// Enable Azure Monitor integration using the useAzureMonitor function and the AzureMonitorOpenTelemetryOptions object.
useAzureMonitor(options);

Az alábbi minta az npm-csomag használatakor applicationinsights érvényes.

// Import the applicationinsights module and the DefaultAzureCredential class from the @azure/identity package.
const appInsights = require("applicationinsights");
const { DefaultAzureCredential } = require("@azure/identity");

// Create a new DefaultAzureCredential object to authenticate with Azure Active Directory.
const credential = new DefaultAzureCredential();

// Set up Application Insights with an instrumentation key and ingestion endpoint, then start the Application Insights client.
appInsights.setup("InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/").start();

// Assign the DefaultAzureCredential object to the aadTokenCredential property of the default Application Insights client configuration for authentication.
appInsights.defaultClient.config.aadTokenCredential = credential;

Piton

Feljegyzés

• Támogatjuk az Azure Identity által biztosított hitelesítő osztályokat.
• Az OpenCensus (kivont) konfigurálásáról külön-külön adunk információt. Lásd: Microsoft Entra ID-alapú hitelesítés konfigurálása és engedélyezése.

• Helyi fejlesztéshez ajánljuk DefaultAzureCredential .
• Rendszer által hozzárendelt és felhasználó által hozzárendelt felügyelt identitásokhoz javasoljuk ManagedIdentityCredential .
  • A rendszer által hozzárendelt alapértelmezett konstruktort használja paraméterek nélkül.
  • Felhasználó által hozzárendelt esetben adja meg a client_id konstruktornak.
• A szolgáltatásnevek használatát javasoljuk ClientSecretCredential .
  • Adja meg a bérlőazonosítót, az ügyfélazonosítót és az ügyfél titkos kódját a konstruktornak.

Ha a ManagedIdentityCredential

# Import the `ManagedIdentityCredential` class from the `azure.identity` package.
from azure.identity import ManagedIdentityCredential
# Import the `configure_azure_monitor()` function from the `azure.monitor.opentelemetry` package.
from azure.monitor.opentelemetry import configure_azure_monitor
from opentelemetry import trace

# Configure the Distro to authenticate with Azure Monitor using a managed identity credential.
credential = ManagedIdentityCredential(client_id="<client_id>")
configure_azure_monitor(
    connection_string="your-connection-string",
    credential=credential,
)

tracer = trace.get_tracer(__name__)

with tracer.start_as_current_span("hello with aad managed identity"):
    print("Hello, World!")

Ha a ClientSecretCredential

# Import the `ClientSecretCredential` class from the `azure.identity` package.
from azure.identity import ClientSecretCredential
# Import the `configure_azure_monitor()` function from the `azure.monitor.opentelemetry` package.
from azure.monitor.opentelemetry import configure_azure_monitor
from opentelemetry import trace

# Configure the Distro to authenticate with Azure Monitor using a client secret credential.
credential = ClientSecretCredential(
    tenant_id="<tenant_id",
    client_id="<client_id>",
    client_secret="<client_secret>",
)
configure_azure_monitor(
    connection_string="your-connection-string",
    credential=credential,
)

with tracer.start_as_current_span("hello with aad client secret identity"):
    print("Hello, World!")

Application Insights lekérdezése Microsoft Entra-hitelesítéssel

Lekérdezési kérelmet az Azure Monitor Application Insights végpont https://api.applicationinsights.iohasználatával küldhet el. A végpont eléréséhez a Microsoft Entra-azonosítón keresztül kell hitelesítenie magát.

Hitelesítés beállítása

Az API eléréséhez regisztrálnia kell egy ügyfélalkalmazást a Microsoft Entra ID-vel, és tokent kell kérnie.

1. Alkalmazás regisztrálása a Microsoft Entra azonosítóban.

2. Az alkalmazás áttekintő lapján válassza ki az API-engedélyeket.

3. Válassza az Engedély hozzáadása lehetőséget.

4. A szervezetem által használt API-kban keresse meg az Application Insightst, és válassza az Application Insights API-t a listából.

5. Válassza a Delegált engedélyek lehetőséget.

6. Jelölje be a Data.Read jelölőnégyzetet.

7. Jelölje be az Engedélyek hozzáadása lehetőséget.

Most, hogy az alkalmazás regisztrálva lett, és rendelkezik az API használatára vonatkozó engedélyekkel, hozzáférést kell adnia az alkalmazásnak az Application Insights-erőforráshoz.

1. Az Application Insights-erőforrás áttekintési lapján válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

2. Válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget.

3. Válassza ki az Olvasó szerepkört, majd válassza a Tagok lehetőséget.

4. A Tagok lapon válassza a Tagok kijelölése lehetőséget.

5. Írja be az alkalmazás nevét a Kiválasztás mezőbe.

6. Válassza ki az alkalmazást, és válassza a Kiválasztás lehetőséget.

7. Válassza az Áttekintés + hozzárendelés lehetőséget.

8. Miután befejezte az Active Directory beállítását és engedélyeit, kérjen egy engedélyezési jogkivonatot.

Feljegyzés

Ebben a példában az Olvasó szerepkört alkalmaztuk. Ez a szerepkör egyike a számos beépített szerepkörnek, és a szükségesnél több engedélyt is tartalmazhat. Részletesebb szerepkörök és engedélyek hozhatók létre.

Engedélyezési jogkivonat kérése

Mielőtt hozzákezdene, győződjön meg arról, hogy rendelkezik a kérés sikeres végrehajtásához szükséges összes értékkel. Minden kéréshez a következőre van szükség:

• A Microsoft Entra-bérlő azonosítója.
• Az App Insights alkalmazásazonosítója – Ha jelenleg API-kulcsokat használ, az ugyanaz az alkalmazásazonosító.
• Az alkalmazás Microsoft Entra-ügyfélazonosítója.
• Az alkalmazás Microsoft Entra-ügyfélkódja.

Az Application Insights API három különböző Microsoft Entra ID OAuth2-folyamattal támogatja a Microsoft Entra-hitelesítést:

• Ügyfél-hitelesítő adatok
• Engedélyezési kód
• Magától értetődő

Ügyfél hitelesítő adatainak folyamata

Az ügyfél hitelesítő adatainak folyamatában a jogkivonatot az Application Insights végpontja használja. Az alkalmazás Microsoft Entra-azonosítóban való regisztrálásakor az előző lépésben megadott hitelesítő adatokkal egyetlen kérés érkezik a jogkivonat fogadásához.

Használja a végpontot https://api.applicationinsights.io .

Ügyfél hitelesítő adatainak token URL-címe (POST-kérés)

    POST /<your-tenant-id>/oauth2/token
    Host: https://login.microsoftonline.com
    Content-Type: application/x-www-form-urlencoded
    
    grant_type=client_credentials
    &client_id=<app-client-id>
    &resource=https://api.applicationinsights.io
    &client_secret=<app-client-secret>

A sikeres kérés hozzáférési jogkivonatot kap a válaszban:

    {
        token_type": "Bearer",
        "expires_in": "86399",
        "ext_expires_in": "86399",
        "access_token": "eyJ0eXAiOiJKV1QiLCJ.....Ax"
    }

Használja a tokent az Application Insights-végpontra irányuló kérelmekben.

    POST /v1/apps/yous_app_id/query?timespan=P1D
    Host: https://api.applicationinsights.io
    Content-Type: application/json
    Authorization: Bearer <your access token>

    Body:
    {
    "query": "requests | take 10"
    }

Példaválasz:

  "tables": [
    {
      "name": "PrimaryResult",
      "columns": [
        {
          "name": "timestamp",
          "type": "datetime"
        },
        {
          "name": "id",
          "type": "string"
        },
        {
          "name": "source",
          "type": "string"
        },
        {
          "name": "name",
          "type": "string"
        },
        {
          "name": "url",
          "type": "string"
        },
        {
          "name": "success",
          "type": "string"
        },
        {
          "name": "resultCode",
          "type": "string"
        },
        {
          "name": "duration",
          "type": "real"
        },
        {
          "name": "performanceBucket",
          "type": "string"
        },
        {
          "name": "customDimensions",
          "type": "dynamic"
        },
        {
          "name": "customMeasurements",
          "type": "dynamic"
        },
        {
          "name": "operation_Name",
          "type": "string"
        },
        {
          "name": "operation_Id",
          "type": "string"
        },
        {
          "name": "operation_ParentId",
          "type": "string"
        },
        {
          "name": "operation_SyntheticSource",
          "type": "string"
        },
        {
          "name": "session_Id",
          "type": "string"
        },
        {
          "name": "user_Id",
          "type": "string"
        },
        {
          "name": "user_AuthenticatedId",
          "type": "string"
        },
        {
          "name": "user_AccountId",
          "type": "string"
        },
        {
          "name": "application_Version",
          "type": "string"
        },
        {
          "name": "client_Type",
          "type": "string"
        },
        {
          "name": "client_Model",
          "type": "string"
        },
        {
          "name": "client_OS",
          "type": "string"
        },
        {
          "name": "client_IP",
          "type": "string"
        },
        {
          "name": "client_City",
          "type": "string"
        },
        {
          "name": "client_StateOrProvince",
          "type": "string"
        },
        {
          "name": "client_CountryOrRegion",
          "type": "string"
        },
        {
          "name": "client_Browser",
          "type": "string"
        },
        {
          "name": "cloud_RoleName",
          "type": "string"
        },
        {
          "name": "cloud_RoleInstance",
          "type": "string"
        },
        {
          "name": "appId",
          "type": "string"
        },
        {
          "name": "appName",
          "type": "string"
        },
        {
          "name": "iKey",
          "type": "string"
        },
        {
          "name": "sdkVersion",
          "type": "string"
        },
        {
          "name": "itemId",
          "type": "string"
        },
        {
          "name": "itemType",
          "type": "string"
        },
        {
          "name": "itemCount",
          "type": "int"
        }
      ],
      "rows": [
        [
          "2018-02-01T17:33:09.788Z",
          "|0qRud6jz3k0=.c32c2659_",
          null,
          "GET Reports/Index",
          "http://fabrikamfiberapp.azurewebsites.net/Reports",
          "True",
          "200",
          "3.3833",
          "<250ms",
          "{\"_MS.ProcessedByMetricExtractors\":\"(Name:'Requests', Ver:'1.0')\"}",
          null,
          "GET Reports/Index",
          "0qRud6jz3k0=",
          "0qRud6jz3k0=",
          "Application Insights Availability Monitoring",
          "9fc6738d-7e26-44f0-b88e-6fae8ccb6b26",
          "us-va-ash-azr_9fc6738d-7e26-44f0-b88e-6fae8ccb6b26",
          null,
          null,
          "AutoGen_49c3aea0-4641-4675-93b5-55f7a62d22d3",
          "PC",
          null,
          null,
          "52.168.8.0",
          "Boydton",
          "Virginia",
          "United States",
          null,
          "fabrikamfiberapp",
          "RD00155D5053D1",
          "cf58dcfd-0683-487c-bc84-048789bca8e5",
          "fabrikamprod",
          "5a2e4e0c-e136-4a15-9824-90ba859b0a89",
          "web:2.5.0-33031",
          "051ad4ef-0776-11e8-ac6e-e30599af6943",
          "request",
          "1"
        ],
        [
          "2018-02-01T17:33:15.786Z",
          "|x/Ysh+M1TfU=.c32c265a_",
          null,
          "GET Home/Index",
          "http://fabrikamfiberapp.azurewebsites.net/",
          "True",
          "200",
          "716.2912",
          "500ms-1sec",
          "{\"_MS.ProcessedByMetricExtractors\":\"(Name:'Requests', Ver:'1.0')\"}",
          null,
          "GET Home/Index",
          "x/Ysh+M1TfU=",
          "x/Ysh+M1TfU=",
          "Application Insights Availability Monitoring",
          "58b15be6-d1e6-4d89-9919-52f63b840913",
          "emea-se-sto-edge_58b15be6-d1e6-4d89-9919-52f63b840913",
          null,
          null,
          "AutoGen_49c3aea0-4641-4675-93b5-55f7a62d22d3",
          "PC",
          null,
          null,
          "51.141.32.0",
          "Cardiff",
          "Cardiff",
          "United Kingdom",
          null,
          "fabrikamfiberapp",
          "RD00155D5053D1",
          "cf58dcfd-0683-487c-bc84-048789bca8e5",
          "fabrikamprod",
          "5a2e4e0c-e136-4a15-9824-90ba859b0a89",
          "web:2.5.0-33031",
          "051ad4f0-0776-11e8-ac6e-e30599af6943",
          "request",
          "1"
        ]
      ]
    }
  ]
}

Engedélyezési kódfolyamat

A fő támogatott OAuth2-folyamat engedélyezési kódokon keresztül történik. Ehhez a metódushoz két HTTP-kérés szükséges egy jogkivonat beszerzéséhez, amellyel meghívható az Azure Monitor Application Insights API. Két URL-cím érhető el, kérésenként egy végponttal. Formátumukat a következő szakaszok ismertetik.

Engedélyezési kód URL-címe (GET-kérelem)

    GET https://login.microsoftonline.com/YOUR_Azure AD_TENANT/oauth2/authorize?
    client_id=<app-client-id>
    &response_type=code
    &redirect_uri=<app-redirect-uri>
    &resource=https://api.applicationinsights.io

Amikor egy kérelem az engedélyezett URL-címre történik, az client\_id az alkalmazás azonosítója a Microsoft Entra alkalmazásból, amelyet az alkalmazás tulajdonságainak menüjéből másolnak. A redirect\_uri ugyanabból a Microsoft Entra-alkalmazásból származó homepage/login URL-cím. Ha egy kérés sikeres, ez a végpont átirányítja a regisztrációkor megadott bejelentkezési oldalra az URL-címhez fűzött engedélyezési kóddal. Lásd a következő példát:

    http://<app-client-id>/?code=AUTHORIZATION_CODE&session_state=STATE_GUID

Ezen a ponton beszerez egy engedélyezési kódot, amellyel most hozzáférési jogkivonatot kérhet le.

Az engedélyezési kód token URL-címe (POST kérés)

    POST /YOUR_Azure AD_TENANT/oauth2/token HTTP/1.1
    Host: https://login.microsoftonline.com
    Content-Type: application/x-www-form-urlencoded
    
    grant_type=authorization_code
    &client_id=<app client id>
    &code=<auth code fom GET request>
    &redirect_uri=<app-client-id>
    &resource=https://api.applicationinsights.io
    &client_secret=<app-client-secret>

Minden érték megegyezik a korábbi értékekkel, néhány kiegészítéssel. Az engedélyezési kód ugyanaz a kód, amelyet az előző kérelemben kapott egy sikeres átirányítás után. A kód a Microsoft Entra alkalmazásból beszerzett kulccsal van kombinálva. Ha nem mentette a kulcsot, törölheti, és létrehozhat egy újat a Microsoft Entra alkalmazás menüjének Kulcsok lapján. A válasz egy JSON-sztring, amely egy tokent tartalmaz a következő sémával. A tokenértékek esetében típusok jelennek meg.

Példa a válaszra:

    {
        "access_token": "eyJ0eXAiOiJKV1QiLCJ.....Ax",
        "expires_in": "3600",
        "ext_expires_in": "1503641912",
        "id_token": "not_needed_for_app_insights",
        "not_before": "1503638012",
        "refresh_token": "eyJ0esdfiJKV1ljhgYF.....Az",
        "resource": "https://api.applicationinsights.io",
        "scope": "Data.Read",
        "token_type": "bearer"
    }

Ennek a válasznak a hozzáférési jogkivonata az, amit a fejlécben az Application Insights API-nak Authorization: Bearer mutat be. A jövőben is használhatja a frissítési jogkivonatot egy új access_token és refresh_token beszerzéséhez, ha az ön jelenlegi példányai elavulnak. Ebben a kérésben a formátum és a végpont a következő:

    POST /YOUR_AAD_TENANT/oauth2/token HTTP/1.1
    Host: https://login.microsoftonline.com
    Content-Type: application/x-www-form-urlencoded
    
    client_id=<app-client-id>
    &refresh_token=<refresh-token>
    &grant_type=refresh_token
    &resource=https://api.applicationinsights.io
    &client_secret=<app-client-secret>

Példa a válaszra:

    {
      "token_type": "Bearer",
      "expires_in": "3600",
      "expires_on": "1460404526",
      "resource": "https://api.applicationinsights.io",
      "access_token": "eyJ0eXAiOiJKV1QiLCJ.....Ax",
      "refresh_token": "eyJ0esdfiJKV1ljhgYF.....Az"
    }

Implicit kódfolyamat

Az Application Insights API támogatja az OAuth2 implicit folyamatot. Ehhez a folyamathoz csak egyetlen kérésre van szükség, de nem szerezhető be frissítési jogkivonat.

Implicit kód engedélyezési URL-címe

    GET https://login.microsoftonline.com/YOUR_AAD_TENANT/oauth2/authorize?
    client_id=<app-client-id>
    &response_type=token
    &redirect_uri=<app-redirect-uri>
    &resource=https://api.applicationinsights.io

Egy sikeres kérés átirányítja Önt az átirányítási URI-ra, az URL-ben található tokennel együtt.

    http://YOUR_REDIRECT_URI/#access_token=YOUR_ACCESS_TOKEN&token_type=Bearer&expires_in=3600&session_state=STATE_GUID

Ez a access_token szolgál fejlécértékként Authorization: Bearer , amikor átadja az Application Insights API-nak a kérések engedélyezéséhez.

Helyi hitelesítés letiltása

A Microsoft Entra-hitelesítés engedélyezése után letilthatja a helyi hitelesítést. Ez a konfiguráció lehetővé teszi a kizárólag a Microsoft Entra ID által hitelesített telemetriai adatok betöltését, és hatással van az adathozzáférésre (például API-kulcsokon keresztül).

Letilthatja a helyi hitelesítést az Azure Portal vagy az Azure Policy használatával, vagy programozott módon.

Azure Portal

1. Az Application Insights-erőforrásban válassza a Tulajdonságok lehetőségeta bal oldali menü Konfigurálás területén. Ha a helyi hitelesítés engedélyezve van, válassza az Engedélyezve (kattintson ide a módosításhoz) lehetőséget.

   

2. Válassza a Letiltva lehetőséget, és alkalmazza a módosításokat.

   

3. Miután letiltotta a helyi hitelesítést az erőforráson, a megfelelő információk megjelennek az Áttekintés panelen.

   

Azure Policy

Az Azure Policy megakadályozza DisableLocalAuth, hogy a felhasználók új Application Insights-erőforrást hozzanak létre, amíg ez a tulajdonság nincs true beállítva. A szabályzat neve Application Insights components should block non-Azure Active Directory based ingestion.

Ha ezt a szabályzatdefiníciót az előfizetésére szeretné alkalmazni, hozzon létre egy új szabályzat-hozzárendelést, és rendelje hozzá a szabályzatot.

Az alábbi példa a szabályzatsablon definícióját mutatja be:

{
    "properties": {
        "displayName": "Application Insights components should block non-Azure Active Directory based ingestion",
        "policyType": "BuiltIn",
        "mode": "Indexed",
        "description": "Improve Application Insights security by disabling log ingestion that are not AAD-based.",
        "metadata": {
            "version": "1.0.0",
            "category": "Monitoring"
        },
        "parameters": {
            "effect": {
                "type": "String",
                "metadata": {
                    "displayName": "Effect",
                    "description": "The effect determines what happens when the policy rule is evaluated to match"
                },
                "allowedValues": [
                    "audit",
                    "deny",
                    "disabled"
                ],
                "defaultValue": "audit"
            }
        },
        "policyRule": {
            "if": {
                "allOf": [
                    {
                        "field": "type",
                        "equals": "Microsoft.Insights/components"
                    },
                    {
                        "field": "Microsoft.Insights/components/DisableLocalAuth",
                        "notEquals": "true"                        
                    }
                ]
            },
            "then": {
                "effect": "[parameters('effect')]"
            }
        }
    }
}

Programozott engedélyezés

A tulajdonság DisableLocalAuth az Application Insights-erőforráson található helyi hitelesítés letiltására szolgál. Ha ez a tulajdonság be van állítva true, kényszeríti, hogy a Microsoft Entra-hitelesítést minden hozzáféréshez használni kell.

Az alábbi példa azt az Azure Resource Manager-sablont mutatja be, amellyel munkaterület-alapú Application Insights-erőforrást LocalAuth hozhat létre letiltva.

{
    "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "name": {
            "type": "string"
        },
        "type": {
            "type": "string"
        },
        "regionId": {
            "type": "string"
        },
        "tagsArray": {
            "type": "object"
        },
        "requestSource": {
            "type": "string"
        },
        "workspaceResourceId": {
            "type": "string"
        },
        "disableLocalAuth": {
            "type": "bool"
        }
     
    },
    "resources": [
        {
        "name": "[parameters('name')]",
        "type": "microsoft.insights/components",
        "location": "[parameters('regionId')]",
        "tags": "[parameters('tagsArray')]",
        "apiVersion": "2020-02-02-preview",
        "dependsOn": [],
        "properties": {
            "Application_Type": "[parameters('type')]",
            "Flow_Type": "Redfield",
            "Request_Source": "[parameters('requestSource')]",
            "WorkspaceResourceId": "[parameters('workspaceResourceId')]",
            "DisableLocalAuth": "[parameters('disableLocalAuth')]"
            }
    }
 ]
}

Mintaközönség

Amikor egyéni ügyfelet fejleszt, hogy hozzáférési jogkivonatot szerezzen be a Microsoft Entra ID-ból a telemetriai adatok Application Insightsba való elküldéséhez, tekintse meg az alábbi táblázatot, amely meghatározza az adott gazdagépkörnyezethez tartozó célközönség-sztringet.

Azure-felhőverzió	Token közönség értéke
Nyilvános Azure-felhő	https://monitor.azure.com
A 21Vianet-felhő által üzemeltetett Microsoft Azure	https://monitor.azure.cn
Az Azure amerikai kormányfelhő	https://monitor.azure.us

Ha szuverén felhőket használ, a kapcsolati láncban a célközönség adatait is megtalálhatja. A kapcsolati karakterlánc a következő struktúrát követi:

InstrumentationKey={profile.InstrumentationKey}; IngestionEndpoint={ingestionEndpoint}; LiveEndpoint={liveDiagnosticsEndpoint}; AADAudience={aadAudience}

Az AADAudience célközönségparamétere az adott környezettől függően változhat.

Hibaelhárítás

A hibaelhárítási útmutatót a Microsoft Entra hitelesítési problémáinak elhárítása című témakörben találja.

Következő lépések

• A telemetria figyelése a portálon
• Diagnosztizálás Élő metrikák adatfolyam segítségével
• Application Insights lekérdezése Microsoft Entra-hitelesítéssel