Microsoft Entra-verificatie voor Application Insights

Application Insights biedt nu ondersteuning voor Microsoft Entra-verificatie. Met behulp van Microsoft Entra ID kunt u ervoor zorgen dat alleen geverifieerde telemetriegegevens worden opgenomen in uw Application Insights-resources.

Het gebruik van verschillende verificatiesystemen kan lastig en riskant zijn, omdat het lastig is om referenties op schaal te beheren. U kunt er nu voor kiezen om ervoor te zorgen dat alleen telemetrie wordt geverifieerd met behulp van beheerde identiteiten en Microsoft Entra-id wordt opgenomen in uw resource. Deze functie is een stap voor het verbeteren van de beveiliging en betrouwbaarheid van de telemetrie die wordt gebruikt om kritieke operationele (waarschuwingen en automatisch schalen) en zakelijke beslissingen te nemen.

Vereisten

De volgende voorbereidende stappen zijn vereist om geverifieerde opname van Microsoft Entra in te schakelen. U moet het volgende doen:

• Wees in de openbare cloud.
• Vertrouwd zijn met:
  • Beheerde identiteit.
  • Service-principal.
  • Azure-rollen toewijzen.
• Als u toegang verleent met behulp van ingebouwde Azure-rollen , moet u de rol Eigenaar hebben voor de resourcegroep.
• Inzicht in de niet-ondersteunde scenario's.

Niet-ondersteunde scenario's

De volgende SDK's (Software Development Kits) en functies worden niet ondersteund voor gebruik met door Microsoft Entra geverifieerde opname:

• Application Insights Java 2.x SDK.
  Microsoft Entra-verificatie is alleen beschikbaar voor Application Insights Java Agent groter dan of gelijk aan 3.2.0.
• ApplicationInsights JavaScript-web-SDK.
• Application Insights OpenCensus Python SDK met Python versie 3.4 en 3.5.
• AutoInstrumentation voor Python in Azure-app Service
• Profiler.

Verificatie op basis van Microsoft Entra-id configureren en inschakelen

1. Als u nog geen identiteit hebt, maakt u er een met behulp van een beheerde identiteit of een service-principal.

   • U wordt aangeraden een beheerde identiteit te gebruiken:

     Stel een beheerde identiteit in voor uw Azure-service (virtuele machines of App Service).

   • We raden u niet aan een service-principal te gebruiken:

     Zie Een service-principal maken voor meer informatie over het maken van een Microsoft Entra-toepassing en service-principal die toegang hebben tot resources.

2. Wijs de vereiste RBAC-rol (op rollen gebaseerd toegangsbeheer) toe aan de Azure-identiteit, -service-principal of het Azure-gebruikersaccount.

   Volg de stappen in Azure-rollen toewijzen om de rol Monitoring Metrics Publisher toe te voegen aan de verwachte identiteit, service-principal of Azure-gebruikersaccount door de Doel Application Insights-resource in te stellen als het rolbereik.

   Notitie

   Hoewel de rol Monitoring Metrics Publisher 'metrics' (metrische gegevens) bevat, worden alle telemetriegegevens naar de Application Insights-resource gepubliceerd.

3. Volg de configuratierichtlijnen in overeenstemming met de taal die volgt.

.NET

Notitie

Ondersteuning voor Microsoft Entra ID in de Application Insights .NET SDK is opgenomen vanaf versie 2.18-Beta3.

Application Insights .NET SDK ondersteunt de referentieklassen van Azure Identity.

• We raden u aan DefaultAzureCredential voor lokale ontwikkeling.
• Verifieer in Visual Studio met het verwachte Azure-gebruikersaccount. Zie Verifiëren via Visual Studio voor meer informatie.
• U wordt aangeraden ManagedIdentityCredential voor door het systeem toegewezen en door de gebruiker toegewezen beheerde identiteiten.
  • Gebruik voor door het systeem toegewezen de standaardconstructor zonder parameters.
  • Geef voor door de gebruiker toegewezen de client-id op voor de constructor.

In het volgende voorbeeld ziet u hoe u handmatig .NET maakt en configureert TelemetryConfiguration :

TelemetryConfiguration.Active.ConnectionString = "InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/";
var credential = new DefaultAzureCredential();
TelemetryConfiguration.Active.SetAzureTokenCredential(credential);

In het volgende voorbeeld ziet u hoe u configureert TelemetryConfiguration met behulp van .NET Core:

services.Configure<TelemetryConfiguration>(config =>
{
    var credential = new DefaultAzureCredential();
    config.SetAzureTokenCredential(credential);
});
services.AddApplicationInsightsTelemetry(new ApplicationInsightsServiceOptions
{
    ConnectionString = "InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/"
});

Configuratie van omgevingsvariabele

Gebruik de APPLICATIONINSIGHTS_AUTHENTICATION_STRING omgevingsvariabele om Application Insights te laten verifiëren bij Microsoft Entra ID en telemetrie te verzenden bij het gebruik van Azure-app Services autoinstrumentation.

• Voor door het systeem toegewezen identiteit:

App-instelling	Weergegeven als
APPLICATIONINSIGHTS_AUTHENTICATION_STRING	Authorization=AAD

• Voor door de gebruiker toegewezen identiteit:

App-instelling	Weergegeven als
APPLICATIONINSIGHTS_AUTHENTICATION_STRING	Authorization=AAD;ClientId={Client id of the User-Assigned Identity}

Node.js

Azure Monitor OpenTelemetry en Application Insights Node.JS ondersteunt de referentieklassen van Azure Identity.

• We raden u aan DefaultAzureCredential voor lokale ontwikkeling.
• U wordt aangeraden ManagedIdentityCredential voor door het systeem toegewezen en door de gebruiker toegewezen beheerde identiteiten.
  • Gebruik voor door het systeem toegewezen de standaardconstructor zonder parameters.
  • Geef voor door de gebruiker toegewezen de client-id op voor de constructor.
• We raden u aan ClientSecretCredential voor service-principals.
  • Geef de tenant-id, client-id en clientgeheim op voor de constructor.

Als u @azure/monitor-opentelemetry

const { useAzureMonitor, AzureMonitorOpenTelemetryOptions } = require("@azure/monitor-opentelemetry");
const { ManagedIdentityCredential } = require("@azure/identity");

const credential = new ManagedIdentityCredential();
const options: AzureMonitorOpenTelemetryOptions = {
    azureMonitorExporterOptions: {
        connectionString:
            process.env["APPLICATIONINSIGHTS_CONNECTION_STRING"] || "<your connection string>",
        credential: credential
    }
};
useAzureMonitor(options);

Notitie

Ondersteuning voor Microsoft Entra-id in de Application Insights-Node.JS is opgenomen vanaf versie 2.1.0-beta.1.

Als u npm-pakket gebruikt applicationinsights .

const appInsights = require("applicationinsights");
const { DefaultAzureCredential } = require("@azure/identity");
 
const credential = new DefaultAzureCredential();
appInsights.setup("InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/").start();
appInsights.defaultClient.config.aadTokenCredential = credential;

Configuratie van omgevingsvariabele

Gebruik de APPLICATIONINSIGHTS_AUTHENTICATION_STRING omgevingsvariabele om Application Insights te laten verifiëren bij Microsoft Entra ID en telemetrie te verzenden bij het gebruik van Azure-app Services autoinstrumentation.

• Voor door het systeem toegewezen identiteit:

App-instelling	Weergegeven als
APPLICATIONINSIGHTS_AUTHENTICATION_STRING	Authorization=AAD

• Voor door de gebruiker toegewezen identiteit:

App-instelling	Weergegeven als
APPLICATIONINSIGHTS_AUTHENTICATION_STRING	Authorization=AAD;ClientId={Client id of the User-Assigned Identity}

Java

Notitie

Ondersteuning voor Microsoft Entra ID in de Application Insights Java-agent is opgenomen vanaf Java 3.2.0-BETA.

1. Configureer uw toepassing met de Java-agent.

   Belangrijk

   Gebruik de volledige verbindingsreeks, inclusiefIngestionEndpoint, wanneer u uw app configureert met de Java-agent. Gebruik bijvoorbeeld InstrumentationKey=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX;IngestionEndpoint=https://XXXX.applicationinsights.azure.com/.

2. Voeg de JSON-configuratie toe aan het ApplicationInsights.json configuratiebestand, afhankelijk van de verificatie die u gebruikt. U wordt aangeraden beheerde identiteiten te gebruiken.

Notitie

Zie Upgraden van Application Insights Java 2.x SDK voor meer informatie over het migreren van de 2.X SDK naar de 3.X Java-agent.

Door het systeem toegewezen beheerde identiteit

In het volgende voorbeeld ziet u hoe u de Java-agent configureert voor het gebruik van door het systeem toegewezen beheerde identiteit voor verificatie met Microsoft Entra-id.

{ 
  "connectionString": "App Insights Connection String with IngestionEndpoint", 
  "authentication": { 
    "enabled": true, 
    "type": "SAMI" 
  } 
} 

Door de gebruiker toegewezen beheerde identiteit

In het volgende voorbeeld ziet u hoe u de Java-agent configureert voor het gebruik van door de gebruiker toegewezen beheerde identiteit voor verificatie met Microsoft Entra-id.

{ 
  "connectionString": "App Insights Connection String with IngestionEndpoint", 
  "authentication": { 
    "enabled": true, 
    "type": "UAMI", 
    "clientId":"<USER-ASSIGNED MANAGED IDENTITY CLIENT ID>" 
  } 
} 

Configuratie van omgevingsvariabele

Met de APPLICATIONINSIGHTS_AUTHENTICATION_STRING omgevingsvariabele kan Application Insights worden geverifieerd bij Microsoft Entra-id en telemetrie worden verzonden.

• Voor door het systeem toegewezen identiteit:

App-instelling	Weergegeven als
APPLICATIONINSIGHTS_AUTHENTICATION_STRING	Authorization=AAD

• Voor door de gebruiker toegewezen identiteit:

App-instelling	Weergegeven als
APPLICATIONINSIGHTS_AUTHENTICATION_STRING	Authorization=AAD;ClientId={Client id of the User-Assigned Identity}

Stel de APPLICATIONINSIGHTS_AUTHENTICATION_STRING omgevingsvariabele in met behulp van deze tekenreeks.

In Unix/Linux:

export APPLICATIONINSIGHTS_AUTHENTICATION_STRING="Authorization=AAD"

In Windows:

set APPLICATIONINSIGHTS_AUTHENTICATION_STRING="Authorization=AAD"

Nadat u deze hebt ingesteld, start u de toepassing opnieuw op. Er wordt nu telemetrie naar Application Insights verzonden met behulp van Microsoft Entra-verificatie.

Python

Zie Microsoft Entra ID-verificatie (voorheen Azure AD) inschakelen als u een beveiligde verbinding met Azure wilt configureren met behulp van OpenTelemetry.

Als u wilt configureren met Behulp van OpenCensus (afgeschaft), raadpleegt u Verificatie op basis van Microsoft Entra ID configureren en inschakelen.

Query's uitvoeren op Application Insights met Behulp van Microsoft Entra-verificatie

U kunt een queryaanvraag indienen met behulp van het Azure Monitor Application Insights-eindpunt https://api.applicationinsights.io. Voor toegang tot het eindpunt moet u zich verifiëren via Microsoft Entra-id.

Verificatie instellen

Voor toegang tot de API registreert u een client-app bij Microsoft Entra-id en vraagt u een token aan.

1. Registreer een app in Microsoft Entra-id.

2. Selecteer API-machtigingen op de overzichtspagina van de app.

3. Selecteer Een machtiging toevoegen.

4. Op de API's die mijn organisatie gebruikt, zoekt u naar Application Insights en selecteert u Application Insights-API in de lijst.

5. Selecteer Gedelegeerde machtigingen.

6. Schakel het selectievakje Data.Read in.

7. Selecteer Machtigingen toevoegen.

Nu uw app is geregistreerd en machtigingen heeft om de API te gebruiken, verleent u uw app toegang tot uw Application Insights-resource.

1. Selecteer op de overzichtspagina van uw Application Insights-resource toegangsbeheer (IAM).

2. Selecteer Roltoewijzing toevoegen.

3. Selecteer de rol Lezer en selecteer vervolgens Leden.

4. Kies Leden selecteren op het tabblad Leden.

5. Voer de naam van uw app in het vak Selecteren in.

6. Selecteer uw app en kies Selecteren.

7. Selecteer Controleren + toewijzen.

8. Nadat u de Active Directory-installatie en -machtigingen hebt voltooid, vraagt u een autorisatietoken aan.

Notitie

In dit voorbeeld hebben we de rol Lezer toegepast. Deze rol is een van de vele ingebouwde rollen en kan meer machtigingen bevatten dan u nodig hebt. Er kunnen meer gedetailleerde rollen en machtigingen worden gemaakt.

Een autorisatietoken aanvragen

Voordat u begint, moet u ervoor zorgen dat u alle waarden hebt die nodig zijn om de aanvraag te maken. Voor alle aanvragen is het volgende vereist:

• Uw Microsoft Entra-tenant-id.
• Uw App Insights-app-id: als u momenteel API-sleutels gebruikt, is dit dezelfde app-id.
• Uw Microsoft Entra-client-id voor de app.
• Een Microsoft Entra-clientgeheim voor de app.

De Application Insights-API ondersteunt Microsoft Entra-verificatie met drie verschillende OAuth2-stromen voor Microsoft Entra-id:

• Clientreferenties
• Autorisatiecode
• Impliciet

Stroom voor clientreferenties

In de clientreferentiestroom wordt het token gebruikt met het Application Insights-eindpunt. Er wordt één aanvraag gedaan om een token te ontvangen met behulp van de referenties die zijn opgegeven voor uw app in de vorige stap wanneer u een app registreert in Microsoft Entra ID.

Gebruik het https://api.applicationinsights.io eindpunt.

Token-URL van clientreferenties (POST-aanvraag)

    POST /<your-tenant-id>/oauth2/token
    Host: https://login.microsoftonline.com
    Content-Type: application/x-www-form-urlencoded
    
    grant_type=client_credentials
    &client_id=<app-client-id>
    &resource=https://api.applicationinsights.io
    &client_secret=<app-client-secret>

Een geslaagde aanvraag ontvangt een toegangstoken in het antwoord:

    {
        token_type": "Bearer",
        "expires_in": "86399",
        "ext_expires_in": "86399",
        "access_token": "eyJ0eXAiOiJKV1QiLCJ.....Ax"
    }

Gebruik het token in aanvragen voor het Application Insights-eindpunt:

    POST /v1/apps/yous_app_id/query?timespan=P1D
    Host: https://api.applicationinsights.io
    Content-Type: application/json
    Authorization: Bearer <your access token>

    Body:
    {
    "query": "requests | take 10"
    }

Voorbeeld van een reactie:

  "tables": [
    {
      "name": "PrimaryResult",
      "columns": [
        {
          "name": "timestamp",
          "type": "datetime"
        },
        {
          "name": "id",
          "type": "string"
        },
        {
          "name": "source",
          "type": "string"
        },
        {
          "name": "name",
          "type": "string"
        },
        {
          "name": "url",
          "type": "string"
        },
        {
          "name": "success",
          "type": "string"
        },
        {
          "name": "resultCode",
          "type": "string"
        },
        {
          "name": "duration",
          "type": "real"
        },
        {
          "name": "performanceBucket",
          "type": "string"
        },
        {
          "name": "customDimensions",
          "type": "dynamic"
        },
        {
          "name": "customMeasurements",
          "type": "dynamic"
        },
        {
          "name": "operation_Name",
          "type": "string"
        },
        {
          "name": "operation_Id",
          "type": "string"
        },
        {
          "name": "operation_ParentId",
          "type": "string"
        },
        {
          "name": "operation_SyntheticSource",
          "type": "string"
        },
        {
          "name": "session_Id",
          "type": "string"
        },
        {
          "name": "user_Id",
          "type": "string"
        },
        {
          "name": "user_AuthenticatedId",
          "type": "string"
        },
        {
          "name": "user_AccountId",
          "type": "string"
        },
        {
          "name": "application_Version",
          "type": "string"
        },
        {
          "name": "client_Type",
          "type": "string"
        },
        {
          "name": "client_Model",
          "type": "string"
        },
        {
          "name": "client_OS",
          "type": "string"
        },
        {
          "name": "client_IP",
          "type": "string"
        },
        {
          "name": "client_City",
          "type": "string"
        },
        {
          "name": "client_StateOrProvince",
          "type": "string"
        },
        {
          "name": "client_CountryOrRegion",
          "type": "string"
        },
        {
          "name": "client_Browser",
          "type": "string"
        },
        {
          "name": "cloud_RoleName",
          "type": "string"
        },
        {
          "name": "cloud_RoleInstance",
          "type": "string"
        },
        {
          "name": "appId",
          "type": "string"
        },
        {
          "name": "appName",
          "type": "string"
        },
        {
          "name": "iKey",
          "type": "string"
        },
        {
          "name": "sdkVersion",
          "type": "string"
        },
        {
          "name": "itemId",
          "type": "string"
        },
        {
          "name": "itemType",
          "type": "string"
        },
        {
          "name": "itemCount",
          "type": "int"
        }
      ],
      "rows": [
        [
          "2018-02-01T17:33:09.788Z",
          "|0qRud6jz3k0=.c32c2659_",
          null,
          "GET Reports/Index",
          "http://fabrikamfiberapp.azurewebsites.net/Reports",
          "True",
          "200",
          "3.3833",
          "<250ms",
          "{\"_MS.ProcessedByMetricExtractors\":\"(Name:'Requests', Ver:'1.0')\"}",
          null,
          "GET Reports/Index",
          "0qRud6jz3k0=",
          "0qRud6jz3k0=",
          "Application Insights Availability Monitoring",
          "9fc6738d-7e26-44f0-b88e-6fae8ccb6b26",
          "us-va-ash-azr_9fc6738d-7e26-44f0-b88e-6fae8ccb6b26",
          null,
          null,
          "AutoGen_49c3aea0-4641-4675-93b5-55f7a62d22d3",
          "PC",
          null,
          null,
          "52.168.8.0",
          "Boydton",
          "Virginia",
          "United States",
          null,
          "fabrikamfiberapp",
          "RD00155D5053D1",
          "cf58dcfd-0683-487c-bc84-048789bca8e5",
          "fabrikamprod",
          "5a2e4e0c-e136-4a15-9824-90ba859b0a89",
          "web:2.5.0-33031",
          "051ad4ef-0776-11e8-ac6e-e30599af6943",
          "request",
          "1"
        ],
        [
          "2018-02-01T17:33:15.786Z",
          "|x/Ysh+M1TfU=.c32c265a_",
          null,
          "GET Home/Index",
          "http://fabrikamfiberapp.azurewebsites.net/",
          "True",
          "200",
          "716.2912",
          "500ms-1sec",
          "{\"_MS.ProcessedByMetricExtractors\":\"(Name:'Requests', Ver:'1.0')\"}",
          null,
          "GET Home/Index",
          "x/Ysh+M1TfU=",
          "x/Ysh+M1TfU=",
          "Application Insights Availability Monitoring",
          "58b15be6-d1e6-4d89-9919-52f63b840913",
          "emea-se-sto-edge_58b15be6-d1e6-4d89-9919-52f63b840913",
          null,
          null,
          "AutoGen_49c3aea0-4641-4675-93b5-55f7a62d22d3",
          "PC",
          null,
          null,
          "51.141.32.0",
          "Cardiff",
          "Cardiff",
          "United Kingdom",
          null,
          "fabrikamfiberapp",
          "RD00155D5053D1",
          "cf58dcfd-0683-487c-bc84-048789bca8e5",
          "fabrikamprod",
          "5a2e4e0c-e136-4a15-9824-90ba859b0a89",
          "web:2.5.0-33031",
          "051ad4f0-0776-11e8-ac6e-e30599af6943",
          "request",
          "1"
        ]
      ]
    }
  ]
}

Stroom voor autorisatiecode

De belangrijkste OAuth2-stroom die wordt ondersteund, is via autorisatiecodes. Voor deze methode zijn twee HTTP-aanvragen vereist om een token te verkrijgen waarmee de Azure Monitor Application Insights-API moet worden aangeroepen. Er zijn twee URL's, met één eindpunt per aanvraag. De indelingen worden beschreven in de volgende secties.

URL voor autorisatiecode (GET-aanvraag)

    GET https://login.microsoftonline.com/YOUR_Azure AD_TENANT/oauth2/authorize?
    client_id=<app-client-id>
    &response_type=code
    &redirect_uri=<app-redirect-uri>
    &resource=https://api.applicationinsights.io

Wanneer een aanvraag wordt ingediend bij de geautoriseerde URL, is dit de client\_id toepassings-id van uw Microsoft Entra-app, gekopieerd uit het eigenschappenmenu van de app. Dit redirect\_uri is de homepage/login URL van dezelfde Microsoft Entra-app. Wanneer een aanvraag is geslaagd, wordt u met dit eindpunt omgeleid naar de aanmeldingspagina die u bij de registratie hebt opgegeven, met de autorisatiecode die is toegevoegd aan de URL. Zie het volgende voorbeeld:

    http://<app-client-id>/?code=AUTHORIZATION_CODE&session_state=STATE_GUID

Op dit moment verkrijgt u een autorisatiecode, die u nu gebruikt om een toegangstoken aan te vragen.

URL van autorisatiecodetoken (POST-aanvraag)

    POST /YOUR_Azure AD_TENANT/oauth2/token HTTP/1.1
    Host: https://login.microsoftonline.com
    Content-Type: application/x-www-form-urlencoded
    
    grant_type=authorization_code
    &client_id=<app client id>
    &code=<auth code fom GET request>
    &redirect_uri=<app-client-id>
    &resource=https://api.applicationinsights.io
    &client_secret=<app-client-secret>

Alle waarden zijn hetzelfde als voorheen, met enkele toevoegingen. De autorisatiecode is dezelfde code die u in de vorige aanvraag hebt ontvangen na een geslaagde omleiding. De code wordt gecombineerd met de sleutel die is verkregen uit de Microsoft Entra-app. Als u de sleutel niet hebt opgeslagen, kunt u deze verwijderen en een nieuwe maken via het toetsentabblad van het app-menu Microsoft Entra. Het antwoord is een JSON-tekenreeks die het token bevat met het volgende schema. Typen worden aangegeven voor de tokenwaarden.

Voorbeeldrespons:

    {
        "access_token": "eyJ0eXAiOiJKV1QiLCJ.....Ax",
        "expires_in": "3600",
        "ext_expires_in": "1503641912",
        "id_token": "not_needed_for_app_insights",
        "not_before": "1503638012",
        "refresh_token": "eyJ0esdfiJKV1ljhgYF.....Az",
        "resource": "https://api.applicationinsights.io",
        "scope": "Data.Read",
        "token_type": "bearer"
    }

Het toegangstokengedeelte van dit antwoord is wat u in de Authorization: Bearer header aan de Application Insights-API presenteert. U kunt het vernieuwingstoken ook in de toekomst gebruiken om een nieuwe access_token te verkrijgen en refresh_token wanneer uw token verlopen. Voor deze aanvraag zijn de indeling en het eindpunt:

    POST /YOUR_AAD_TENANT/oauth2/token HTTP/1.1
    Host: https://login.microsoftonline.com
    Content-Type: application/x-www-form-urlencoded
    
    client_id=<app-client-id>
    &refresh_token=<refresh-token>
    &grant_type=refresh_token
    &resource=https://api.applicationinsights.io
    &client_secret=<app-client-secret>

Voorbeeldrespons:

    {
      "token_type": "Bearer",
      "expires_in": "3600",
      "expires_on": "1460404526",
      "resource": "https://api.applicationinsights.io",
      "access_token": "eyJ0eXAiOiJKV1QiLCJ.....Ax",
      "refresh_token": "eyJ0esdfiJKV1ljhgYF.....Az"
    }

Impliciete codestroom

De Application Insights-API ondersteunt de impliciete OAuth2-stroom. Voor deze stroom is slechts één aanvraag vereist, maar er kan geen vernieuwingstoken worden verkregen.

Url voor impliciete codeautorisatie

    GET https://login.microsoftonline.com/YOUR_AAD_TENANT/oauth2/authorize?
    client_id=<app-client-id>
    &response_type=token
    &redirect_uri=<app-redirect-uri>
    &resource=https://api.applicationinsights.io

Een geslaagde aanvraag produceert een omleiding naar uw omleidings-URI met het token in de URL:

    http://YOUR_REDIRECT_URI/#access_token=YOUR_ACCESS_TOKEN&token_type=Bearer&expires_in=3600&session_state=STATE_GUID

Deze access_token fungeert als de Authorization: Bearer headerwaarde wanneer deze wordt doorgegeven aan de Application Insights-API om aanvragen te autoriseren.

Lokale verificatie uitschakelen

Nadat de Microsoft Entra-verificatie is ingeschakeld, kunt u ervoor kiezen om lokale verificatie uit te schakelen. Met deze configuratie kunt u telemetrie opnemen die exclusief wordt geverifieerd door Microsoft Entra-id en van invloed is op gegevenstoegang (bijvoorbeeld via API-sleutels).

U kunt lokale verificatie uitschakelen met behulp van Azure Portal of Azure Policy of programmatisch.

Azure Portal

1. Selecteer eigenschappen in uw Application Insights-resource onder Configureren in het menu aan de linkerkant. Selecteer Ingeschakeld (klik om te wijzigen) als de lokale verificatie is ingeschakeld.

   

2. Selecteer Uitgeschakeld en pas wijzigingen toe.

   

3. Nadat u lokale verificatie voor uw resource hebt uitgeschakeld, ziet u de bijbehorende informatie in het deelvenster Overzicht .

   

Azure Policy

Azure Policy voor DisableLocalAuth het weigeren van gebruikers de mogelijkheid om een nieuwe Application Insights-resource te maken zonder dat deze eigenschap is ingesteld op true. De beleidsnaam is Application Insights components should block non-Azure Active Directory based ingestion.

Als u deze beleidsdefinitie wilt toepassen op uw abonnement, maakt u een nieuwe beleidstoewijzing en wijst u het beleid toe.

In het volgende voorbeeld ziet u de beleidssjabloondefinitie:

{
    "properties": {
        "displayName": "Application Insights components should block non-Azure Active Directory based ingestion",
        "policyType": "BuiltIn",
        "mode": "Indexed",
        "description": "Improve Application Insights security by disabling log ingestion that are not AAD-based.",
        "metadata": {
            "version": "1.0.0",
            "category": "Monitoring"
        },
        "parameters": {
            "effect": {
                "type": "String",
                "metadata": {
                    "displayName": "Effect",
                    "description": "The effect determines what happens when the policy rule is evaluated to match"
                },
                "allowedValues": [
                    "audit",
                    "deny",
                    "disabled"
                ],
                "defaultValue": "audit"
            }
        },
        "policyRule": {
            "if": {
                "allOf": [
                    {
                        "field": "type",
                        "equals": "Microsoft.Insights/components"
                    },
                    {
                        "field": "Microsoft.Insights/components/DisableLocalAuth",
                        "notEquals": "true"                        
                    }
                ]
            },
            "then": {
                "effect": "[parameters('effect')]"
            }
        }
    }
}

Programmatisch inschakelen

De eigenschap DisableLocalAuth wordt gebruikt om lokale verificatie uit te schakelen voor uw Application Insights-resource. Wanneer deze eigenschap is ingesteld trueop, wordt afgedwongen dat Microsoft Entra-verificatie moet worden gebruikt voor alle toegang.

In het volgende voorbeeld ziet u de Azure Resource Manager-sjabloon die u kunt gebruiken om een Application Insights-resource op basis van een werkruimte te maken met LocalAuth uitgeschakeld.

{
    "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "name": {
            "type": "string"
        },
        "type": {
            "type": "string"
        },
        "regionId": {
            "type": "string"
        },
        "tagsArray": {
            "type": "object"
        },
        "requestSource": {
            "type": "string"
        },
        "workspaceResourceId": {
            "type": "string"
        },
        "disableLocalAuth": {
            "type": "bool"
        }
     
    },
    "resources": [
        {
        "name": "[parameters('name')]",
        "type": "microsoft.insights/components",
        "location": "[parameters('regionId')]",
        "tags": "[parameters('tagsArray')]",
        "apiVersion": "2020-02-02-preview",
        "dependsOn": [],
        "properties": {
            "Application_Type": "[parameters('type')]",
            "Flow_Type": "Redfield",
            "Request_Source": "[parameters('requestSource')]",
            "WorkspaceResourceId": "[parameters('workspaceResourceId')]",
            "DisableLocalAuth": "[parameters('disableLocalAuth')]"
            }
    }
 ]
}

Tokendoelgroep

Wanneer u een aangepaste client ontwikkelt voor het verkrijgen van een toegangstoken van Microsoft Entra ID voor het verzenden van telemetrie naar Application Insights, raadpleegt u de volgende tabel om de juiste doelgroeptekenreeks voor uw specifieke hostomgeving te bepalen.

Azure-cloudversie	Waarde van tokendoelgroep
Openbare Azure-cloud	https://monitor.azure.com
Microsoft Azure beheerd door de 21Vianet-cloud	https://monitor.azure.cn
Azure-cloud van de Amerikaanse overheid	https://monitor.azure.us

Als u onafhankelijke clouds gebruikt, kunt u ook de informatie over de doelgroep vinden in de verbindingsreeks. De verbindingsreeks volgt deze structuur:

InstrumentationKey={profile. InstrumentationKey}; IngestionEndpoint={ingestionEndpoint}; LiveEndpoint={liveDiagnosticsEndpoint}; AADAudience={aadAudience}

De doelgroepparameter, AADAudience, kan variëren, afhankelijk van uw specifieke omgeving.

Probleemoplossing

Deze sectie bevat verschillende scenario's voor probleemoplossing en stappen die u kunt uitvoeren om een probleem op te lossen voordat u een ondersteuningsticket indient.

HTTP-fouten bij opname

De opnameservice retourneert specifieke fouten, ongeacht de SDK-taal. Netwerkverkeer kan worden verzameld met behulp van een hulpprogramma zoals Fiddler. U moet verkeer filteren op het opname-eindpunt dat is ingesteld in de verbindingsreeks.

HTTP/1.1 400-verificatie wordt niet ondersteund

Deze fout geeft aan dat de resource is ingesteld voor alleen Microsoft Entra. U moet de SDK juist configureren omdat deze naar de verkeerde API wordt verzonden.

Notitie

'v2/track' biedt geen ondersteuning voor Microsoft Entra-id. Wanneer de SDK correct is geconfigureerd, wordt telemetrie verzonden naar 'v2.1/track'.

Vervolgens moet u de SDK-configuratie controleren.

HTTP/1.1 401-autorisatie vereist

Deze fout geeft aan dat de SDK correct is geconfigureerd, maar dat het geen geldig token kan verkrijgen. Deze fout kan duiden op een probleem met Microsoft Entra-id.

Vervolgens moet u uitzonderingen identificeren in de SDK-logboeken of netwerkfouten van Azure Identity.

HTTP/1.1 403 Niet geautoriseerd

Deze fout betekent dat de SDK referenties gebruikt zonder toestemming voor de Application Insights-resource of -abonnement.

Controleer eerst het toegangsbeheer van de Application Insights-resource. U moet de SDK configureren met referenties met de rol Monitoring Metrics Publisher.

Taalspecifieke probleemoplossing

.NET

Gebeurtenisbron

De Application Insights .NET SDK verzendt foutenlogboeken met behulp van de gebeurtenisbron. Zie Problemen met geen gegevens oplossen voor meer informatie over het verzamelen van gebeurtenisbronlogboeken: logboeken verzamelen met PerfView.

Als de SDK geen token kan ophalen, wordt het uitzonderingsbericht geregistreerd als Failed to get AAD Token. Error message:.

Node.js

Schakel interne logboeken in met behulp van de volgende installatie. Nadat u deze hebt ingeschakeld, worden in de console foutenlogboeken weergegeven, inclusief eventuele fouten met betrekking tot Microsoft Entra-integratie. Voorbeelden hiervan zijn het niet genereren van het token met de verkeerde referenties of fouten wanneer het opname-eindpunt niet kan worden geverifieerd met behulp van de opgegeven referenties.

let appInsights = require("applicationinsights");
appInsights.setup("InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/").setInternalLogging(true, true);

Java

HTTP-verkeer

U kunt netwerkverkeer inspecteren met behulp van een hulpprogramma zoals Fiddler. Als u het verkeer wilt inschakelen om via Fiddler te tunnelen, voegt u de volgende proxy-instellingen toe in het configuratiebestand:

"proxy": {
"host": "localhost",
"port": 8888
}

U kunt ook de volgende JVM-argumenten (Java Virtual Machine) toevoegen tijdens het uitvoeren van uw toepassing: -Djava.net.useSystemProxies=true -Dhttps.proxyHost=localhost -Dhttps.proxyPort=8888

Als Microsoft Entra-id is ingeschakeld in de agent, bevat uitgaand verkeer de HTTP-header Authorization.

401 Onbevoegd

Als u het bericht WARN c.m.a.TelemetryChannel - Failed to send telemetry with status code: 401, please check your credentials in het logboek ziet, betekent dit dat de agent geen telemetrie kan verzenden. Waarschijnlijk hebt u Microsoft Entra-verificatie niet ingeschakeld op de agent, terwijl uw Application Insights-resource DisableLocalAuth: true. Zorg ervoor dat u een geldige referentie doorgeeft met toegangsmachtigingen voor uw Application Insights-resource.

Als u Fiddler gebruikt, ziet u mogelijk de antwoordheader HTTP/1.1 401 Unauthorized - please provide the valid authorization token.

CredentialUnavailableException

Als u de uitzondering ziet, com.azure.identity.CredentialUnavailableException: ManagedIdentityCredential authentication unavailable. Connection to IMDS endpoint cannot be established betekent dit dat de agent het toegangstoken niet kan verkrijgen in het logboekbestand. De waarschijnlijke oorzaak is een ongeldige client-id in de door de gebruiker toegewezen beheerde identiteitconfiguratie.

Kan geen telemetrie verzenden

Als u het bericht WARN c.m.a.TelemetryChannel - Failed to send telemetry with status code: 403, please check your credentials in het logboek ziet, betekent dit dat de agent geen telemetrie kan verzenden. De waarschijnlijke reden hiervoor is dat de gebruikte referenties geen telemetrieopname toestaan.

Als u Fiddler gebruikt, ziet u mogelijk het antwoord HTTP/1.1 403 Forbidden - provided credentials do not grant the access to ingest the telemetry into the component.

Het probleem kan het gevolg zijn van:

• Het maken van de resource met een door het systeem toegewezen beheerde identiteit of het koppelen van een door de gebruiker toegewezen identiteit zonder de rol Monitoring Metrics Publisher eraan toe te voegen.
• Gebruik de juiste referenties voor toegangstokens, maar koppel deze aan de verkeerde Application Insights-resource. Zorg ervoor dat uw resource (virtuele machine of app-service) of door de gebruiker toegewezen identiteit de rollen Monitoring Metrics Publisher in uw Application Insights-resource heeft.

Ongeldige client-id

Als de uitzondering, com.microsoft.aad.msal4j.MsalServiceException: Application with identifier <CLIENT_ID> was not found in the directory in het logboek, betekent dit dat de agent het toegangstoken niet kan ophalen. Deze uitzondering treedt waarschijnlijk op omdat de client-id in de configuratie van het clientgeheim ongeldig of onjuist is.

Dit probleem treedt op als de beheerder de toepassing niet installeert of als er geen tenantgebruiker toestemming voor geeft. Dit gebeurt ook als u uw verificatieaanvraag naar de verkeerde tenant verzendt.

Python

Fout begint met referentiefout (zonder statuscode)

Er is iets onjuist over de referenties die u gebruikt en de client kan geen token voor autorisatie verkrijgen. Dit komt doordat de vereiste gegevens ontbreken voor de status. Een voorbeeld is het doorgeven van een systeem ManagedIdentityCredential , maar de resource is niet geconfigureerd voor het gebruik van door het systeem beheerde identiteit.

Fout begint met verificatiefout (zonder statuscode)

De client kan niet worden geverifieerd met de opgegeven referentie. Deze fout treedt meestal op wanneer de gebruikte referentie niet over de juiste roltoewijzingen beschikt.

Ik krijg een statuscode 400 in mijn foutenlogboeken

U mist waarschijnlijk een referentie of uw referentie is ingesteld op None, maar uw Application Insights-resource is geconfigureerd met DisableLocalAuth: true. Zorg ervoor dat u een geldige referentie doorgeeft en dat deze gemachtigd is voor toegang tot uw Application Insights-resource.

Ik krijg een statuscode 403 in mijn foutenlogboeken

Deze fout treedt meestal op wanneer de opgegeven referenties geen toegang verlenen tot opnametelemetrie voor de Application Insights-resource. Zorg ervoor dat uw Application Insights-resource de juiste roltoewijzingen heeft.

Volgende stappen

• Uw telemetrie in de portal bewaken
• Diagnose uitvoeren met Live Metrics Stream
• Query's uitvoeren op Application Insights met Behulp van Microsoft Entra-verificatie