Проверка подлинности Microsoft Entra для Application Insights.

Приложение Аналитика теперь поддерживает проверку подлинности Microsoft Entra. Используя идентификатор Microsoft Entra, вы можете убедиться, что в Аналитика приложения будут приняты только проверенные данные телеметрии.

Использование различных систем проверки подлинности может быть обременительным и создавать риски, так как трудно управлять учетными данными в большом масштабе. Теперь вы можете отказаться от локальной проверки подлинности , чтобы обеспечить только проверку подлинности телеметрии с помощью управляемых удостоверений и идентификатора Microsoft Entra в ресурсе. Эта функция является шагом для повышения безопасности и надежности телеметрии, используемой для принятия критически важных операционных (оповещений и автомасштабирования) и бизнес-решений.

Примечание.

В этом документе рассматриваются прием данных в приложение Аналитика с помощью проверки подлинности на основе идентификаторов Microsoft Entra. Сведения о запросе данных в приложении Аналитика см. в разделе "Запрос приложения" Аналитика с помощью проверки подлинности Microsoft Entra.

Необходимые компоненты

Для включения приема с проверкой подлинности Microsoft Entra необходимо выполнить следующие предварительные действия. Вам нужно:

• Будьте в общедоступном облаке.
• Ознакомьтесь со следующими сведениями:
  • Управляемое удостоверение.
  • Субъект-служба.
  • Назначение ролей Azure.
• У группы ресурсов есть роль владельца, чтобы предоставить доступ с помощью встроенных ролей Azure.
• Изучите неподдерживаемые сценарии.

Неподдерживаемые сценарии

Следующие пакеты средств разработки программного обеспечения (ПАКЕТЫ SDK) и функции не поддерживаются для использования с проверкой подлинности Microsoft Entra.

• Пакет SDK для Java 2.x для приложения Аналитика.
  Проверка подлинности Microsoft Entra доступна только для агента Java application Аналитика больше или равно 3.2.0.
• Приложение Аналитика веб-пакет SDK javaScript.
• Пакет SDK Python для OpenCensus для Application Insights с Python версий 3.4 и 3.5.
• По умолчанию автоматическое управление и мониторинг без кода (для языков) для службы приложение Azure, Azure Виртуальные машины/Azure Масштабируемые наборы виртуальных машин и Функции Azure.
• Профилировщик.

Настройка и включение проверки подлинности на основе идентификатора Microsoft Entra

1. Если у вас еще нет удостоверения, создайте его с помощью управляемого удостоверения или субъекта-службы.

   • Рекомендуется использовать управляемое удостоверение:

     Настройте управляемое удостоверение для службы Azure (Виртуальные машины или Служба приложений).

   • Не рекомендуется использовать субъект-службу:

     Дополнительные сведения о создании приложения Microsoft Entra и субъекта-службы, доступ к ресурсам см. в статье "Создание субъекта-службы".

2. Назначьте роль службе Azure.

   Выполните действия, описанные в разделе "Назначение ролей Azure", чтобы добавить роль издателя метрик мониторинга из целевого ресурса приложения Аналитика в ресурс Azure, из которого отправляется данные телеметрии.

   Примечание.

   Хотя роль издателя метрик мониторинга говорит "метрики", она будет публиковать все данные телеметрии в ресурсе Application Аналитика.

3. Следуйте инструкциям по настройке в соответствии с приведенным ниже языком.

.NET

Примечание.

Поддержка идентификатора Microsoft Entra в пакете SDK для приложений Аналитика .NET включается начиная с версии 2.18-Beta3.

Пакет SDK .NET для Application Insights поддерживает классы учетных данных, предоставляемые удостоверением Azure.

• Рекомендуется DefaultAzureCredential для локальной разработки.
• Рекомендуется ManagedIdentityCredential использовать управляемые удостоверения, назначенные системой и назначаемые пользователем.
  • Для удостоверений, назначаемых системой, используйте конструктор по умолчанию без параметров.
  • Для назначаемого пользователем укажите идентификатор клиента конструктору.

В следующем примере показано, как вручную создать и настроить TelemetryConfiguration с помощью .NET:

TelemetryConfiguration.Active.ConnectionString = "InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/";
var credential = new DefaultAzureCredential();
TelemetryConfiguration.Active.SetAzureTokenCredential(credential);

В следующем примере показано, как настроить TelemetryConfiguration с помощью .NET Core:

services.Configure<TelemetryConfiguration>(config =>
{
       var credential = new DefaultAzureCredential();
       config.SetAzureTokenCredential(credential);
});
services.AddApplicationInsightsTelemetry(new ApplicationInsightsServiceOptions
{
    ConnectionString = "InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/"
});

Node.js

Примечание.

Поддержка идентификатора Microsoft Entra в приложении Аналитика Node.JS включается начиная с версии 2.1.0-beta.1.

Пакет SDK Node.JS для Application Insights поддерживает классы учетных данных, предоставляемые удостоверением Azure.

DefaultAzureCredential

import appInsights from "applicationinsights";
import { DefaultAzureCredential } from "@azure/identity"; 
 
const credential = new DefaultAzureCredential();
appInsights.setup("InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/").start();
appInsights.defaultClient.config.aadTokenCredential = credential;

Java

Примечание.

Поддержка идентификатора Microsoft Entra в агенте Java приложения Аналитика включается начиная с Java 3.2.0-BETA.

1. Настройте свое приложение с помощью агента Java.

   Внимание

   Используйте полную строка подключения, которая включает в себя IngestionEndpointнастройку приложения с помощью агента Java. Например, укажите InstrumentationKey=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX;IngestionEndpoint=https://XXXX.applicationinsights.azure.com/.

2. Добавьте конфигурацию JSON в файл конфигурации приложения Аналитика.json в зависимости от используемой проверки подлинности. Рекомендуется использовать управляемые удостоверения.

Примечание.

Дополнительные сведения о переходе из пакета SDK 3.X на 2.X агент Java см. в статье об обновлении пакета SDK для Java Аналитика Java 2.x.

Управляемое удостоверение, назначаемое системой

В следующем примере показано, как настроить агент Java для использования назначаемого системой управляемого удостоверения для проверки подлинности с помощью идентификатора Microsoft Entra.

{ 
  "connectionString": "App Insights Connection String with IngestionEndpoint", 
  "authentication": { 
    "enabled": true, 
    "type": "SAMI" 
  } 
} 

Управляемое удостоверение, назначаемое пользователем

В следующем примере показано, как настроить агент Java для использования управляемого удостоверения, назначаемого пользователем, для проверки подлинности с помощью идентификатора Microsoft Entra.

{ 
  "connectionString": "App Insights Connection String with IngestionEndpoint", 
  "authentication": { 
    "enabled": true, 
    "type": "UAMI", 
    "clientId":"<USER-ASSIGNED MANAGED IDENTITY CLIENT ID>" 
  } 
} 

Конфигурация переменной среды

Переменная APPLICATIONINSIGHTS_AUTHENTICATION_STRING среды позволяет приложению Аналитика проходить проверку подлинности в идентификаторе Microsoft Entra и отправлять данные телеметрии.

• Для назначаемого системой удостоверения:

Параметр приложения	Значение
APPLICATIONINSIGHTS_AUTHENTICATION_STRING	Authorization=AAD

• Для назначаемого пользователем удостоверения:

Параметр приложения	Значение
APPLICATIONINSIGHTS_AUTHENTICATION_STRING	Authorization=AAD;ClientId={Client id of the User-Assigned Identity}

APPLICATIONINSIGHTS_AUTHENTICATION_STRING Задайте переменную среды с помощью этой строки.

В Unix/Linux:

export APPLICATIONINSIGHTS_AUTHENTICATION_STRING="Authorization=AAD"

В Windows:

set APPLICATIONINSIGHTS_AUTHENTICATION_STRING="Authorization=AAD"

После настройки перезапустите приложение. Теперь она отправляет данные телеметрии в приложение Аналитика с помощью проверки подлинности Microsoft Entra.

Python

Примечание.

Проверка подлинности Microsoft Entra доступна только для Python версии 2.7, версии 3.6 и версии 3.7. Поддержка идентификатора Microsoft Entra в приложении Аналитика пакет SDK для Python OpenCensus включается начиная с бета-версии opencensus-ext-azure 1.1b0.

Примечание.

Пакет SDK для Python OpenCensus устарел, но корпорация Майкрософт поддерживает его до выхода на пенсию 30 сентября 2024 г. Теперь мы рекомендуем предложение Python на основе OpenTelemetry и предоставить рекомендации по миграции.

Создайте соответствующие учетные данные и передайте их в конструктор экспортера Azure Monitor. Убедитесь, что строка подключения содержит ключ инструментирования и конечную точку приема ресурса.

OpenCensus Экспортеры Azure Monitor поддерживают эти типы проверки подлинности. Рекомендуется использовать управляемые удостоверения в рабочих средах.

Управляемое удостоверение, назначаемое системой

from azure.identity import ManagedIdentityCredential

from opencensus.ext.azure.trace_exporter import AzureExporter
from opencensus.trace.samplers import ProbabilitySampler
from opencensus.trace.tracer import Tracer

credential = ManagedIdentityCredential()
tracer = Tracer(
    exporter=AzureExporter(credential=credential, connection_string="InstrumentationKey=<your-instrumentation-key>;IngestionEndpoint=<your-ingestion-endpoint>"),
    sampler=ProbabilitySampler(1.0)
)
...

Управляемое удостоверение, назначаемое пользователем

from azure.identity import ManagedIdentityCredential

from opencensus.ext.azure.trace_exporter import AzureExporter
from opencensus.trace.samplers import ProbabilitySampler
from opencensus.trace.tracer import Tracer

credential = ManagedIdentityCredential(client_id="<client-id>")
tracer = Tracer(
    exporter=AzureExporter(credential=credential, connection_string="InstrumentationKey=<your-instrumentation-key>;IngestionEndpoint=<your-ingestion-endpoint>"),
    sampler=ProbabilitySampler(1.0)
)
...

Отключение локальной проверки подлинности

После включения проверки подлинности Microsoft Entra можно отключить локальную проверку подлинности. Эта конфигурация позволяет получать данные телеметрии, прошедшие проверку подлинности исключительно идентификатором Microsoft Entra и влиять на доступ к данным (например, с помощью ключей API).

Вы можете отключить локальную проверку подлинности с помощью портал Azure или Политика Azure или программно.

Портал Azure

1. В ресурсе приложения Аналитика выберите "Свойства" в разделе "Настройка" в меню слева. Выберите "Включено" (щелкните, чтобы изменить), если включена локальная проверка подлинности.

   

2. Щелкните Отключено и примените изменения.

   

3. После отключения локальной проверки подлинности на ресурсе вы увидите соответствующие сведения на панели обзора .

   

Политика Azure

Политика Azure для DisableLocalAuth пользователей запрещает возможность создания нового ресурса application Аналитика без этого свойстваtrue. Имя политики — Application Insights components should block non-AAD auth ingestion.

Чтобы применить это определение политики к подписке, создайте назначение политики и назначьте эту политику.

В следующем примере показано определение шаблона политики:

{
    "properties": {
        "displayName": "Application Insights components should block non-AAD auth ingestion",
        "policyType": "BuiltIn",
        "mode": "Indexed",
        "description": "Improve Application Insights security by disabling log ingestion that are not AAD-based.",
        "metadata": {
            "version": "1.0.0",
            "category": "Monitoring"
        },
        "parameters": {
            "effect": {
                "type": "String",
                "metadata": {
                    "displayName": "Effect",
                    "description": "The effect determines what happens when the policy rule is evaluated to match"
                },
                "allowedValues": [
                    "audit",
                    "deny",
                    "disabled"
                ],
                "defaultValue": "audit"
            }
        },
        "policyRule": {
            "if": {
                "allOf": [
                    {
                        "field": "type",
                        "equals": "Microsoft.Insights/components"
                    },
                    {
                        "field": "Microsoft.Insights/components/DisableLocalAuth",
                        "notEquals": "true"                        
                    }
                ]
            },
            "then": {
                "effect": "[parameters('effect')]"
            }
        }
    }
}

Программное включение

DisableLocalAuth Свойство используется для отключения локальной проверки подлинности в ресурсе Application Аналитика. Если для этого свойства задано trueзначение, оно применяет проверку подлинности Microsoft Entra для всех доступа.

В следующем примере показан шаблон Azure Resource Manager, который можно использовать для создания ресурса приложения на основе рабочей области Аналитика с LocalAuth отключенным.

{
    "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "name": {
            "type": "string"
        },
        "type": {
            "type": "string"
        },
        "regionId": {
            "type": "string"
        },
        "tagsArray": {
            "type": "object"
        },
        "requestSource": {
            "type": "string"
        },
        "workspaceResourceId": {
            "type": "string"
        },
        "disableLocalAuth": {
            "type": "bool"
        }
     
    },
    "resources": [
        {
        "name": "[parameters('name')]",
        "type": "microsoft.insights/components",
        "location": "[parameters('regionId')]",
        "tags": "[parameters('tagsArray')]",
        "apiVersion": "2020-02-02-preview",
        "dependsOn": [],
        "properties": {
            "Application_Type": "[parameters('type')]",
            "Flow_Type": "Redfield",
            "Request_Source": "[parameters('requestSource')]",
            "WorkspaceResourceId": "[parameters('workspaceResourceId')]",
            "DisableLocalAuth": "[parameters('disableLocalAuth')]"
            }
    }
 ]
}

Аудитория токена

При разработке пользовательского клиента для получения маркера доступа от идентификатора Microsoft Entra для отправки телеметрии в приложение Аналитика см. в следующей таблице, чтобы определить соответствующую строку аудитории для конкретной среды узла.

Облачная версия Azure	Значение аудитории токена
Общедоступное облако Azure	https://monitor.azure.com
Microsoft Azure, управляемый облаком 21Vianet	https://monitor.azure.cn
Облако Azure для государственных организаций США	https://monitor.azure.us

Если вы используете суверенные облака, вы также можете найти информацию аудитории в строка подключения. Строка подключения следует этой структуре:

InstrumentationKey={profile. Инструментирование}; IngestionEndpoint={ingestionEndpoint}; LiveEndpoint={liveDiagnosticsEndpoint}; AADAudience={aadAudience}

Параметр аудитории AADAudience может отличаться в зависимости от конкретной среды.

Устранение неполадок

В этом разделе приведены различные сценарии устранения неполадок и действия, которые можно предпринять для устранения проблемы перед вызовом запроса в службу поддержки.

Ошибки HTTP при приеме

Служба приема возвращает определенные ошибки независимо от языка ПАКЕТА SDK. Сетевой трафик можно собирать с помощью такого средства, как Fiddler. Необходимо отфильтровать трафик к конечной точке приема, заданной в строка подключения.

HTTP/1.1 400 Authentication not supported

Эта ошибка показывает, что ресурс задан только для Microsoft Entra. Необходимо правильно настроить пакет SDK, так как он отправляется в неправильный API.

Примечание.

"v2/track" не поддерживает идентификатор Microsoft Entra. Если пакет SDK настроен правильно, данные телеметрии будут отправляться в v2.1/track.

Затем необходимо проверить конфигурацию пакета SDK.

HTTP/1.1 401 Authorization required

Эта ошибка указывает, что пакет SDK настроен правильно, но он не может получить действительный маркер. Эта ошибка может указывать на проблему с идентификатором Microsoft Entra.

Затем необходимо определить исключения в журналах пакета SDK или сетевых ошибках из удостоверений Azure.

HTTP/1.1 403 Unauthorized

Эта ошибка означает, что пакет SDK использует учетные данные без разрешения для ресурса или подписки приложения Аналитика.

Сначала проверка управление доступом к ресурсу Аналитика приложения. Необходимо настроить пакет SDK с учетными данными, имеющими роль издателя метрик мониторинга.

Устранение неполадок, связанных с языком

.NET

Источник событий

Пакет SDK для .NET для приложения Аналитика выдает журналы ошибок с помощью источника событий. Дополнительные сведения о сборе журналов источников событий см. в статье "Устранение неполадок без данных" — сбор журналов с помощью PerfView.

Если пакет SDK не получит маркер, сообщение об исключении регистрируется как Failed to get AAD Token. Error message:.

Node.js

Внутренние журналы можно включить с помощью следующей установки. После включения журналы ошибок будут отображаться в консоли, включая любые ошибки, связанные с интеграцией Microsoft Entra. Примеры включают сбой создания маркера, если указаны неправильные учетные данные или ошибки, когда конечная точка приема не сможет пройти проверку подлинности с помощью предоставленных учетных данных.

let appInsights = require("applicationinsights");
appInsights.setup("InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/").setInternalLogging(true, true);

Java

Трафик HTTP

Сетевой трафик можно проверить с помощью средства, например Fiddler. Чтобы включить туннель через Fiddler, добавьте следующие параметры прокси-сервера в файл конфигурации:

"proxy": {
"host": "localhost",
"port": 8888
}

Или добавьте следующие args виртуальной машины Java (JVM) во время выполнения приложения: -Djava.net.useSystemProxies=true -Dhttps.proxyHost=localhost -Dhttps.proxyPort=8888

Если идентификатор Microsoft Entra включен в агенте, исходящий трафик включает заголовок AuthorizationHTTP.

401 — не авторизовано

Если сообщение отображается WARN c.m.a.TelemetryChannel - Failed to send telemetry with status code: 401, please check your credentials в журнале, это означает, что агент не мог отправлять данные телеметрии. Скорее всего, вы не включили проверку подлинности Microsoft Entra на агенте, а ресурс приложения Аналитика.DisableLocalAuth: true Убедитесь, что вы передаете допустимые учетные данные с разрешением на доступ к ресурсу application Аналитика.

Если вы используете Fiddler, может появиться заголовок HTTP/1.1 401 Unauthorized - please provide the valid authorization tokenответа.

CredentialUnavailableException

Если вы видите исключение, в файле журнала это означает, com.azure.identity.CredentialUnavailableException: ManagedIdentityCredential authentication unavailable. Connection to IMDS endpoint cannot be established что агент не получил маркер доступа. Скорее всего, это недопустимый идентификатор клиента в конфигурации управляемого удостоверения, назначаемого пользователем.

Не удалось отправить данные телеметрии

Если сообщение отображается WARN c.m.a.TelemetryChannel - Failed to send telemetry with status code: 403, please check your credentials в журнале, это означает, что агент не мог отправлять данные телеметрии. Скорее всего, учетные данные, используемые, не разрешают прием данных телеметрии.

Используя Fiddler, вы можете заметить ответ HTTP/1.1 403 Forbidden - provided credentials do not grant the access to ingest the telemetry into the component.

Проблема может возникнуть из-за следующих проблем:

• Создание ресурса с управляемым удостоверением, назначаемое системой, или связывание удостоверения, назначаемого пользователем, без добавления роли издателя метрик мониторинга в него.
• Использование правильных учетных данных для маркеров доступа, но связывание их с неправильным ресурсом приложения Аналитика. Убедитесь, что ресурс (виртуальная машина или служба приложений) или назначаемое пользователем удостоверение имеет роли издателя метрик мониторинга в ресурсе приложения Аналитика.

Недопустимый идентификатор клиента

Если исключение в журнале, это означает, com.microsoft.aad.msal4j.MsalServiceException: Application with identifier <CLIENT_ID> was not found in the directory что агент не смог получить маркер доступа. Это исключение, вероятно, происходит, так как идентификатор клиента в конфигурации секрета клиента является недопустимым или неверным.

Эта проблема возникает, если администратор не устанавливает приложение или пользователь клиента не дает ему согласия. Это также происходит, если вы отправляете запрос проверки подлинности в неправильный клиент.

Python

Ошибка начинается с фразы "credential error" (без кода состояния)

Что-то неправильно с учетными данными, которые вы используете, и клиент не может получить маркер для авторизации. Это связано с отсутствием необходимых данных для состояния. Примером будет передача системы ManagedIdentityCredential , но ресурс не настроен для использования управляемого системой удостоверения.

Ошибка начинается с фразы "authentication error" (без кода состояния)

Клиент не прошел проверку подлинности с заданными учетными данными. Эта ошибка обычно возникает, когда используемые учетные данные не имеют правильных назначений ролей.

В мои журналы ошибок записан код состояния 400

Возможно, учетные данные отсутствуют или для них задано значение None, но для ресурса Application Insights настроено свойство DisableLocalAuth: true. Убедитесь, что вы передаете действительные учетные данные и у них есть разрешение на доступ к ресурсу Application Insights.

В мои журналы ошибок записан код состояния 403

Эта ошибка обычно возникает, когда предоставленные учетные данные не предоставляют доступ к приему данных телеметрии для ресурса application Аналитика. Убедитесь, что ресурс приложения Аналитика имеет правильные назначения ролей.

Следующие шаги

• Навигация и панели мониторинга на портале Application Insights
• Диагностика с помощью Live Metrics Stream
• Запрос приложения Аналитика с помощью проверки подлинности Microsoft Entra