Autenticazione Microsoft Entra per Application Insights

Application Insights supporta ora l'autenticazione di Microsoft Entra. Usando Microsoft Entra ID, è possibile assicurarsi che nelle risorse di Application Insights vengano inseriti solo i dati di telemetria autenticati.

L'uso di vari sistemi di autenticazione può essere complesso e rischioso perché è difficile gestire le credenziali su larga scala. È ora possibile scegliere di rifiutare esplicitamente l'autenticazione locale per garantire che nella risorsa vengano inseriti solo i dati di telemetria esclusivamente autenticati tramite identità gestite e l'ID Microsoft Entra. Questa funzionalità è un passaggio per migliorare la sicurezza e l'affidabilità dei dati di telemetria usati per prendere decisioni operative critiche (avvisi e scalabilità automatica) e aziendali.

Nota

Questo documento illustra l'inserimento dei dati in Application Insights usando l'autenticazione basata su ID di Microsoft Entra. Per informazioni sull'esecuzione di query sui dati all'interno di Application Insights, vedere Eseguire query su Application Insights usando l'autenticazione di Microsoft Entra.

Prerequisiti

Per abilitare l'inserimento autenticato di Microsoft Entra, sono necessari i passaggi preliminari seguenti. Dovrai:

• Essere nel cloud pubblico.
• Acquisire familiarità con:
  • Identità gestita.
  • Entità servizio.
  • Assegnazione dei ruoli di Azure.
• Avere un ruolo proprietario per il gruppo di risorse per concedere l'accesso usando i ruoli predefiniti di Azure.
• Comprendere gli scenari non supportati.

Scenari non supportati

Gli SDK e le funzionalità seguenti di Software Development Kit non sono supportati per l'uso con l'inserimento autenticato di Microsoft Entra:

• Application Insights Java 2.x SDK.
  L'autenticazione di Microsoft Entra è disponibile solo per l'agente Java di Application Insights maggiore o uguale a 3.2.0.
• ApplicationInsights JavaScript Web SDK.
• Application Insights OpenCensus Python SDK con Python versione 3.4 e 3.5.
• Strumenti automatici/monitoraggio senza codice per impostazione predefinita (per le lingue) per il servizio app Azure, Azure Macchine virtuali/Azure set di scalabilità di macchine virtuali e Funzioni di Azure.
• Profiler.

Configurare e abilitare l'autenticazione basata su ID Di Microsoft Entra

1. Se non si ha già un'identità, crearne una usando un'identità gestita o un'entità servizio.

   • È consigliabile usare un'identità gestita:

     Configurare un'identità gestita per il servizio di Azure (Macchine virtuali o servizio app).

   • Non è consigliabile usare un'entità servizio:

     Per altre informazioni su come creare un'applicazione Microsoft Entra e un'entità servizio in grado di accedere alle risorse, vedere Creare un'entità servizio.

2. Assegnare un ruolo al servizio di Azure.

   Seguire la procedura descritta in Assegnare i ruoli di Azure per aggiungere il ruolo server di pubblicazione delle metriche di monitoraggio dalla risorsa di Application Insights di destinazione alla risorsa di Azure da cui vengono inviati i dati di telemetria.

   Nota

   Sebbene il ruolo di server di pubblicazione delle metriche di monitoraggio indichi "metriche", pubblicherà tutti i dati di telemetria nella risorsa di Application Insights.

3. Seguire le indicazioni di configurazione in base alla lingua seguente.

.NET

Nota

Il supporto per Microsoft Entra ID in Application Insights .NET SDK è incluso a partire dalla versione 2.18-Beta3.

Application Insights .NET SDK supporta le classi di credenziali fornite da Azure Identity.

• È consigliabile DefaultAzureCredential per lo sviluppo locale.
• È consigliabile ManagedIdentityCredential usare le identità gestite assegnate dal sistema e assegnate dall'utente.
  • Per l'assegnazione del sistema, usare il costruttore predefinito senza parametri.
  • Per l'assegnazione dell'utente, specificare l'ID client al costruttore.

L'esempio seguente illustra come creare e configurare manualmente TelemetryConfiguration usando .NET:

TelemetryConfiguration.Active.ConnectionString = "InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/";
var credential = new DefaultAzureCredential();
TelemetryConfiguration.Active.SetAzureTokenCredential(credential);

L'esempio seguente illustra come configurare TelemetryConfiguration usando .NET Core:

services.Configure<TelemetryConfiguration>(config =>
{
       var credential = new DefaultAzureCredential();
       config.SetAzureTokenCredential(credential);
});
services.AddApplicationInsightsTelemetry(new ApplicationInsightsServiceOptions
{
    ConnectionString = "InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/"
});

Node.JS

Nota

Il supporto per Microsoft Entra ID nella Node.JS di Application Insights è incluso a partire dalla versione 2.1.0-beta.1.

Application Insights Node.JS supporta le classi di credenziali fornite da Azure Identity.

DefaultAzureCredential

import appInsights from "applicationinsights";
import { DefaultAzureCredential } from "@azure/identity"; 
 
const credential = new DefaultAzureCredential();
appInsights.setup("InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/").start();
appInsights.defaultClient.config.aadTokenCredential = credential;

Java

Nota

Il supporto per Microsoft Entra ID nell'agente Java di Application Insights è incluso a partire da Java 3.2.0-BETA.

1. Configurare l'applicazione con l'agente Java.

   Importante

   Usare il stringa di connessione completo, che include IngestionEndpoint, quando si configura l'app con l'agente Java. Ad esempio, usare InstrumentationKey=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX;IngestionEndpoint=https://XXXX.applicationinsights.azure.com/.

2. Aggiungere la configurazione JSON al file di configurazione ApplicationInsights.json a seconda dell'autenticazione in uso. È consigliabile usare le identità gestite.

Nota

Per altre informazioni sulla migrazione dall'SDK all'agente 2.X3.X Java, vedere Aggiornamento da Application Insights Java 2.x SDK.

Identità gestita assegnata dal sistema

L'esempio seguente illustra come configurare l'agente Java per l'uso dell'identità gestita assegnata dal sistema per l'autenticazione con Microsoft Entra ID.

{ 
  "connectionString": "App Insights Connection String with IngestionEndpoint", 
  "authentication": { 
    "enabled": true, 
    "type": "SAMI" 
  } 
} 

Identità gestita assegnata dall'utente

L'esempio seguente illustra come configurare l'agente Java per l'uso dell'identità gestita assegnata dall'utente per l'autenticazione con Microsoft Entra ID.

{ 
  "connectionString": "App Insights Connection String with IngestionEndpoint", 
  "authentication": { 
    "enabled": true, 
    "type": "UAMI", 
    "clientId":"<USER-ASSIGNED MANAGED IDENTITY CLIENT ID>" 
  } 
} 

Configurazione delle variabili di ambiente

La APPLICATIONINSIGHTS_AUTHENTICATION_STRING variabile di ambiente consente ad Application Insights di eseguire l'autenticazione all'ID Microsoft Entra e inviare dati di telemetria.

• Per l'identità assegnata dal sistema:

Impostazione app	Valore
APPLICATIONINSIGHTS_AUTHENTICATION_STRING	Authorization=AAD

• Per l'identità assegnata dall'utente:

Impostazione app	Valore
APPLICATIONINSIGHTS_AUTHENTICATION_STRING	Authorization=AAD;ClientId={Client id of the User-Assigned Identity}

Impostare la APPLICATIONINSIGHTS_AUTHENTICATION_STRING variabile di ambiente usando questa stringa.

In Unix/Linux:

export APPLICATIONINSIGHTS_AUTHENTICATION_STRING="Authorization=AAD"

In Windows:

set APPLICATIONINSIGHTS_AUTHENTICATION_STRING="Authorization=AAD"

Dopo averlo impostato, riavviare l'applicazione. Ora invia i dati di telemetria ad Application Insights usando l'autenticazione Microsoft Entra.

Python

Nota

L'autenticazione di Microsoft Entra è disponibile solo per Python v2.7, v3.6 e v3.7. Il supporto per Microsoft Entra ID in Application Insights OpenCensus Python SDK è incluso a partire dalla versione beta opencensus-ext-azure 1.1b0.

Nota

OpenCensus Python SDK è deprecato, ma Microsoft lo supporta fino al ritiro il 30 settembre 2024. È ora consigliabile l'offerta Python basata su OpenTelemetry e fornire indicazioni sulla migrazione.

Creare le credenziali appropriate e passarle al costruttore dell'utilità di esportazione di Monitoraggio di Azure. Assicurarsi che il stringa di connessione sia configurato con la chiave di strumentazione e l'endpoint di inserimento della risorsa.

Gli OpenCensus esportatori di Monitoraggio di Azure supportano questi tipi di autenticazione. È consigliabile usare le identità gestite negli ambienti di produzione.

Identità gestita assegnata dal sistema

from azure.identity import ManagedIdentityCredential

from opencensus.ext.azure.trace_exporter import AzureExporter
from opencensus.trace.samplers import ProbabilitySampler
from opencensus.trace.tracer import Tracer

credential = ManagedIdentityCredential()
tracer = Tracer(
    exporter=AzureExporter(credential=credential, connection_string="InstrumentationKey=<your-instrumentation-key>;IngestionEndpoint=<your-ingestion-endpoint>"),
    sampler=ProbabilitySampler(1.0)
)
...

Identità gestita assegnata dall'utente

from azure.identity import ManagedIdentityCredential

from opencensus.ext.azure.trace_exporter import AzureExporter
from opencensus.trace.samplers import ProbabilitySampler
from opencensus.trace.tracer import Tracer

credential = ManagedIdentityCredential(client_id="<client-id>")
tracer = Tracer(
    exporter=AzureExporter(credential=credential, connection_string="InstrumentationKey=<your-instrumentation-key>;IngestionEndpoint=<your-ingestion-endpoint>"),
    sampler=ProbabilitySampler(1.0)
)
...

Disabilita autenticazione locale

Dopo aver abilitato l'autenticazione di Microsoft Entra, è possibile scegliere di disabilitare l'autenticazione locale. Questa configurazione consente di inserire i dati di telemetria autenticati esclusivamente dall'ID Entra di Microsoft e influisce sull'accesso ai dati, ad esempio tramite chiavi API.

È possibile disabilitare l'autenticazione locale usando il portale di Azure o Criteri di Azure o a livello di codice.

Azure portal

1. Dalla risorsa di Application Insights selezionare Proprietà sotto l'intestazione Configura nel menu a sinistra. Selezionare Abilitato (fare clic per modificare) se l'autenticazione locale è abilitata.

   

2. Selezionare Disabilitato e applicare le modifiche.

   

3. Dopo aver disabilitato l'autenticazione locale nella risorsa, verranno visualizzate le informazioni corrispondenti nel riquadro Panoramica .

   

Criteri di Azure

Criteri di Azure per DisableLocalAuth negare agli utenti la possibilità di creare una nuova risorsa di Application Insights senza questa proprietà impostata su true. Il nome del criterio è Application Insights components should block non-AAD auth ingestion.

Per applicare questa definizione di criteri alla sottoscrizione, creare una nuova assegnazione di criteri e assegnare i criteri.

L'esempio seguente mostra la definizione del modello di criteri:

{
    "properties": {
        "displayName": "Application Insights components should block non-AAD auth ingestion",
        "policyType": "BuiltIn",
        "mode": "Indexed",
        "description": "Improve Application Insights security by disabling log ingestion that are not AAD-based.",
        "metadata": {
            "version": "1.0.0",
            "category": "Monitoring"
        },
        "parameters": {
            "effect": {
                "type": "String",
                "metadata": {
                    "displayName": "Effect",
                    "description": "The effect determines what happens when the policy rule is evaluated to match"
                },
                "allowedValues": [
                    "audit",
                    "deny",
                    "disabled"
                ],
                "defaultValue": "audit"
            }
        },
        "policyRule": {
            "if": {
                "allOf": [
                    {
                        "field": "type",
                        "equals": "Microsoft.Insights/components"
                    },
                    {
                        "field": "Microsoft.Insights/components/DisableLocalAuth",
                        "notEquals": "true"                        
                    }
                ]
            },
            "then": {
                "effect": "[parameters('effect')]"
            }
        }
    }
}

Abilitazione a livello di codice

La proprietà DisableLocalAuth viene usata per disabilitare qualsiasi autenticazione locale nella risorsa di Application Insights. Quando questa proprietà è impostata su true, impone l'uso dell'autenticazione di Microsoft Entra per tutti gli accessi.

L'esempio seguente illustra il modello di Azure Resource Manager che è possibile usare per creare una risorsa di Application Insights basata sull'area di lavoro con LocalAuth disabilitato.

{
    "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "name": {
            "type": "string"
        },
        "type": {
            "type": "string"
        },
        "regionId": {
            "type": "string"
        },
        "tagsArray": {
            "type": "object"
        },
        "requestSource": {
            "type": "string"
        },
        "workspaceResourceId": {
            "type": "string"
        },
        "disableLocalAuth": {
            "type": "bool"
        }
     
    },
    "resources": [
        {
        "name": "[parameters('name')]",
        "type": "microsoft.insights/components",
        "location": "[parameters('regionId')]",
        "tags": "[parameters('tagsArray')]",
        "apiVersion": "2020-02-02-preview",
        "dependsOn": [],
        "properties": {
            "Application_Type": "[parameters('type')]",
            "Flow_Type": "Redfield",
            "Request_Source": "[parameters('requestSource')]",
            "WorkspaceResourceId": "[parameters('workspaceResourceId')]",
            "DisableLocalAuth": "[parameters('disableLocalAuth')]"
            }
    }
 ]
}

Destinatari dei token

Quando si sviluppa un client personalizzato per ottenere un token di accesso da Microsoft Entra ID per l'invio di dati di telemetria ad Application Insights, vedere la tabella seguente per determinare la stringa di destinatari appropriata per l'ambiente host specifico.

Versione cloud di Azure	Valore del gruppo di destinatari del token
Cloud pubblico di Azure	https://monitor.azure.com
Microsoft Azure gestito dal cloud 21Vianet	https://monitor.azure.cn
Cloud di Azure US Government	https://monitor.azure.us

Se si usano cloud sovrani, è possibile trovare anche le informazioni sui destinatari nel stringa di connessione. Il stringa di connessione segue questa struttura:

InstrumentationKey={profile. InstrumentationKey}; IngestionEndpoint={ingestionEndpoint}; LiveEndpoint={liveDiagnosticsEndpoint}; AADAudience={aadAudience}

Il parametro audience, AADAudience, può variare a seconda dell'ambiente specifico.

Risoluzione dei problemi

Questa sezione fornisce scenari di risoluzione dei problemi e passaggi distinti che è possibile eseguire per risolvere un problema prima di generare un ticket di supporto.

Errori HTTP di inserimento

Il servizio di inserimento restituisce errori specifici, indipendentemente dal linguaggio SDK. Il traffico di rete può essere raccolto usando uno strumento come Fiddler. È consigliabile filtrare il traffico verso l'endpoint di inserimento impostato nella stringa di connessione.

Autenticazione HTTP/1.1 400 non supportata

Questo errore indica che la risorsa è impostata solo per Microsoft Entra-only. È necessario configurare correttamente l'SDK perché viene inviato all'API errata.

Nota

"v2/track" non supporta Microsoft Entra ID. Quando l'SDK è configurato correttamente, i dati di telemetria verranno inviati a "v2.1/track".

Successivamente, è necessario esaminare la configurazione dell'SDK.

Autorizzazione RICHIESTA HTTP/1.1 401

Questo errore indica che l'SDK è configurato correttamente, ma non è in grado di acquisire un token valido. Questo errore potrebbe indicare un problema con Microsoft Entra ID.

Successivamente, è necessario identificare le eccezioni nei log dell'SDK o negli errori di rete da Identità di Azure.

HTTP/1.1 403 Non autorizzato

Questo errore indica che l'SDK usa le credenziali senza autorizzazione per la risorsa o la sottoscrizione di Application Insights.

Prima di tutto, controllare il controllo di accesso della risorsa di Application Insights. È necessario configurare l'SDK con le credenziali con il ruolo di server di pubblicazione delle metriche di monitoraggio.

Risoluzione dei problemi specifici del linguaggio

.NET

Origine evento

Application Insights .NET SDK genera i log degli errori usando l'origine evento. Per altre informazioni sulla raccolta dei log dell'origine eventi, vedere Risoluzione dei problemi relativi a nessun dato: raccogliere i log con PerfView.

Se l'SDK non riesce a ottenere un token, il messaggio di eccezione viene registrato come Failed to get AAD Token. Error message:.

Node.JS

È possibile attivare i log interni usando la configurazione seguente. Dopo l'abilitazione, i log degli errori verranno visualizzati nella console, inclusi eventuali errori correlati all'integrazione di Microsoft Entra. Ad esempio, l'errore di generare il token quando vengono fornite credenziali errate o errori quando l'endpoint di inserimento non riesce a eseguire l'autenticazione usando le credenziali fornite.

let appInsights = require("applicationinsights");
appInsights.setup("InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/").setInternalLogging(true, true);

Java

Traffico HTTP

È possibile esaminare il traffico di rete usando uno strumento come Fiddler. Per abilitare il tunneling del traffico attraverso Fiddler, aggiungere le impostazioni proxy seguenti nel file di configurazione:

"proxy": {
"host": "localhost",
"port": 8888
}

In alternativa, aggiungere gli argomenti seguenti di Java Virtual Machine (JVM) durante l'esecuzione dell'applicazione: -Djava.net.useSystemProxies=true -Dhttps.proxyHost=localhost -Dhttps.proxyPort=8888

Se l'ID Microsoft Entra è abilitato nell'agente, il traffico in uscita include l'intestazione AuthorizationHTTP .

401 - Non autorizzato

Se viene visualizzato il messaggio, WARN c.m.a.TelemetryChannel - Failed to send telemetry with status code: 401, please check your credentials nel log significa che l'agente non è riuscito a inviare dati di telemetria. Probabilmente non è stata abilitata l'autenticazione di Microsoft Entra nell'agente, mentre la risorsa di Application Insights ha DisableLocalAuth: true. Assicurarsi di passare credenziali valide con l'autorizzazione di accesso alla risorsa di Application Insights.

Se si usa Fiddler, è possibile che venga visualizzata l'intestazione HTTP/1.1 401 Unauthorized - please provide the valid authorization tokendella risposta .

CredentialUnavailableException

Se viene visualizzata l'eccezione, com.azure.identity.CredentialUnavailableException: ManagedIdentityCredential authentication unavailable. Connection to IMDS endpoint cannot be established nel file di log significa che l'agente non è riuscito ad acquisire il token di accesso. La causa probabile è un ID client non valido nella configurazione dell'identità gestita assegnata dall'utente.

Impossibile inviare dati di telemetria

Se viene visualizzato il messaggio, WARN c.m.a.TelemetryChannel - Failed to send telemetry with status code: 403, please check your credentials nel log significa che l'agente non è riuscito a inviare dati di telemetria. Il motivo probabile è che le credenziali usate non consentono l'inserimento dei dati di telemetria.

Usando Fiddler, è possibile notare la risposta HTTP/1.1 403 Forbidden - provided credentials do not grant the access to ingest the telemetry into the component.

Il problema potrebbe essere dovuto a:

• Creazione della risorsa con un'identità gestita assegnata dal sistema o associazione di un'identità assegnata dall'utente senza aggiungere il ruolo Di pubblicazione metriche di monitoraggio.
• Uso delle credenziali corrette per i token di accesso, ma collegamento alla risorsa di Application Insights errata. Verificare che la risorsa (macchina virtuale o servizio app) o l'identità assegnata dall'utente disponga dei ruoli di server di pubblicazione Monitoraggio metriche nella risorsa di Application Insights.

ID client non valido

Se l'eccezione, com.microsoft.aad.msal4j.MsalServiceException: Application with identifier <CLIENT_ID> was not found in the directory nel log significa che l'agente non è riuscito a ottenere il token di accesso. Questa eccezione si verifica probabilmente perché l'ID client nella configurazione del segreto client non è valido o non è corretto.

Questo problema si verifica se l'amministratore non installa l'applicazione o nessun utente tenant lo acconsente. Si verifica anche se si invia la richiesta di autenticazione al tenant errato.

Python

L'errore inizia con "errore di credenziale" (senza codice di stato)

Si è verificato un errore relativo alle credenziali in uso e il client non è in grado di ottenere un token per l'autorizzazione. Perché i dati necessari mancano per lo stato. Un esempio potrebbe essere il passaggio di un sistema ManagedIdentityCredential , ma la risorsa non è configurata per l'uso dell'identità gestita dal sistema.

L'errore inizia con "errore di autenticazione" (senza codice di stato)

Il client non è riuscito a eseguire l'autenticazione con le credenziali indicate. Questo errore si verifica in genere quando le credenziali usate non hanno le assegnazioni di ruolo corrette.

Viene visualizzato un codice di stato 400 nei log degli errori

Probabilmente manca una credenziale o le credenziali sono impostate su None, ma la risorsa di Application Insights è configurata con DisableLocalAuth: true. Assicurarsi di passare credenziali valide e di disporre dell'autorizzazione per accedere alla risorsa di Application Insights.

Viene visualizzato un codice di stato 403 nei log degli errori

Questo errore si verifica in genere quando le credenziali specificate non concedono l'accesso all'inserimento dei dati di telemetria per la risorsa di Application Insights. Assicurarsi che la risorsa di Application Insights disponga delle assegnazioni di ruolo corrette.

Passaggi successivi

• Monitorare i dati di telemetria nel portale
• Diagnosticare con Live Metrics Stream
• Eseguire query su Application Insights usando l'autenticazione Microsoft Entra