Autenticação do Microsoft Entra para Application Insights

O Application Insights agora dá suporte à autenticação do Microsoft Entra. Ao usar o Microsoft Entra ID, você pode garantir que somente a telemetria autenticada seja ingerida em seus recursos do Application Insights.

O uso de muitos sistemas de autenticação pode ser trabalhoso e arriscado, pois é difícil gerenciar credenciais em escala. Agora você pode optar por recusar a autenticação local e garantir que apenas a telemetria seja autenticada exclusivamente usando identidades gerenciadas e que o Microsoft Entra ID seja ingerido no seu recurso. Esse recurso é uma etapa para proteger a segurança e a confiabilidade da telemetria usada para tomar decisões operacionais críticas (alertas e dimensionamento automático) e de negócios.

Observação

Este documento aborda a ingestão de dados no Application Insights usando a autenticação baseada no Microsoft Entra ID. Se você estiver procurando informações sobre como consultar dados no Application Insights, confira Consultar o Application Insights por meio da autenticação do Microsoft Entra.

Pré-requisitos

As etapas preliminares a seguir são requeridas para habilitar a ingestão autenticada do Microsoft Entra. Você precisa:

• Estar na nuvem pública.
• Que será necessário conhecer:
  • Identidade Gerenciada.
  • Entidade de serviço.
  • Atribuição de funções do Azure.
• Ter uma função de "Proprietário" para o grupo de recursos para conceder acesso usando asfunções internas do Azure.
• Entenda os cenários sem suporte.

Cenários sem suporte

Os seguintes kits de desenvolvimento de software (SDKs) e recursos não têm suporte para uso com a ingestão autenticada do Microsoft Entra:

• Application Insights Java 2.x SDK.
  A autenticação do Microsoft Entra está disponível apenas para Application Insights Java Agent maiores ou iguais a 3.2.0.
• SDK da Web JavaScript do ApplicationInsights.
• Application Insights OpenCensus Python SDK com Python versão 3.4 e 3.5.
• Ativação por padrão da autoinstrumentação/monitoramento sem0 código (para linguagens) para Serviço de Aplicativo do Azure, Máquinas Virtuais do Microsoft Azure/Conjuntos de Dimensionamento de Máquinas Virtuais do Microsoft Azure e Azure Functions.
• Profiler.

Configurar e habilitar a autenticação baseada em ID do Microsoft Entra

1. Se você ainda não tiver uma identidade, crie uma usando uma identidade gerenciada ou uma entidade de serviço.

   • É recomendável usar uma identidade gerenciada:

     Configure uma identidade gerenciada para seu serviço do Azure (Máquinas Virtuais ou Serviço de Aplicativo).

   • Não recomendamos usar uma entidade de serviço:

     Para obter mais informações sobre como criar uma entidade de serviço e aplicativo do Microsoft Entra que possa acessar recursos, confira Criar uma entidade de serviço.

2. Atribuir uma função à entidade de serviço do Azure.

   Siga as etapas em Atribuir funções do Azure para adicionar a função Publicador de Métricas de Monitoramento do recurso de Application Insights de destino ao recurso do Azure do qual a telemetria é enviada.

   Observação

   Embora a função Publicador de Métricas de Monitoramento cite “métricas”, ela publicará toda a telemetria para o recurso de Insights de aplicativo.

3. Siga as diretrizes de configuração de acordo com o idioma a seguir.

.NET

Observação

O suporte para o Microsoft Entra ID no SDK do .NET do Application Insights está incluído da versão 2.18-Beta3 em diante.

O SDK do .NET do Application Insights dá suporte às classes de credenciais fornecidas pela Identidade do Azure.

• Recomendamos DefaultAzureCredential para o desenvolvimento local.
• ManagedIdentityCredential é recomendado para identidades gerenciadas atribuídas pelo usuário e atribuídas pelo sistema.
  • Para atribuído pelo sistema, use o construtor padrão sem parâmetros.
  • Para atribuído pelo usuário, forneça o ID do cliente para o construtor.

O exemplo a seguir mostra como criar e configurar TelemetryConfiguration manualmente usando o .NET:

TelemetryConfiguration.Active.ConnectionString = "InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/";
var credential = new DefaultAzureCredential();
TelemetryConfiguration.Active.SetAzureTokenCredential(credential);

O exemplo a seguir mostra como configurar TelemetryConfiguration usando o .NET Core:

services.Configure<TelemetryConfiguration>(config =>
{
       var credential = new DefaultAzureCredential();
       config.SetAzureTokenCredential(credential);
});
services.AddApplicationInsightsTelemetry(new ApplicationInsightsServiceOptions
{
    ConnectionString = "InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/"
});

Node.js

Observação

O suporte para o Microsoft Entra ID no Node.JS do Application Insights está incluído da versão 2.1.0-beta. 1 em diante.

O Node.JS do Application Insights dá suporte às classes de credenciais fornecidas pela Identidade do Azure.

DefaultAzureCredential

import appInsights from "applicationinsights";
import { DefaultAzureCredential } from "@azure/identity"; 
 
const credential = new DefaultAzureCredential();
appInsights.setup("InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/").start();
appInsights.defaultClient.config.aadTokenCredential = credential;

Java

Observação

O suporte para o Microsoft Entra ID no agente Java do Application Insights está incluído do Java 3.2.0-BETA em diante.

1. Configure seu aplicativo com o agente Java.

   Importante

   Use a cadeia de conexão completa que inclui IngestionEndpoint ao configurar seu aplicativo com o agente Java. Por exemplo, use InstrumentationKey=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX;IngestionEndpoint=https://XXXX.applicationinsights.azure.com/.

2. Adicione a configuração JSON para o arquivo de configuração ApplicationInsights.json, dependendo da autenticação que você está usando. Recomendamos o uso de identidades gerenciadas.

Observação

Para obter mais informações sobre como migrar do SDK 2.X para o agente Java3.X, consulte Atualização do SDK Java 2.x do Application Insights.

Identidade gerenciada atribuída pelo sistema

O exemplo a seguir mostra como configurar o agente Java para usar a identidade gerenciada atribuída pelo sistema para autenticação com o Microsoft Entra ID.

{ 
  "connectionString": "App Insights Connection String with IngestionEndpoint", 
  "authentication": { 
    "enabled": true, 
    "type": "SAMI" 
  } 
} 

Identidade gerenciada atribuída pelo usuário

Veja abaixo um exemplo de como configurar o agente Java para usar a identidade gerenciada atribuída pelo usuário para autenticação com o Microsoft Entra ID.

{ 
  "connectionString": "App Insights Connection String with IngestionEndpoint", 
  "authentication": { 
    "enabled": true, 
    "type": "UAMI", 
    "clientId":"<USER-ASSIGNED MANAGED IDENTITY CLIENT ID>" 
  } 
} 

Configuração de variável de ambiente

A variável de ambiente APPLICATIONINSIGHTS_AUTHENTICATION_STRING permite que o Application Insights se autentique no Microsoft Entra ID e envie telemetria.

• Para identidade atribuída pelo sistema:

Configurações de aplicativo	Valor
APPLICATIONINSIGHTS_AUTHENTICATION_STRING	Authorization=AAD

• Para identidade atribuída pelo usuário:

Configurações de aplicativo	Valor
APPLICATIONINSIGHTS_AUTHENTICATION_STRING	Authorization=AAD;ClientId={Client id of the User-Assigned Identity}

Defina a variável de ambiente APPLICATIONINSIGHTS_AUTHENTICATION_STRING usando esta cadeia de caracteres.

No Unix/Linux:

export APPLICATIONINSIGHTS_AUTHENTICATION_STRING="Authorization=AAD"

No Windows:

set APPLICATIONINSIGHTS_AUTHENTICATION_STRING="Authorization=AAD"

Depois de defini-la, reinicie seu aplicativo. Agora, ele envia telemetria para o Application Insights usando a autenticação do Microsoft Entra.

Python

Observação

A autenticação do Microsoft Entra está disponível somente para Python v2.7, v3.6 e v3.7. O suporte ao Microsoft Entra ID no SDK do Application Insights para OpenCensus Python está incluído a partir da versão beta opencensus-ext-azure 1.1b0.

Observação

O SDK do Python do OpenCensus foi preterido, mas a Microsoft dá suporte a ele até a desativação em 30 de setembro de 2024. Agora, recomendamos a oferta do Python baseada no OpenTelemetry e fornecemos diretrizes de migração.

Construa as credenciais apropriadas e passe-as para o construtor do exportador do Azure Monitor. Verifique se a cadeia de conexão está configurada com a chave de instrumentação e o ponto de extremidade de ingestão de seu recurso.

Os exportadores do Azure Monitor OpenCensus dão suporte para esses tipos de autenticação. Identidades gerenciadas são recomendadas para ambientes de produção.

Identidade gerenciada atribuída pelo sistema

from azure.identity import ManagedIdentityCredential

from opencensus.ext.azure.trace_exporter import AzureExporter
from opencensus.trace.samplers import ProbabilitySampler
from opencensus.trace.tracer import Tracer

credential = ManagedIdentityCredential()
tracer = Tracer(
    exporter=AzureExporter(credential=credential, connection_string="InstrumentationKey=<your-instrumentation-key>;IngestionEndpoint=<your-ingestion-endpoint>"),
    sampler=ProbabilitySampler(1.0)
)
...

Identidade gerenciada atribuída pelo usuário

from azure.identity import ManagedIdentityCredential

from opencensus.ext.azure.trace_exporter import AzureExporter
from opencensus.trace.samplers import ProbabilitySampler
from opencensus.trace.tracer import Tracer

credential = ManagedIdentityCredential(client_id="<client-id>")
tracer = Tracer(
    exporter=AzureExporter(credential=credential, connection_string="InstrumentationKey=<your-instrumentation-key>;IngestionEndpoint=<your-ingestion-endpoint>"),
    sampler=ProbabilitySampler(1.0)
)
...

Desabilitar autenticação local

Depois que a autenticação do Microsoft Entra estiver habilitada, você poderá optar por desabilitar a autenticação local. Essa configuração permite a ingestão der telemetria autenticada exclusivamente pelo Microsoft Entra ID e afetará o acesso a dados (por exemplo, por meio de chaves de API).

Você pode desabilitar a autenticação local usando o portal do Azure, o Azure Policy ou programaticamente.

Portal do Azure

1. No recurso do Application Insights, selecione Propriedades no título Configurar no menu à esquerda. Selecione Habilitado (clique para alterar) se a autenticação local estiver habilitada.

   

2. Selecione Desabilitado e aplique as alterações.

   

3. Depois de desabilitar a autenticação local no seu recurso, você verá as informações correspondentes no painel Visão Geral.

   

Azure Policy

O Azure Policy para DisableLocalAuth impede que um recurso do Application Insights seja criado se essa propriedade não está definida como true. O nome da política é Application Insights components should block non-AAD auth ingestion.

Para aplicar essa política à sua assinatura, crie uma atribuição de política e atribua a política.

O exemplo a seguir mostra a definição de modelo de política:

{
    "properties": {
        "displayName": "Application Insights components should block non-AAD auth ingestion",
        "policyType": "BuiltIn",
        "mode": "Indexed",
        "description": "Improve Application Insights security by disabling log ingestion that are not AAD-based.",
        "metadata": {
            "version": "1.0.0",
            "category": "Monitoring"
        },
        "parameters": {
            "effect": {
                "type": "String",
                "metadata": {
                    "displayName": "Effect",
                    "description": "The effect determines what happens when the policy rule is evaluated to match"
                },
                "allowedValues": [
                    "audit",
                    "deny",
                    "disabled"
                ],
                "defaultValue": "audit"
            }
        },
        "policyRule": {
            "if": {
                "allOf": [
                    {
                        "field": "type",
                        "equals": "Microsoft.Insights/components"
                    },
                    {
                        "field": "Microsoft.Insights/components/DisableLocalAuth",
                        "notEquals": "true"                        
                    }
                ]
            },
            "then": {
                "effect": "[parameters('effect')]"
            }
        }
    }
}

Habilitação programática

A propriedade DisableLocalAuth é usada para desabilitar qualquer autenticação local em seu recurso do Application Insights. Quando definida como true, essa propriedade impõe que a autenticação do Microsoft Entra precisa ser usada para todo o acesso.

O exemplo a seguir mostra o modelo do Azure Resource Manager que você pode usar para criar um recurso do Application Insights baseado em workspace Insights com LocalAuth desabilitada.

{
    "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "name": {
            "type": "string"
        },
        "type": {
            "type": "string"
        },
        "regionId": {
            "type": "string"
        },
        "tagsArray": {
            "type": "object"
        },
        "requestSource": {
            "type": "string"
        },
        "workspaceResourceId": {
            "type": "string"
        },
        "disableLocalAuth": {
            "type": "bool"
        }
     
    },
    "resources": [
        {
        "name": "[parameters('name')]",
        "type": "microsoft.insights/components",
        "location": "[parameters('regionId')]",
        "tags": "[parameters('tagsArray')]",
        "apiVersion": "2020-02-02-preview",
        "dependsOn": [],
        "properties": {
            "Application_Type": "[parameters('type')]",
            "Flow_Type": "Redfield",
            "Request_Source": "[parameters('requestSource')]",
            "WorkspaceResourceId": "[parameters('workspaceResourceId')]",
            "DisableLocalAuth": "[parameters('disableLocalAuth')]"
            }
    }
 ]
}

Público do token

Ao desenvolver um cliente personalizado para obter um token de acesso do Microsoft Entra ID com a finalidade de enviar telemetria ao Application Insights, consulte a tabela a seguir para determinar a cadeia de caracteres da audiência apropriada para seu ambiente de host específico.

Versão de nuvem do Azure	Valor da audiência do token
Nuvem pública do Azure	https://monitor.azure.com
Microsoft Azure operado pela nuvem da 21Vianet	https://monitor.azure.cn
Nuvem do governo dos EUA do Azure	https://monitor.azure.us

Se você estiver usando nuvens soberanas, também poderá encontrar as informações da audiência na cadeia de conexão. A cadeia de conexão segue esta estrutura:

InstrumentationKey={profile.InstrumentationKey};IngestionEndpoint={ingestionEndpoint};LiveEndpoint={liveDiagnosticsEndpoint};AADAudience={aadAudience}

O parâmetro de público, AADAudience, pode variar dependendo do seu ambiente específico.

Solução de problemas

Esta seção fornece diferentes cenários de solução de problemas e etapas que você pode seguir para resolver qualquer problema antes de adicionar um tíquete de suporte.

Erros HTTP de ingestão

O serviço de ingestão retorna erros específicos (erros HTTP de ingestão), independentemente da linguagem do SDK. O tráfego de rede pode ser coletado usando uma ferramenta como o Fiddler. Você deve filtrar o tráfego para o ponto de extremidade de ingestão definido na Cadeia de conexão.

Não há suporte para a Autenticação HTTP/1.1 400

Esse erro mostra que o recurso está definido apenas para Microsoft Entra. Você precisa configurar corretamente o SDK porque ele está enviando para a API errada.

Observação

"v2/track" não dá suporte ao Microsoft Entra ID. Quando o SDK estiver configurado corretamente, a telemetria será enviada para "v2.1/track".

A seguir, você deve examinar a configuração do SDK.

Autorização HTTP/1.1 401 necessária

Esse erro indica que o SDK está configurado corretamente, mas não consegue adquirir um token válido. Esse erro pode indicar um problema com o Microsoft Entra ID.

A seguir, você deve identificar exceções nos logs do SDK ou erros de rede da Identidade do Azure.

HTTP/1.1 403 Não autorizado

Esse erro significa que o SDK utiliza credenciais sem permissão para o recurso ou subscrição do Application Insights.

Primeiro, verifique o controlo de acesso do recurso Application Insights. Você deve configurar o SDK com credenciais que tenham a função de Publicador de Métricas de Monitoramento.

Solução de problemas específica do idioma

.NET

Origem do Evento

O SDK do .NET do Application Insights emite logs de erro usando a origem do evento. Para saber mais sobre como coletar logs de origem do evento, confira Solução de problemas de ausência de dados – coletar logs com o PerfView.

Se o SDK não conseguir obter um token, a mensagem de exceção será registrada como: Failed to get AAD Token. Error message:.

Node.js

Os logs internos podem ser ativados usando a configuração a seguir. Depois de habilitados, os logs de erro serão mostrados no console, incluindo eventuais erros relacionados à integração com o Microsoft Entra. Exemplos incluem falha ao gerar o token quando credenciais erradas são fornecidas ou erros quando o ponto de extremidade de ingestão falha ao autenticar usando as credenciais fornecidas.

let appInsights = require("applicationinsights");
appInsights.setup("InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/").setInternalLogging(true, true);

Java

Tráfego HTTP

Você pode inspecionar o tráfego de rede usando uma ferramenta como o Fiddler. Para habilitar o tráfego para túnel por meio do Fiddler, adicione as seguintes configurações de proxy no arquivo de configuração:

"proxy": {
"host": "localhost",
"port": 8888
}

Ou adicione os seguintes argumentos Java Virtual Machine (JVM) ao executar seu aplicativo: -Djava.net.useSystemProxies=true -Dhttps.proxyHost=localhost -Dhttps.proxyPort=8888

Se o Microsoft Entra ID estiver habilitado no agente, o tráfego de saída incluirá o cabeçalho HTTP Authorization.

401 Não Autorizado

Se você vir a mensagem WARN c.m.a.TelemetryChannel - Failed to send telemetry with status code: 401, please check your credentials no log, significa que o agente não conseguiu enviar telemetria. Você provavelmente não habilitou a autenticação Microsoft Entra no agente, enquanto seu recurso do Application Insights foi DisableLocalAuth: true. Certifique-se de passar uma credencial válida com permissão de acesso ao seu recurso Application Insights.

Se estiver usando o Fiddler, você poderá ver o cabeçalho de resposta: HTTP/1.1 401 Unauthorized - please provide the valid authorization token.

CredentialUnavailableException

Se você vir a exceção com.azure.identity.CredentialUnavailableException: ManagedIdentityCredential authentication unavailable. Connection to IMDS endpoint cannot be established no arquivo de log, significa que o agente não conseguiu adquirir o token de acesso. A causa provável é um ID de cliente inválido na configuração da Identidade Gerenciada Atribuída ao Usuário.

Falha ao enviar telemetria

Se você vir a mensagem WARN c.m.a.TelemetryChannel - Failed to send telemetry with status code: 403, please check your credentials no log, significa que o agente não conseguiu enviar telemetria. A razão provável é que as credenciais utilizadas não permitem a ingestão de telemetria.

Usando o Fiddler, você pode notar a resposta HTTP/1.1 403 Forbidden - provided credentials do not grant the access to ingest the telemetry into the component.

O problema pode ser devido a:

• Criar o recurso com uma identidade gerenciada atribuída pelo sistema ou associar uma identidade atribuída ao usuário sem adicionar a função Publicador de Métricas de Monitoramento a ele.
• Usando as credenciais corretas para tokens de acesso, mas vinculando-os ao recurso errado do Application Insights. Certifique-se de que seu recurso (máquina virtual ou serviço de aplicativo) ou identidade atribuída ao usuário tenha funções de Publicador de Métricas de Monitoramento em seu recurso do Application Insights.

ID do cliente inválido

Se a exceção for com.microsoft.aad.msal4j.MsalServiceException: Application with identifier <CLIENT_ID> was not found in the directory no log, significa que o agente não conseguiu obter o token de acesso. Essa exceção provavelmente ocorre porque o ID do cliente na configuração do segredo do cliente é inválido ou incorreto.

Esse problema ocorre se o administrador não instalar a aplicação ou se nenhum utilizador inquilino consentir com a mesma. Também acontece se você enviar sua solicitação de autenticação ao locatário errado.

Python

O erro começa com "erro de credencial" (sem código de status)

Algo está errado na credencial que você está usando e o cliente não consegue obter um token para autorização. Isso acontece porque faltam os dados necessários para o estado. Um exemplo seria passar uma ManagedIdentityCredential do sistema, mas o recurso não estar configurado para usar a identidade gerenciada pelo sistema.

O erro começa com "erro de autenticação" (sem código de status)

Falha do cliente ao autenticar com a credencial determinada. Esse erro costuma ocorrer quando a credencial usada não tem atribuições de função corretas.

Estou recebendo um código de status 400 em meus logs de erro

Você provavelmente não tem uma credencial ou sua credencial está definida como None, mas o recurso do Application Insights está configurado com DisableLocalAuth: true. Verifique se você está passando uma credencial válida e se ela tem permissão para acessar seu recurso Application Insights.

Estou recebendo um código de status 403 em meus logs de erro

Esse erro costuma ocorrer quando as credenciais fornecidas não permitem acesso à telemetria de ingestão para o recurso do Application Insights. Verifique se o recurso do Application Insights tem as atribuições de função corretas.

Próximas etapas

• Monitorar sua telemetria no portal
• Fazer o diagnóstico com o Live Metrics Stream
• Consultar o Application Insights usando a autenticação do Microsoft Entra