Autenticación de Microsoft Entra para Application Insights

Application Insights ahora admite la autenticación de Microsoft Entra. Mediante Microsoft Entra ID, puede asegurarse de que solo se ingieren los datos de telemetría autenticados en los recursos de Application Insights.

El uso de varios sistemas de autenticación puede ser complicado y suponer un riesgo, ya que es difícil administrar las credenciales a gran escala. Ahora puede optar por excluirse de la autenticación local para asegurarse de que solo la telemetría que se autentica exclusivamente mediante identidades administradas y Microsoft Entra ID se ingiera en el recurso. Esta característica es un paso para mejorar la seguridad y confiabilidad de la telemetría que se usa para realizar operaciones críticas (alertas y escalado automático) y decisiones empresariales.

Nota:

En este documento se describe la ingesta de datos en Application Insights mediante la autenticación basada en Microsoft Entra ID. Para más información sobre cómo consultar datos en Application Insights, consulte Consulta de Application Insights mediante Autenticación de Microsoft Entra.

Requisitos previos

Se requieren los siguientes pasos preliminares para habilitar la ingesta autenticada de Microsoft Entra. Necesita:

• Estar en la nube pública.
• Familiarícese con:
  • Identidad administrada.
  • Entidad de servicio.
  • Asignación de roles de Azure.
• Debe tener un rol de Propietario en el grupo de recursos si desea conceder acceso mediante roles integrados de Azure.
• Entienda los escenarios no admitidos.

Escenarios no admitidos

Las siguientes características y kits de desarrollo de software (SDK) no son compatibles para su uso con la ingesta autenticada de Microsoft Entra:

• SDK de Java 2.x para Application Insights.
  La autenticación de Microsoft Entra solo está disponible para el agente de Java de Application Insights versión 3.2.0 o superior.
• SDK web de JavaScript para Application Insights.
• SDK de Python de OpenCensus para Application Insights con Python versión 3.4 y 3.5.
• De forma predeterminada, la implementación automática o la supervisión sin código (para lenguajes) para Azure App Service, Azure Virtual Machines/Azure Virtual Machine Scale Sets y Azure Functions.
• Profiler.

Configuración y habilitación de la autenticación basada en Microsoft Entra ID

1. Si aún no tiene una identidad, cree una mediante una identidad administrada o una entidad de servicio.

   • Se recomienda usar una identidad administrada:

     Configure una identidad administrada para el servicio de Azure (Virtual Machines o App Service).

   • No se recomienda usar una entidad de servicio:

     Para más información sobre cómo crear una entidad de servicio y una aplicación de Microsoft Entra que puedan acceder a los recursos, consulte Creación de una entidad de servicio.

2. Asigne un rol al servicio de Azure.

   Siga los pasos descritos en Asignación de roles de Azure para agregar el rol Supervisión del publicador de métricas desde el recurso de destino de Application Insights al recurso de Azure desde el que se envía la telemetría.

   Nota

   Aunque el rol Supervisión del publicador de métricas indica métricas, publicará toda la telemetría en el recurso de Application Insights.

3. Siga las instrucciones de configuración de acuerdo con el lenguaje de programación siguiente.

.NET

Nota:

La compatibilidad con Microsoft Entra ID en el SDK de .NET de Application Insights se incluye a partir de la versión 2.18-Beta3.

El SDK de .NET de Application Insights admite las clases de credenciales proporcionadas por Azure Identity.

• Se recomienda DefaultAzureCredential para el desarrollo local.
• Se recomienda ManagedIdentityCredential para identidades administradas asignadas por el sistema y asignadas por el usuario.
  • En el caso de las asignadas por el sistema, use el constructor predeterminado sin parámetros.
  • En el caso de los asignados por el usuario, proporcione el valor del Id. de cliente al constructor.

En el ejemplo siguiente se muestra cómo crear y configurar TelemetryConfiguration manualmente mediante .NET:

TelemetryConfiguration.Active.ConnectionString = "InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/";
var credential = new DefaultAzureCredential();
TelemetryConfiguration.Active.SetAzureTokenCredential(credential);

En el ejemplo siguiente se muestra cómo configurar TelemetryConfiguration mediante .NET Core:

services.Configure<TelemetryConfiguration>(config =>
{
       var credential = new DefaultAzureCredential();
       config.SetAzureTokenCredential(credential);
});
services.AddApplicationInsightsTelemetry(new ApplicationInsightsServiceOptions
{
    ConnectionString = "InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/"
});

Node.js

Nota:

La compatibilidad con Microsoft Entra ID en Node-JS de Application Insights se incluye a partir de la versión 2.1.0-beta.1.

Node.JS de Application Insights admite las clases de credenciales proporcionadas por Azure Identity.

DefaultAzureCredential

import appInsights from "applicationinsights";
import { DefaultAzureCredential } from "@azure/identity"; 
 
const credential = new DefaultAzureCredential();
appInsights.setup("InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/").start();
appInsights.defaultClient.config.aadTokenCredential = credential;

Java

Nota:

La compatibilidad con Microsoft Entra ID en el agente de Java de Application Insights se incluye a partir de la versión Java 3.2.0-BETA.

1. Configure la aplicación con el agente de Java.

   Importante

   Use la cadena de conexión completa que incluye IngestionEndpoint al configurar la aplicación con el agente de Java. Por ejemplo, use InstrumentationKey=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX;IngestionEndpoint=https://XXXX.applicationinsights.azure.com/.

2. Agregue la configuración JSON al archivo de configuración ApplicationInsights.json dependiendo de la autenticación que utilice. En su lugar, se recomienda usar identidades administradas.

Nota:

Para obtener más información sobre la migración desde el 2.XSDK al 3.Xagente Java, consulte Actualización desde Application Insights Java 2.x SDK.

Identidad administrada asignada por el sistema

En el siguiente ejemplo se muestra cómo configurar el agente de Java para usar la identidad administrada asignada por el sistema para la autenticación con Microsoft Entra ID.

{ 
  "connectionString": "App Insights Connection String with IngestionEndpoint", 
  "authentication": { 
    "enabled": true, 
    "type": "SAMI" 
  } 
} 

Identidad administrada asignada por el usuario

En el siguiente ejemplo se muestra cómo configurar el agente de Java para usar la identidad administrada asignada por el usuario para la autenticación con Microsoft Entra ID.

{ 
  "connectionString": "App Insights Connection String with IngestionEndpoint", 
  "authentication": { 
    "enabled": true, 
    "type": "UAMI", 
    "clientId":"<USER-ASSIGNED MANAGED IDENTITY CLIENT ID>" 
  } 
} 

Configuración de la variable de entorno

La variable de entorno APPLICATIONINSIGHTS_AUTHENTICATION_STRING permite que Application Insights se autentique en Microsoft Entra ID y envíe telemetría.

• Para la identidad asignada por el sistema:

Configuración de aplicación	Value
APPLICATIONINSIGHTS_AUTHENTICATION_STRING	Authorization=AAD

• Para la identidad asignada por el usuario:

Configuración de aplicación	Value
APPLICATIONINSIGHTS_AUTHENTICATION_STRING	Authorization=AAD;ClientId={Client id of the User-Assigned Identity}

Establezca la variable de entorno APPLICATIONINSIGHTS_AUTHENTICATION_STRING mediante esta cadena.

En Unix/Linux:

export APPLICATIONINSIGHTS_AUTHENTICATION_STRING="Authorization=AAD"

En Windows:

set APPLICATIONINSIGHTS_AUTHENTICATION_STRING="Authorization=AAD"

Después de establecerla, reinicie la aplicación. Ahora envía telemetría a Application Insights mediante la autenticación de Microsoft Entra.

Python

Nota:

La autenticación de Microsoft Entra solo está disponible para Python v2.7, v3.6 y v3.7. La compatibilidad con Microsoft Entra ID en el SDK de Python de OpenCensus para Application Insights se incluye a partir de la versión beta opencensus-ext-azure 1.1b0.

Nota:

El SDK de OpenCensus para Python está en desuso, pero Microsoft lo admite hasta la retirada el 30 de septiembre de 2024. Ahora se recomienda la oferta de Python basada en OpenTelemetry y se proporcionan instrucciones de migración.

Construya las credenciales adecuadas y páselas al constructor del exportador de Azure Monitor. Asegúrese de que la cadena de conexión está configurada con la clave de instrumentación y el punto de conexión de ingesta del recurso.

Los OpenCensusexportadores de Azure Monitor admiten estos tipos de autenticación. Se recomienda usar identidades administradas en entornos de producción.

Identidad administrada asignada por el sistema

from azure.identity import ManagedIdentityCredential

from opencensus.ext.azure.trace_exporter import AzureExporter
from opencensus.trace.samplers import ProbabilitySampler
from opencensus.trace.tracer import Tracer

credential = ManagedIdentityCredential()
tracer = Tracer(
    exporter=AzureExporter(credential=credential, connection_string="InstrumentationKey=<your-instrumentation-key>;IngestionEndpoint=<your-ingestion-endpoint>"),
    sampler=ProbabilitySampler(1.0)
)
...

Identidad administrada asignada por el usuario

from azure.identity import ManagedIdentityCredential

from opencensus.ext.azure.trace_exporter import AzureExporter
from opencensus.trace.samplers import ProbabilitySampler
from opencensus.trace.tracer import Tracer

credential = ManagedIdentityCredential(client_id="<client-id>")
tracer = Tracer(
    exporter=AzureExporter(credential=credential, connection_string="InstrumentationKey=<your-instrumentation-key>;IngestionEndpoint=<your-ingestion-endpoint>"),
    sampler=ProbabilitySampler(1.0)
)
...

Deshabilitación de la autenticación local

Después de habilitar la autenticación de Microsoft Entra, puede optar por deshabilitar la autenticación local. Esta configuración le permite ingerir telemetría autenticada exclusivamente mediante Microsoft Entra ID y afectará al acceso a los datos (por ejemplo, a través de claves de API).

Puede deshabilitar la autenticación local mediante el Azure Portal, Azure Policy o mediante programación.

Azure portal

1. En el recurso de Application Insights, seleccione Propiedades en el título Configurar del menú de la izquierda. Seleccione Habilitado (haga clic para cambiar) si la autenticación local está habilitada.

   

2. Seleccione Deshabilitado y aplique los cambios.

   

3. Una vez que haya deshabilitado la autenticación local en el recurso, verá la información correspondiente en el panel Información general.

   

Azure Policy

Azure Policy para DisableLocalAuth deniega a los usuarios la creación de un recurso de Application Insights si esta propiedad no está configurada en true. El nombre de la directiva es Application Insights components should block non-AAD auth ingestion.

Para aplicar esta definición de directiva a la suscripción, cree una nueva asignación de directiva y asigne la directiva.

En el ejemplo siguiente se muestra la definición de la plantilla de directiva:

{
    "properties": {
        "displayName": "Application Insights components should block non-AAD auth ingestion",
        "policyType": "BuiltIn",
        "mode": "Indexed",
        "description": "Improve Application Insights security by disabling log ingestion that are not AAD-based.",
        "metadata": {
            "version": "1.0.0",
            "category": "Monitoring"
        },
        "parameters": {
            "effect": {
                "type": "String",
                "metadata": {
                    "displayName": "Effect",
                    "description": "The effect determines what happens when the policy rule is evaluated to match"
                },
                "allowedValues": [
                    "audit",
                    "deny",
                    "disabled"
                ],
                "defaultValue": "audit"
            }
        },
        "policyRule": {
            "if": {
                "allOf": [
                    {
                        "field": "type",
                        "equals": "Microsoft.Insights/components"
                    },
                    {
                        "field": "Microsoft.Insights/components/DisableLocalAuth",
                        "notEquals": "true"                        
                    }
                ]
            },
            "then": {
                "effect": "[parameters('effect')]"
            }
        }
    }
}

Habilitación mediante programación

La propiedad DisableLocalAuth se usa para deshabilitar cualquier autenticación local en el recurso de Application Insights. Cuando esta propiedad se establece en true, exige que la autenticación de Microsoft Entra se use para todos los accesos.

El siguiente ejemplo muestra una plantilla de Azure Resource Manager que puede usar para crear un recurso de Application Insights basado en área de trabajo con LocalAuth deshabilitada.

{
    "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "name": {
            "type": "string"
        },
        "type": {
            "type": "string"
        },
        "regionId": {
            "type": "string"
        },
        "tagsArray": {
            "type": "object"
        },
        "requestSource": {
            "type": "string"
        },
        "workspaceResourceId": {
            "type": "string"
        },
        "disableLocalAuth": {
            "type": "bool"
        }
     
    },
    "resources": [
        {
        "name": "[parameters('name')]",
        "type": "microsoft.insights/components",
        "location": "[parameters('regionId')]",
        "tags": "[parameters('tagsArray')]",
        "apiVersion": "2020-02-02-preview",
        "dependsOn": [],
        "properties": {
            "Application_Type": "[parameters('type')]",
            "Flow_Type": "Redfield",
            "Request_Source": "[parameters('requestSource')]",
            "WorkspaceResourceId": "[parameters('workspaceResourceId')]",
            "DisableLocalAuth": "[parameters('disableLocalAuth')]"
            }
    }
 ]
}

Público del token

Al desarrollar un cliente personalizado para que obtenga un token de acceso de Microsoft Entra ID con el fin de enviar telemetría a Application Insights, consulte la tabla siguiente para determinar la cadena de audiencia adecuada para su entorno host concreto.

Versión de la nube de Azure	Valor de audiencia del token
Nube pública de Azure	https://monitor.azure.com
Microsoft Azure operado por la nube 21Vianet	https://monitor.azure.cn
Nube de Azure US Government	https://monitor.azure.us

Si usa nubes soberanas, también puede encontrar la información de audiencia en la cadena de conexión. La cadena de conexión sigue esta estructura:

InstrumentationKey={profile.InstrumentationKey};IngestionEndpoint={ingestionEndpoint};LiveEndpoint={liveDiagnosticsEndpoint};AADAudience={aadAudience}

El parámetro de audiencia, AADAudience, puede variar en función de su entorno específico.

Solución de problemas

En esta sección se proporcionan distintos escenarios de solución de problemas y pasos que puede seguir para resolver cualquier problema antes de generar una incidencia de soporte técnico.

Errores HTTP de ingesta

El servicio de ingesta devolverá errores específicos, independientemente del lenguaje del SDK. El tráfico de red se puede recopilar mediante una herramienta como Fiddler. Debe filtrar el tráfico al punto de conexión de ingesta establecido en la cadena de conexión.

No se admite la autenticación HTTP/1.1 400

Este error muestra que el recurso está establecido solo para Microsoft Entra. Debe configurar correctamente el SDK porque se está enviando a la API incorrecta.

Nota:

"v2/track" no admite la autenticación de Microsoft Entra ID. Cuando el SDK esté configurado correctamente, la telemetría se enviará a "v2.1/track".

Después, revise la configuración del SDK.

Se requiere autorización de HTTP/1.1 401

Este error indica que el SDK se configuró correctamente, pero no pudo adquirir un token válido. Este error podría indicar un problema con Microsoft Entra ID.

Seguidamente, debe identificar las excepciones en los registros del SDK o los errores de red de la identidad de Azure.

HTTP/1.1 403 no autorizado

Este error significa que el SDK usa credenciales sin permiso para el recurso o la suscripción de Application Insights.

Primero, revise el control de acceso del recurso de Application Insights. Debe configurar el SDK con credenciales que tengan el rol Publicador de métricas de supervisión.

Solución de problemas específicos del lenguaje

.NET

Origen del evento

El SDK de .NET de Application Insights emite registros de errores mediante el origen del evento. Para obtener más información sobre la recopilación de registros de origen del evento, visite Solución de problemas cuando no hay datos: recopilación de registros con PerfView.

Si el SDK no puede obtener un token, el mensaje de excepción se registra como Failed to get AAD Token. Error message:.

Node.js

Los registros internos podrían activarse mediante la siguiente configuración. Una vez habilitados, los registros de errores se mostrarán en la consola, incluido cualquier error relacionado con la integración de Microsoft Entra. Los ejemplos incluyen errores al generar el token cuando se proporcionan credenciales incorrectas o se producen errores cuando el punto de conexión de ingesta no se puede autenticar con las credenciales proporcionadas.

let appInsights = require("applicationinsights");
appInsights.setup("InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/").setInternalLogging(true, true);

Java

Tráfico HTTP

Puede inspeccionar el tráfico de red mediante una herramienta como Fiddler. Para habilitar el tráfico para tunelización a través de Fiddler, agregue la siguiente configuración de proxy en el archivo de configuración:

"proxy": {
"host": "localhost",
"port": 8888
}

O bien, agregue los siguientes argumentos de Máquina virtual Java (JVM) al ejecutar la aplicación: -Djava.net.useSystemProxies=true -Dhttps.proxyHost=localhost -Dhttps.proxyPort=8888

Si Microsoft Entra ID está habilitado en el agente, el tráfico saliente incluye el encabezado HTTP Authorization.

401 No autorizado

Si ve el mensaje, WARN c.m.a.TelemetryChannel - Failed to send telemetry with status code: 401, please check your credentials en el registro, significa que el agente no pudo enviar telemetría. Probablemente no habilitó la autenticación de Microsoft Entra en el agente, mientras que el recurso de Application Insights tiene DisableLocalAuth: true. Asegúrese de pasar una credencial válida con permiso de acceso al recurso de Application Insights.

Si usa Fiddler, es posible que vea el encabezado de respuesta HTTP/1.1 401 Unauthorized - please provide the valid authorization token.

CredentialUnavailableException

Si ve la excepción, com.azure.identity.CredentialUnavailableException: ManagedIdentityCredential authentication unavailable. Connection to IMDS endpoint cannot be established en el archivo de registro, significa que el agente no pudo adquirir el token de acceso. La causa probable es un id. de cliente no válido en la configuración de identidad administrada asignada por el usuario.

No se pudo enviar telemetría

Si ve el mensaje, WARN c.m.a.TelemetryChannel - Failed to send telemetry with status code: 403, please check your credentials en el registro, significa que el agente no pudo enviar telemetría. El motivo probable es que las credenciales usadas no permitan la ingesta de telemetría.

Con Fiddler, es posible que observe la respuesta HTTP/1.1 403 Forbidden - provided credentials do not grant the access to ingest the telemetry into the component.

El problema puede deberse a lo siguiente:

• Crear el recurso con una identidad administrada asignada por el sistema o asociar una identidad asignada por el usuario sin agregarle el rol Publicador de métricas de supervisión.
• Usar las credenciales correctas para los tokens de acceso, pero vincularlas al recurso de Application Insights incorrecto. Asegúrese de que el recurso (máquina virtual o App Service) o la identidad asignada por el usuario tenga roles de Publicador de métricas de supervisión en el recurso de Application Insights.

Identificador de cliente no válido

Si la excepción, com.microsoft.aad.msal4j.MsalServiceException: Application with identifier <CLIENT_ID> was not found in the directory en el registro, significa que el agente no pudo obtener el token de acceso. Es probable que esta excepción se produzca porque el id. de cliente de la configuración del secreto de cliente no es válido o es incorrecto.

Este problema se produce si el administrador no instala la aplicación o ningún usuario de inquilino le otorga su consentimiento. También ocurre si envía la solicitud de autenticación al inquilino incorrecto.

Python

El error comienza por "error de credencial" (sin código de estado)

Hay algo incorrecto relacionado con la credencial que está usando y el cliente no puede obtener un token para la autorización. Esto se debe a que faltan los datos necesarios para el estado. Un ejemplo sería pasar un elemento ManagedIdentityCredential del sistema, pero el recurso no está configurado para usar la identidad administrada por el sistema.

El error comienza por "error de autenticación" (sin código de estado)

El cliente no pudo autenticarse con la credencial dada. Este error normalmente se produce cuando la credencial usada no tiene asignaciones de roles correctas.

Obtengo un código de estado 400 en los registros de errores

Probablemente falte una credencial o la credencial esté establecida en None, pero el recurso de Application Insights está configurado con DisableLocalAuth: true. Asegúrese de que va a pasar una credencial válida y de que tiene permiso para acceder al recurso de Application Insights.

Obtengo un código de estado 403 en los registros de errores

Este error normalmente se produce cuando las credenciales proporcionadas no conceden acceso a la telemetría de ingesta para el recurso de Application Insights. Asegúrese de que el recurso de Application Insights tiene las asignaciones de roles correctas.

Pasos siguientes

• Navegación y paneles en el portal de Application Insights
• Diagnósticos con Live Metrics Stream
• Consulta de Application Insights mediante la autenticación de Microsoft Entra