Autentikasi Microsoft Entra untuk Application Insights

Application Insights sekarang mendukung autentikasi Microsoft Entra. Dengan menggunakan ID Microsoft Entra, Anda dapat memastikan bahwa hanya telemetri terautentikasi yang diserap dalam sumber daya Application Insights Anda.

Biasanya, menggunakan berbagai sistem autentikasi dapat menjadi rumit dan menimbulkan risiko karena sulit untuk mengelola kredensial dalam skala besar. Anda sekarang dapat memilih untuk menolak autentikasi lokal untuk memastikan hanya telemetri yang diautentikasi secara eksklusif dengan menggunakan identitas terkelola dan ID Microsoft Entra diserap di sumber daya Anda. Fitur ini adalah langkah untuk meningkatkan keamanan dan keandalan telemetri yang digunakan untuk membuat operasional penting (pemberitahuan dan penskalaan otomatis) dan keputusan bisnis.

Catatan

Dokumen ini mencakup penyerapan data ke dalam Application Insights menggunakan autentikasi berbasis ID Microsoft Entra. Untuk informasi tentang mengkueri data dalam Application Insights, lihat Query Application Insights menggunakan autentikasi Microsoft Entra.

Prasyarat

Langkah-langkah awal berikut diperlukan untuk mengaktifkan penyerapan terautentikasi Microsoft Entra. Anda perlu:

• Berada di cloud publik.
• Kenali:
  • Identitas terkelola.
  • Perwakilan layanan.
  • Menetapkan peran Azure.
• Memiliki peran Pemilik ke grup sumber daya untuk memberikan akses dengan menggunakan peran bawaan Azure.
• Pahami skenario yang tidak didukung.

Skenario yang tidak didukung

Kit Pengembangan Perangkat Lunak (SDK) dan fitur berikut tidak didukung untuk digunakan dengan penyerapan terautentikasi Microsoft Entra:

• Application Insights Java 2.x SDK.
  Autentikasi Microsoft Entra hanya tersedia untuk Application Insights Java Agent yang lebih besar dari atau sama dengan 3.2.0.
• ApplicationInsights JavaScript web SDK.
• Application Insights OpenCensus Python SDK dengan Python versi 3.4 dan 3.5.
• Autoinstrumentasi/pemantauan tanpa kode (untuk bahasa) secara default untuk Azure App Service, Azure Virtual Machines/Azure Virtual Machine Scale Sets, dan Azure Functions.
• Profiler.

Mengonfigurasi dan mengaktifkan autentikasi berbasis ID Microsoft Entra

1. Jika Anda belum memiliki identitas, buat identitas dengan menggunakan identitas terkelola atau perwakilan layanan.

   • Sebaiknya gunakan identitas terkelola:

     Siapkan identitas terkelola untuk layanan Azure Anda (Virtual Machines atau App Service).

   • Kami tidak merekomendasikan penggunaan perwakilan layanan:

     Untuk informasi selengkapnya tentang cara membuat aplikasi Microsoft Entra dan perwakilan layanan yang dapat mengakses sumber daya, lihat Membuat perwakilan layanan.

2. Tetapkan peran ke layanan Azure.

   Ikuti langkah-langkah dalam Menetapkan peran Azure untuk menambahkan peran Penerbit Metrik Pemantauan dari sumber daya Application Insights target ke sumber daya Azure tempat telemetri dikirim.

   Catatan

   Meskipun peran Penerbit Metrik Pemantauan mengatakan "metrik," peran tersebut akan menerbitkan semua telemetri ke sumber daya Application Insights.

3. Ikuti panduan konfigurasi sesuai dengan bahasa berikut.

.NET

Catatan

Dukungan untuk MICROSOFT Entra ID di Application Insights .NET SDK disertakan dimulai dengan versi 2.18-Beta3.

Application Insights .NET SDK mendukung kelas kredensial yang disediakan oleh Azure Identity.

• Kami merekomendasikan DefaultAzureCredential untuk pengembangan lokal.
• Kami merekomendasikan ManagedIdentityCredential untuk identitas terkelola yang ditetapkan sistem dan ditetapkan pengguna.
  • Untuk sistem yang ditetapkan, gunakan konstruktor default tanpa parameter.
  • Untuk pengguna yang ditetapkan, berikan ID klien ke konstruktor.

Contoh berikut menunjukkan cara membuat dan mengonfigurasi TelemetryConfiguration secara manual dengan menggunakan .NET:

TelemetryConfiguration.Active.ConnectionString = "InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/";
var credential = new DefaultAzureCredential();
TelemetryConfiguration.Active.SetAzureTokenCredential(credential);

Contoh berikut menunjukkan cara mengonfigurasi TelemetryConfiguration dengan menggunakan .NET Core:

services.Configure<TelemetryConfiguration>(config =>
{
       var credential = new DefaultAzureCredential();
       config.SetAzureTokenCredential(credential);
});
services.AddApplicationInsightsTelemetry(new ApplicationInsightsServiceOptions
{
    ConnectionString = "InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/"
});

Node.js

Catatan

Dukungan untuk ID Microsoft Entra dalam Node.JS Application Insights disertakan dimulai dengan versi 2.1.0-beta.1.

Application Insights Node.JS mendukung kelas kredensial yang disediakan oleh Azure Identity.

DefaultAzureCredential

import appInsights from "applicationinsights";
import { DefaultAzureCredential } from "@azure/identity"; 
 
const credential = new DefaultAzureCredential();
appInsights.setup("InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/").start();
appInsights.defaultClient.config.aadTokenCredential = credential;

Java

Catatan

Dukungan untuk ID Microsoft Entra dalam agen Application Insights Java disertakan dimulai dengan Java 3.2.0-BETA.

1. Konfigurasikan aplikasi Anda dengan agen Java.

   Penting

   Gunakan string koneksi lengkap, yang mencakup IngestionEndpoint, saat Anda mengonfigurasi aplikasi dengan agen Java. Misalnya, gunakan InstrumentationKey=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX;IngestionEndpoint=https://XXXX.applicationinsights.azure.com/.

2. Tambahkan konfigurasi JSON ke file konfigurasi ApplicationInsights.json bergantung pada autentikasi yang Anda gunakan. Sebaiknya gunakan identitas terkelola.

Catatan

Untuk informasi selengkapnya tentang migrasi dari 2.X SDK ke 3.X agen Java, lihat Meningkatkan dari Application Insights Java 2.x SDK.

Identitas terkelola yang ditetapkan sistem

Contoh berikut menunjukkan cara mengonfigurasi agen Java untuk menggunakan identitas terkelola yang ditetapkan sistem untuk autentikasi dengan ID Microsoft Entra.

{ 
  "connectionString": "App Insights Connection String with IngestionEndpoint", 
  "authentication": { 
    "enabled": true, 
    "type": "SAMI" 
  } 
} 

Identitas terkelola yang ditetapkan pengguna

Contoh berikut menunjukkan cara mengonfigurasi agen Java untuk menggunakan identitas terkelola yang ditetapkan pengguna untuk autentikasi dengan ID Microsoft Entra.

{ 
  "connectionString": "App Insights Connection String with IngestionEndpoint", 
  "authentication": { 
    "enabled": true, 
    "type": "UAMI", 
    "clientId":"<USER-ASSIGNED MANAGED IDENTITY CLIENT ID>" 
  } 
} 

Konfigurasi variabel lingkungan

Variabel APPLICATIONINSIGHTS_AUTHENTICATION_STRING lingkungan memungkinkan Application Insights mengautentikasi ke ID Microsoft Entra dan mengirim telemetri.

• Untuk identitas yang ditetapkan sistem:

Pengaturan aplikasi	Nilai
APPLICATIONINSIGHTS_AUTHENTICATION_STRING	Authorization=AAD

• Untuk identitas yang ditetapkan pengguna:

Pengaturan aplikasi	Nilai
APPLICATIONINSIGHTS_AUTHENTICATION_STRING	Authorization=AAD;ClientId={Client id of the User-Assigned Identity}

Atur APPLICATIONINSIGHTS_AUTHENTICATION_STRING variabel lingkungan menggunakan string ini.

Di Unix/Linux:

export APPLICATIONINSIGHTS_AUTHENTICATION_STRING="Authorization=AAD"

Di Windows:

set APPLICATIONINSIGHTS_AUTHENTICATION_STRING="Authorization=AAD"

Setelah mengaturnya, mulai ulang aplikasi Anda. Sekarang mengirimkan telemetri ke Application Insights menggunakan autentikasi Microsoft Entra.

Python

Catatan

Autentikasi Microsoft Entra hanya tersedia untuk Python v2.7, v3.6, dan v3.7. Dukungan untuk MICROSOFT Entra ID di Application Insights OpenCensus Python SDK disertakan dimulai dengan versi beta opencensus-ext-azure 1.1b0.

Catatan

OpenCensus Python SDK tidak digunakan lagi, tetapi Microsoft mendukungnya hingga penghentian pada 30 September 2024. Kami sekarang merekomendasikan penawaran Python berbasis OpenTelemetry dan memberikan panduan migrasi.

Buat kredensial yang sesuai dan berikan ke konstruktor pengekspor Azure Monitor. Pastikan string koneksi Anda diatur dengan kunci instrumentasi dan titik akhir konsumsi sumber daya Anda.

Eksportir OpenCensus Azure Monitor mendukung jenis autentikasi ini. Sebaiknya gunakan identitas terkelola di lingkungan produksi.

Identitas terkelola yang ditetapkan sistem

from azure.identity import ManagedIdentityCredential

from opencensus.ext.azure.trace_exporter import AzureExporter
from opencensus.trace.samplers import ProbabilitySampler
from opencensus.trace.tracer import Tracer

credential = ManagedIdentityCredential()
tracer = Tracer(
    exporter=AzureExporter(credential=credential, connection_string="InstrumentationKey=<your-instrumentation-key>;IngestionEndpoint=<your-ingestion-endpoint>"),
    sampler=ProbabilitySampler(1.0)
)
...

Identitas terkelola yang ditetapkan pengguna

from azure.identity import ManagedIdentityCredential

from opencensus.ext.azure.trace_exporter import AzureExporter
from opencensus.trace.samplers import ProbabilitySampler
from opencensus.trace.tracer import Tracer

credential = ManagedIdentityCredential(client_id="<client-id>")
tracer = Tracer(
    exporter=AzureExporter(credential=credential, connection_string="InstrumentationKey=<your-instrumentation-key>;IngestionEndpoint=<your-ingestion-endpoint>"),
    sampler=ProbabilitySampler(1.0)
)
...

Nonaktifkan autentikasi lokal

Setelah autentikasi Microsoft Entra diaktifkan, Anda dapat memilih untuk menonaktifkan autentikasi lokal. Konfigurasi ini memungkinkan Anda untuk menyerap telemetri yang diautentikasi secara eksklusif oleh ID Microsoft Entra dan memengaruhi akses data (misalnya, melalui kunci API).

Anda dapat menonaktifkan autentikasi lokal dengan menggunakan portal Azure atau Azure Policy atau secara terprogram.

Portal Azure

1. Dari sumber daya Application Insights Anda, pilih Properti di bawah judul Konfigurasi di menu di sebelah kiri. Pilih Diaktifkan (klik untuk mengubah) jika autentikasi lokal diaktifkan.

   

2. Pilih Dinonaktifkan dan terapkan perubahan.

   

3. Setelah menonaktifkan autentikasi lokal pada sumber daya, Anda akan melihat informasi terkait di panel Gambaran Umum .

   

Kebijakan Azure

Azure Policy untuk DisableLocalAuth menolak kemampuan pengguna untuk membuat sumber daya Application Insights baru tanpa properti ini diatur ke true. Nama kebijakannya adalah Application Insights components should block non-AAD auth ingestion.

Untuk menerapkan definisi kebijakan ini ke langganan Anda, buat tugas kebijakan baru dan tetapkan kebijakan.

Contoh berikut menunjukkan definisi templat kebijakan:

{
    "properties": {
        "displayName": "Application Insights components should block non-AAD auth ingestion",
        "policyType": "BuiltIn",
        "mode": "Indexed",
        "description": "Improve Application Insights security by disabling log ingestion that are not AAD-based.",
        "metadata": {
            "version": "1.0.0",
            "category": "Monitoring"
        },
        "parameters": {
            "effect": {
                "type": "String",
                "metadata": {
                    "displayName": "Effect",
                    "description": "The effect determines what happens when the policy rule is evaluated to match"
                },
                "allowedValues": [
                    "audit",
                    "deny",
                    "disabled"
                ],
                "defaultValue": "audit"
            }
        },
        "policyRule": {
            "if": {
                "allOf": [
                    {
                        "field": "type",
                        "equals": "Microsoft.Insights/components"
                    },
                    {
                        "field": "Microsoft.Insights/components/DisableLocalAuth",
                        "notEquals": "true"                        
                    }
                ]
            },
            "then": {
                "effect": "[parameters('effect')]"
            }
        }
    }
}

Pemberdayaan terprogram

Properti DisableLocalAuth ini digunakan untuk menonaktifkan autentikasi lokal apa pun pada sumber daya Application Insights Anda. Ketika properti ini diatur ke true, properti ini memberlakukan bahwa autentikasi Microsoft Entra harus digunakan untuk semua akses.

Contoh berikut menunjukkan templat Azure Resource Manager yang dapat Anda gunakan untuk membuat sumber daya Application Insights berbasis ruang kerja dengan LocalAuth dinonaktifkan.

{
    "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "name": {
            "type": "string"
        },
        "type": {
            "type": "string"
        },
        "regionId": {
            "type": "string"
        },
        "tagsArray": {
            "type": "object"
        },
        "requestSource": {
            "type": "string"
        },
        "workspaceResourceId": {
            "type": "string"
        },
        "disableLocalAuth": {
            "type": "bool"
        }
     
    },
    "resources": [
        {
        "name": "[parameters('name')]",
        "type": "microsoft.insights/components",
        "location": "[parameters('regionId')]",
        "tags": "[parameters('tagsArray')]",
        "apiVersion": "2020-02-02-preview",
        "dependsOn": [],
        "properties": {
            "Application_Type": "[parameters('type')]",
            "Flow_Type": "Redfield",
            "Request_Source": "[parameters('requestSource')]",
            "WorkspaceResourceId": "[parameters('workspaceResourceId')]",
            "DisableLocalAuth": "[parameters('disableLocalAuth')]"
            }
    }
 ]
}

Audiens token

Saat mengembangkan klien kustom untuk mendapatkan token akses dari ID Microsoft Entra untuk mengirimkan telemetri ke Application Insights, lihat tabel berikut untuk menentukan string audiens yang sesuai untuk lingkungan host tertentu Anda.

Versi cloud Azure	Nilai audiens token
Cloud publik Azure	https://monitor.azure.com
Microsoft Azure dioperasikan oleh cloud 21Vianet	https://monitor.azure.cn
Cloud Azure US Government	https://monitor.azure.us

Jika Anda menggunakan sovereign cloud, Anda juga dapat menemukan informasi audiens di string koneksi. string koneksi mengikuti struktur ini:

InstrumentationKey={profile. InstrumentationKey}; IngestionEndpoint={ingestionEndpoint}; LiveEndpoint={liveDiagnosticsEndpoint}; AADAudience={aadAudience}

Parameter audiens, AADAudience, dapat bervariasi tergantung pada lingkungan spesifik Anda.

Pemecahan Masalah

Bagian ini menyediakan skenario pemecahan masalah dan langkah-langkah berbeda yang dapat Anda ambil untuk mengatasi masalah sebelum Anda menaikkan tiket dukungan.

Kesalahan HTTP konsumsi

Layanan penyerapan mengembalikan kesalahan tertentu, terlepas dari bahasa SDK. Lalu lintas jaringan dapat dikumpulkan dengan menggunakan alat seperti Fiddler. Anda harus memfilter lalu lintas ke titik akhir penyerapan yang diatur dalam string koneksi.

Autentikasi HTTP/1.1 400 tidak didukung

Kesalahan ini menunjukkan sumber daya diatur untuk Microsoft Entra-only. Anda perlu mengonfigurasi SDK dengan benar karena SDK dikirim ke API yang salah.

Catatan

"v2/track" tidak mendukung ID Microsoft Entra. Ketika SDK dikonfigurasi dengan benar, telemetri akan dikirim ke "v2.1/track".

Selanjutnya, Anda harus meninjau konfigurasi SDK.

Otorisasi HTTP/1.1 401 diperlukan

Kesalahan ini menunjukkan bahwa SDK dikonfigurasi dengan benar tetapi tidak dapat memperoleh token yang valid. Kesalahan ini mungkin menunjukkan masalah dengan ID Microsoft Entra.

Selanjutnya, Anda harus mengidentifikasi pengecualian dalam log SDK atau kesalahan jaringan dari Azure Identity.

HTTP/1.1 403 Tidak Sah

Kesalahan ini berarti SDK menggunakan kredensial tanpa izin untuk sumber daya atau langganan Application Insights.

Pertama, periksa kontrol akses sumber daya Application Insights. Anda harus mengonfigurasi SDK dengan kredensial yang memiliki peran Penerbit Metrik Pemantauan.

Pemecahan masalah khusus bahasa

.NET

Sumber peristiwa

Application Insights .NET SDK memancarkan log kesalahan dengan menggunakan sumber peristiwa. Untuk mempelajari selengkapnya tentang mengumpulkan log sumber peristiwa, lihat Pemecahan masalah tanpa data - mengumpulkan log dengan PerfView.

Jika SDK gagal mendapatkan token, pesan pengecualian dicatat sebagai Failed to get AAD Token. Error message:.

Node.js

Log internal dapat diaktifkan dengan menggunakan penyiapan berikut. Setelah diaktifkan, log kesalahan akan ditampilkan di konsol, termasuk kesalahan apa pun yang terkait dengan integrasi Microsoft Entra. Contohnya termasuk kegagalan untuk menghasilkan token ketika kredensial yang salah disediakan atau kesalahan ketika titik akhir penyerapan gagal diautentikasi dengan menggunakan kredensial yang disediakan.

let appInsights = require("applicationinsights");
appInsights.setup("InstrumentationKey=00000000-0000-0000-0000-000000000000;IngestionEndpoint=https://xxxx.applicationinsights.azure.com/").setInternalLogging(true, true);

Java

Lalu lintas HTTP

Anda dapat memeriksa lalu lintas jaringan dengan menggunakan alat seperti Fiddler. Untuk mengaktifkan lalu lintas ke terowongan melalui Fiddler, tambahkan pengaturan proksi berikut dalam file konfigurasi:

"proxy": {
"host": "localhost",
"port": 8888
}

Atau tambahkan args Java Virtual Machine (JVM) berikut saat menjalankan aplikasi Anda: -Djava.net.useSystemProxies=true -Dhttps.proxyHost=localhost -Dhttps.proxyPort=8888

Jika ID Microsoft Entra diaktifkan di agen, lalu lintas keluar menyertakan header AuthorizationHTTP .

401 Tidak Sah

Jika Anda melihat pesan, WARN c.m.a.TelemetryChannel - Failed to send telemetry with status code: 401, please check your credentials dalam log, itu berarti agen tidak dapat mengirim telemetri. Anda mungkin tidak mengaktifkan autentikasi Microsoft Entra pada agen, sementara sumber daya Application Insights Anda memiliki DisableLocalAuth: true. Pastikan Anda meneruskan kredensial yang valid dengan izin akses ke sumber daya Application Insights Anda.

Jika Anda menggunakan Fiddler, Anda mungkin melihat header HTTP/1.1 401 Unauthorized - please provide the valid authorization tokenrespons .

CredentialUnavailableException

Jika Anda melihat pengecualian, com.azure.identity.CredentialUnavailableException: ManagedIdentityCredential authentication unavailable. Connection to IMDS endpoint cannot be established dalam file log, itu berarti agen gagal memperoleh token akses. Kemungkinan penyebabnya adalah ID klien yang tidak valid dalam konfigurasi Identitas Terkelola yang Ditetapkan Pengguna Anda.

Gagal mengirim telemetri

Jika Anda melihat pesan, WARN c.m.a.TelemetryChannel - Failed to send telemetry with status code: 403, please check your credentials dalam log, itu berarti agen tidak dapat mengirim telemetri. Kemungkinan alasannya adalah kredensial yang digunakan tidak mengizinkan penyerapan telemetri.

Menggunakan Fiddler, Anda mungkin melihat respons HTTP/1.1 403 Forbidden - provided credentials do not grant the access to ingest the telemetry into the component.

Masalah ini bisa disebabkan oleh:

• Membuat sumber daya dengan identitas terkelola yang ditetapkan sistem atau mengaitkan identitas yang ditetapkan pengguna tanpa menambahkan peran Penerbit Metrik Pemantauan ke dalamnya.
• Menggunakan kredensial yang benar untuk token akses tetapi menautkannya ke sumber daya Application Insights yang salah. Pastikan sumber daya Anda (komputer virtual atau layanan aplikasi) atau identitas yang ditetapkan pengguna memiliki peran Penerbit Metrik Pemantauan di sumber daya Application Insights Anda.

ID Klien Tidak Valid

Jika pengecualian, com.microsoft.aad.msal4j.MsalServiceException: Application with identifier <CLIENT_ID> was not found in the directory dalam log, itu berarti agen gagal mendapatkan token akses. Pengecualian ini kemungkinan terjadi karena ID klien dalam konfigurasi rahasia klien Anda tidak valid atau salah.

Masalah ini terjadi jika administrator tidak menginstal aplikasi atau tidak ada persetujuan pengguna penyewa untuk itu. Ini juga terjadi jika Anda mengirim permintaan autentikasi ke penyewa yang salah.

Python

Kesalahan dimulai dengan "kesalahan info masuk" (tanpa kode status)

Ada sesuatu yang salah tentang kredensial yang Anda gunakan dan klien tidak dapat memperoleh token untuk otorisasi. Ini karena data yang diperlukan kurang untuk status. Contohnya adalah meneruskan sistem ManagedIdentityCredential tetapi sumber daya tidak dikonfigurasi untuk menggunakan identitas yang dikelola sistem.

Kesalahan dimulai dengan "kesalahan autentikasi" (tanpa kode status)

Klien gagal mengautentikasi dengan kredensial yang diberikan. Kesalahan ini biasanya terjadi ketika kredensial yang digunakan tidak memiliki penetapan peran yang benar.

Saya mendapatkan kode status 400 di log galat saya

Anda mungkin kehilangan kredensial atau kredensial Anda diatur ke None, tetapi sumber daya Application Insights Anda dikonfigurasi dengan DisableLocalAuth: true. Pastikan Anda melewati kredensial yang valid dan memiliki izin untuk mengakses sumber daya Application Insights Anda.

Saya mendapatkan kode status 403 di log galat saya

Kesalahan ini biasanya terjadi ketika kredensial yang disediakan tidak memberikan akses untuk menyerap telemetri untuk sumber daya Application Insights. Pastikan sumber daya Application Insights Anda memiliki penetapan peran yang benar.

Langkah berikutnya

• Memantau telemetri Anda di portal
• Mendiagnosis dengan Live Metrics Stream
• Mengkueri Application Insights menggunakan autentikasi Microsoft Entra