Konfigurieren mehrerer Dienstidentitätsanbieter
Zusätzlich zu Microsoft Entra ID können Sie bis zu zwei weitere Identitätsanbieter für einen FHIR-Dienst konfigurieren, unabhängig davon, ob der Dienst bereits existiert oder neu erstellt wird.
Voraussetzungen für Identitätsanbieter
Identitätsanbieter müssen OpenID Connect (OIDC) unterstützen und in der Lage sein, JSON Web Tokens (JWT) mit einem fhirUser-Anspruch, einem azp- oder appid- Anspruch und einem scp-Anspruch mit SMART auf FHIR v1 Scopes ausstellen können.
Aktivieren zusätzlicher Identitätsanbieter mit Azure Resource Manager (ARM)
Fügen Sie das -Element smartIdentityProviders zum FHIR-Dienst authenticationConfiguration hinzu, um zusätzliche Identitätsanbieter zu aktivieren. Das smartIdentityProviders-Element ist optional. Wenn Sie dies nicht tun, verwendet der FHIR-Dienst Microsoft Entra ID zum Authentifizieren von Anforderungen.
| Element | Typ | Beschreibung |
|---|---|---|
| smartIdentityProviders | array | Ein Array mit bis zu zwei Identitätsanbieterkonfigurationen. Dieses Element ist optional. |
| authority | Zeichenfolge | Die Autorität des Tokens eines Identitätsanbieters. |
| applications | array | Ein Array von Anwendungskonfigurationen für Identitätsanbieter-Ressourcen. |
| clientId | Zeichenfolge | Die ID der Identitätsanbieter-Ressourcenanwendung (Client). |
| audience | Zeichenfolge | Wird verwendet, um den aud-Anspruch des Zugriffstoken zu überprüfen. |
| allowedDataActions | array | Ein Array von Berechtigungen, die die Ressourcenanwendung des Identitätsanbieters ausführen darf. |
{
"properties": {
"authenticationConfiguration": {
"authority": "string",
"audience": "string",
"smartProxyEnabled": "bool",
"smartIdentityProviders": [
{
"authority": "string",
"applications": [
{
"clientId": "string",
"audience": "string",
"allowedDataActions": "array"
}
]
}
]
}
}
}
Konfigurieren des smartIdentityProviders-Arrays
Wenn Sie keine Identitätsanbieter außer Microsoft Entra ID benötigen, legen Sie das smartIdentityProviders-Array auf NULL fest, oder lassen Sie es aus der Bereitstellungsanforderung weg. Andernfalls nehmen Sie mindestens ein gültiges Identitätsanbieter-Konfigurationsobjekt in das Array auf. Sie können bis zu zwei zusätzliche Identitätsanbieter konfigurieren.
Angeben der authority
Sie müssen die authority-Zeichenfolge für jeden Identitätsanbieter angeben, den Sie konfigurieren. Die authority-Zeichenfolge ist die Token-Autorität, die die Zugriffstoken für den Identitätsanbieter ausstellt. Der FHIR-Dienst lehnt Anforderungen mit einem 401 Unauthorized-Fehlercode ab, wenn die authority-Zeichenfolge ungültig oder falsch ist.
Bevor Sie eine Bereitstellungsanforderung stellen, validieren Sie die authority-Zeichenfolge, indem Sie den Openid-Connect Konfigurationsendpunkt überprüfen. Fügen Sie /.well-known/openid-configuration an das Ende der authority-Zeichenfolge an und fügen Sie sie in Ihren Browser ein. Die erwartete Konfiguration sollte angezeigt werden. Wenn dies nicht der Fall ist, gibt es ein Problem mit der Zeichenfolge.
Beispiel:
https://yourIdentityProvider.com/authority/v2.0/.well-known/openid-configuration
Konfigurieren des applications-Arrays
Sie müssen mindestens eine aber maximal zwei Anwendungskonfigurationen in das applications-Array aufnehmen. Jede Anwendungskonfiguration verfügt über Werte, die Zugriffstokenansprüche validieren, und ein Array, das die Berechtigungen für die Anwendung zum Zugriff auf FHIR-Ressourcen definiert.
Identifizieren der Anwendung mit der clientId-Zeichenfolge
Der Identitätsanbieter definiert die Anwendung mit einem eindeutigen Bezeichner, der clientId-Zeichenfolge (oder Anwendungs-ID). Der FHIR-Dienst validiert das Zugriffstoken, indem er den authorized party- (azp) oder application id-Anspruch (appid) mit der clientId-Zeichenfolge vergleicht. Der FHIR-Dienst lehnt Anforderungen mit einem 401 Unauthorized-Fehlercode ab, wenn die clientId-Zeichenfolge und der Token-Anspruch nicht genau übereinstimmen.
Überprüfen des Zugriffstokens mit der audience-Zeichenfolge
Der aud-Anspruch in einem Zugriffstoken identifiziert den vorgesehenen Empfänger des Tokens. Die audience-Zeichenfolge ist der eindeutige Bezeichner für den Empfänger. Der FHIR-Dienst validiert das Zugriffstoken, indem er die audience-Zeichenfolge mit dem aud-Anspruch vergleicht. Der FHIR-Dienst lehnt Anforderungen mit einem 401 Unauthorized-Fehlercode ab, wenn die audience-Zeichenfolge und der aud-Anspruch nicht genau übereinstimmen.
Angeben der Berechtigungen mit dem allowedDataActions Array
Fügen Sie mindestens eine Berechtigungszeichenfolge in das allowedDataActions-Array ein. Sie können beliebige gültige Berechtigungszeichenfolgen einschließen, aber vermeiden Sie Duplikate.
| Gültige Berechtigungszeichenfolge | Beschreibung |
|---|---|
| Lesen | Erlaubt GET-Ressourcenanforderungen. |
Nächste Schritte
Verwenden von Azure Active Directory B2C zum Gewähren des Zugriffs auf den FHIR-Dienst
Problembehandlung der Identitätsanbieterkonfiguration
Hinweis
FHIR® ist eine eingetragene Marke von HL7 und wird mit Genehmigung von HL7 verwendet.