Registro de aplicaciones de Azure Active Directory para Azure API for FHIR

  • Artículo

Tiene varias opciones de configuración para elegir al configurar Azure API for FHIR o FHIR Server for Azure (OSS). Para código abierto, tendrá que crear su propio registro de aplicación de recursos. En el caso de Azure API for FHIR, esta aplicación de recursos se crea automáticamente.

Registros de aplicación

Para que una aplicación interactúe con Azure AD, es necesario registrarla. En el contexto de FHIR Server, hay dos tipos de registros de aplicaciones que se deben analizar:

  1. Registros de aplicaciones de recursos.
  2. Registros de aplicaciones cliente.

Las aplicaciones de recursos son representaciones en Azure AD de una API o recurso que está protegido con Azure AD; un ejemplo concreto sería Azure API for FHIR. Se creará automáticamente una aplicación de recursos para Azure API for FHIR al aprovisionar el servicio, pero si va a usar el servidor de código abierto, tendrá que registrar una aplicación de recursos en Azure AD. Esta aplicación de recursos tendrá un identificador URI. Se recomienda que este URI sea el mismo que el del servidor de FHIR. Este URI debe usarse como Audience para el servidor de FHIR. Una aplicación cliente puede solicitar acceso a este servidor de FHIR cuando solicita un token.

Las aplicaciones cliente son registros de los clientes que van a solicitar tokens. A menudo, en OAuth 2.0, se distinguen al menos tres tipos diferentes de aplicaciones:

  1. Clientes confidenciales, también conocidos como aplicaciones web en Azure AD. Los clientes confidenciales son aplicaciones que usan flujo de código de autorización para obtener un token en nombre de un usuario con la sesión iniciada mediante la presentación de credenciales válidas. Se denominan clientes confidenciales porque pueden contener un secreto y presentarán este secreto a Azure AD al intercambiar el código de autenticación de un token. Dado que los clientes confidenciales pueden autenticarse mediante el secreto de cliente, son de confianza más que los clientes públicos y pueden tener tokens de mayor duración y conceder un token de actualización. Lea los detalles sobre cómo registrar un cliente confidencial. Tenga en cuenta que es importante registrar la dirección URL de respuesta en la que el cliente recibirá el código de autorización.
  2. Clientes públicos. Estos son clientes que no pueden mantener un secreto. Normalmente se trata de una aplicación de dispositivo móvil o una aplicación de página única de JavaScript, donde un usuario podría detectar un secreto en el cliente. Los clientes públicos también usan el flujo de código de autorización, pero no se les permite presentar un secreto al obtener un token y pueden tener tokens de duración más corta y ningún token de actualización. Lea los detalles sobre cómo registrar un cliente público.
  3. Clientes de servicios. Estos clientes obtienen tokens en nombre de ellos mismos (no en nombre de un usuario) mediante el flujo de credenciales de cliente. Normalmente representan aplicaciones que acceden al servidor de FHIR de forma no interactiva. Un ejemplo podría ser un proceso de ingesta. Cuando se usa un cliente de servicio, no es necesario iniciar el proceso de obtención de un token con una llamada al /authorize punto de conexión. Un cliente de servicio puede ir directamente al punto de conexión de /token y presentar el identificador y el secreto de cliente para obtener un token. Lea los detalles sobre cómo registrar un cliente de servicio.

Pasos siguientes

En esta información general, ha visto los tipos de registros de aplicaciones que puede necesitar para trabajar con una API de FHIR.

En función de la configuración, consulte las guías paso a paso para registrar las aplicaciones:

Después de registrar las aplicaciones, puede implementar Azure API for FHIR.

Implementación de Azure API for FHIR

FHIR® es una marca registrada de HL7 y se usa con su permiso.