Compartir vía

Configuración de varios proveedores de identidades de servicio

  • Artículo

Además de Microsoft Entra ID, puede configurar hasta dos proveedores de identidades adicionales para un servicio FHIR®, tanto si el servicio ya existe como si se acaba de crear.

Requisitos previos de los proveedores de identidades

Los proveedores de identidades deben admitir OpenID Connect (OIDC) y deben poder emitir tokens web JSON (JWT) con una notificación fhirUser, una notificación azp o appid y una notificación scp con SMART en ámbitos de FHIR v1.

Habilitación de proveedores de identidades adicionales con Azure Resource Manager (ARM)

Agregue el elemento smartIdentityProviders al servicio FHIR authenticationConfiguration para habilitar proveedores de identidades adicionales. El elemento smartIdentityProviders es opcional. Si lo omite, el servicio FHIR usará Microsoft Entra ID para autenticar las solicitudes.

Element Tipo Descripción
smartIdentityProviders array Matriz que contiene hasta dos configuraciones de proveedor de identidades. Este elemento es opcional.
authority string Entidad de token del proveedor de identidades.
el centro de datos array Matriz de configuraciones de aplicación de recursos del proveedor de identidades.
clientId string Id. de la aplicación de recursos (cliente) del proveedor de identidades.
audience string Se usa para validar la notificación aud del token de acceso.
allowedDataActions array Matriz de permisos que la aplicación de recursos del proveedor de identidades está autorizada a realizar. 
{
  "properties": {
    "authenticationConfiguration": {
      "authority": "string",
      "audience": "string",
      "smartProxyEnabled": "bool",
      "smartIdentityProviders": [
        {
          "authority": "string",
          "applications": [
            {
              "clientId": "string",
              "audience": "string",
              "allowedDataActions": "array"
            }
          ]
        }
      ]
    }
  }
}

Configuración de la matriz smartIdentityProviders

Si no necesita ningún proveedor de identidades junto a Microsoft Entra ID, establezca la matriz de smartIdentityProviders en null o omita de la solicitud de aprovisionamiento. De lo contrario, incluya al menos un objeto de configuración de proveedor de identidades válido en la matriz. Puede configurar hasta dos proveedores de identidades adicionales.

Especificación de authority

Debe especificar la cadena authority para cada proveedor de identidades que configure. La cadena authority es la entidad de token que emite los tokens de acceso para el proveedor de identidades. El servicio FHIR rechaza las solicitudes con código de error 401 Unauthorized si la cadena authority no es válida o es incorrecta.

Antes de realizar una solicitud de aprovisionamiento, valide la cadena authority comprobando el punto de conexión de configuración de openid-connect. Anexe /.well-known/openid-configuration al final de la cadena authority y péguela en el explorador. Debería ver la configuración esperada. Si no es así, hay un problema con la cadena.

Ejemplo:

https://yourIdentityProvider.com/authority/v2.0/.well-known/openid-configuration

Configuración de la matriz applications

Debe incluir al menos una configuración de aplicación y puede agregar hasta 25 aplicaciones en la matriz applications. Cada configuración de aplicación tiene valores que validan las notificaciones del token de acceso y una matriz que define los permisos para que la aplicación acceda a los recursos de FHIR.

Identificación de la aplicación con la cadena clientId

El proveedor de identidades define la aplicación con un identificador único denominado cadena clientId (o id. de aplicación). El servicio FHIR valida el token de acceso comprobando la notificación authorized party (azp) o application id (appId) con la cadena clientId. Si la cadena clientId y la notificación de token no coinciden exactamente, el servicio FHIR rechaza la solicitud con un código de error 401 Unauthorized.

Validación del token de acceso con la cadena audience

La notificación aud de un token de acceso identifica al destinatario previsto del token. La cadena audience es el identificador único del destinatario. El servicio FHIR valida el token de acceso comprobando la cadena audience con la notificación aud. Si la cadena audience y la notificación aud no coinciden exactamente, el servicio FHIR rechaza las solicitudes con un código de error 401 Unauthorized.

Especificación de los permisos con la matriz allowedDataActions

Incluya al menos una cadena de permiso en la matriz allowedDataActions. Puede incluir cualquier cadena de permiso válida. Evite duplicados.

Cadena de permiso válida Descripción
Leer Permite solicitudes GET de recursos.

Pasos siguientes

Uso de Azure Active Directory B2C para conceder acceso al servicio FHIR

Solución de problemas de configuración del proveedor de identidades

Nota:

FHIR® es una marca registrada de HL7 y se usa con su permiso.