Configuración de varios proveedores de identidades de servicio
Además de Microsoft Entra ID, puede configurar hasta dos proveedores de identidades adicionales para un servicio FHIR, tanto si el servicio ya existe como si se acaba de crear.
Requisitos previos de los proveedores de identidades
Los proveedores de identidades deben admitir OpenID Connect (OIDC) y deben poder emitir tokens web JSON (JWT) con una notificación fhirUser, una notificación azp o appid y una notificación scp con SMART en ámbitos de FHIR v1.
Habilitación de proveedores de identidades adicionales con Azure Resource Manager (ARM)
Agregue el elemento smartIdentityProviders al servicio FHIR authenticationConfiguration para habilitar proveedores de identidades adicionales. El elemento smartIdentityProviders es opcional. Si lo omite, el servicio FHIR usará Microsoft Entra ID para autenticar las solicitudes.
| Element | Tipo | Descripción |
|---|---|---|
| smartIdentityProviders | array | Matriz que contiene hasta dos configuraciones de proveedor de identidades. Este elemento es opcional. |
| authority | string | Entidad de token del proveedor de identidades. |
| el centro de datos | array | Matriz de configuraciones de aplicación de recursos del proveedor de identidades. |
| clientId | string | Id. de la aplicación de recursos (cliente) del proveedor de identidades. |
| audience | string | Se usa para validar la notificación aud del token de acceso. |
| allowedDataActions | array | Matriz de permisos que la aplicación de recursos del proveedor de identidades está autorizada a realizar. |
{
"properties": {
"authenticationConfiguration": {
"authority": "string",
"audience": "string",
"smartProxyEnabled": "bool",
"smartIdentityProviders": [
{
"authority": "string",
"applications": [
{
"clientId": "string",
"audience": "string",
"allowedDataActions": "array"
}
]
}
]
}
}
}
Configuración de la matriz smartIdentityProviders
Si no necesita ningún proveedor de identidades además de Microsoft Entra ID, establezca la matriz de smartIdentityProviders en null u omítala en la solicitud de aprovisionamiento. De lo contrario, incluya al menos un objeto de configuración de proveedor de identidades válido en la matriz. Puede configurar hasta dos proveedores de identidades adicionales.
Especificación de authority
Debe especificar la cadena authority para cada proveedor de identidades que configure. La cadena authority es la entidad de token que emite los tokens de acceso para el proveedor de identidades. El servicio FHIR rechaza las solicitudes con código de error 401 Unauthorized si la cadena authority no es válida o es incorrecta.
Antes de realizar una solicitud de aprovisionamiento, valide la cadena authority comprobando el punto de conexión de configuración de openid-connect. Anexe /.well-known/openid-configuration al final de la cadena authority y péguela en el explorador. Debería ver la configuración esperada. Si no es así, hay un problema con la cadena.
Ejemplo:
https://yourIdentityProvider.com/authority/v2.0/.well-known/openid-configuration
Configuración de la matriz applications
Debe incluir al menos una configuración de aplicación (dos como máximo) en la matriz applications. Cada configuración de aplicación tiene valores que validan las notificaciones de token de acceso y una matriz que define los permisos para que la aplicación acceda a los recursos de FHIR.
Identificación de la aplicación con la cadena clientId
El proveedor de identidades define la aplicación con un identificador único denominado cadena clientId (o id. de aplicación). El servicio FHIR valida el token de acceso comprobando la notificación authorized party (azp) o application id (appId) con la cadena clientId. El servicio FHIR rechaza las solicitudes con código de error 401 Unauthorized si la cadena clientId y la notificación de token no coinciden exactamente.
Validación del token de acceso con la cadena audience
La notificación aud de un token de acceso identifica al destinatario previsto del token. La cadena audience es el identificador único del destinatario. El servicio FHIR valida el token de acceso comprobando la cadena audience con la notificación aud. El servicio FHIR rechaza las solicitudes con código de error 401 Unauthorized si la cadena audience y la notificación aud no coinciden exactamente.
Especificación de los permisos con la matriz allowedDataActions
Incluya al menos una cadena de permiso en la matriz allowedDataActions. Puede incluir cualquier cadena de permiso válida, pero deberá evitar los duplicados.
| Cadena de permiso válida | Descripción |
|---|---|
| Leer | Permite solicitudes GET de recursos. |
Pasos siguientes
Uso de Azure Active Directory B2C para conceder acceso al servicio FHIR
Solución de problemas de configuración del proveedor de identidades
Nota:
FHIR® es una marca registrada de HL7 y se usa con su permiso.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de