Configurer un RBAC Azure pour FHIR

  • Article

Dans cet article, vous allez apprendre à utiliser le contrôle d’accès en fonction du rôle Azure (Azure RBAC) pour attribuer l’accès au plan de données de l’API Azure pour FHIR. Un RBAC Azure est la méthode recommandée pour l’attribution de l’accès au plan de données lorsque les utilisateurs du plan de données sont gérés dans le locataire Azure Active Directory associé à votre abonnement Azure. Si vous utilisez un locataire Azure Active Directory externe, reportez-vous à la référence d’affectation RBAC locale.

Confirmer le mode RBAC Azure

Pour utiliser un RBAC Azure, votre API Azure pour FHIR doit être configurée pour utiliser votre locataire d’abonnement Azure pour le plan de données, et aucun ID d’objet d’identité ne doit être attribué. Vous pouvez vérifier vos paramètres en examinant le panneau Authentification de votre API Azure pour FHIR :

Confirmer le mode RBAC Azure

L’Autorité définie doit être le locataire Azure Active Directory associé à votre abonnement et aucun GUID ne doit figurer dans la zone ID d’objet autorisés. Vous remarquerez également que la zone est désactivée et qu’une étiquette indique qu’Azure RBAC doit être utilisé pour attribuer des rôles de plan de données.

Attribuer des rôles

Pour accorder aux utilisateurs, aux principaux de service ou aux groupes l’accès au plan de données FHIR, sélectionnez Contrôle d’accès (IAM), puis Attributions de rôles , puis + Ajouter :

Ajouter une attribution de rôle Azure

Dans la sélection Rôle, recherchez l’un des rôles intégrés pour le plan de données FHIR :

Rôles de données FHIR intégrés

Vous pouvez choisir entre les rôles suivants :

  • Lecteur de données FHIR : peut lire (et rechercher) des données FHIR.
  • Enregistreur de données FHIR : peut lire, écrire et supprimer de manière réversible des données FHIR.
  • Exportateur de données FHIR : peut lire et exporter des données (opérateur $export).
  • Contributeur aux données FHIR : peut effectuer toutes les opérations de plan de données.

Dans la zone Sélectionner, recherchez un utilisateur, un principal de service ou un groupe auquel vous souhaitez attribuer le rôle.

Notes

Assurez-vous que l’inscription de l’application cliente est terminée. Voir plus d’informations sur l’inscription de l’application Si le type d’octroi de code d’autorisation OAuth 2.0 est utilisé, accordez le même rôle d’application FHIR à l’utilisateur. Si le type d’octroi des informations d’identification du client OAuth 2.0 est utilisé, cette étape n’est pas obligatoire.

Comportement de mise en cache

L’API Azure pour FHIR met en cache les décisions pendant jusqu’à 5 minutes. Si vous accordez à un utilisateur l’accès au serveur FHIR en l’ajoutant à la liste des ID d’objet autorisés, ou le supprimez de la liste, jusqu’à cinq minutes peuvent être nécessaires pour que les modifications apportées aux autorisations soient propagées.

Étapes suivantes

Cet article vous a expliqué comment attribuer des rôles Azure pour le plan de données FHIR. Pour plus d’informations sur les paramètres de configuration de l’API Azure pour FHIR, consultez

Configurer le RBAC Azure

Configurer un contrôle RBAC local

Configuration des paramètres de la base de données

Configurer les clés gérées par le client

Configuration de CORS

Configurer une liaison privée

FHIR® est une marque déposée de HL7 utilisé avec l’autorisation de HL7.