Configurer plusieurs fournisseurs d’identité de service
En plus de Microsoft Entra ID, vous pouvez configurer jusqu’à deux fournisseurs d’identité supplémentaires pour un service FHIR, que le service existe déjà ou qu’il vienne d’être créé.
Conditions préalables aux fournisseurs d’identité
Les fournisseurs d’identité doivent prendre en charge OpenID Connect (OIDC) et doivent être en mesure d’émettre des jetons JWT (JSON Web Token) avec une revendication fhirUser, une revendication azp ou appid et une revendication scp avec les étendues SMART on FHIR v1.
Activer des fournisseurs d’identité supplémentaires avec Azure Resource Manager (ARM)
Ajoutez l’élément smartIdentityProviders au service FHIR authenticationConfiguration pour activer des fournisseurs d’identité supplémentaires. L’élément smartIdentityProviders est facultatif. Si vous l’oubliez, le service FHIR utilise Microsoft Entra ID pour authentifier les demandes.
| Element | Type | Description |
|---|---|---|
| smartIdentityProviders | tableau | Tableau contenant jusqu’à deux configurations de fournisseur d’identité. Cet élément est facultatif. |
| authority | string | Autorité du jeton du fournisseur d’identité. |
| applications | tableau | Tableau de configurations d’application de ressources de fournisseur d’identité. |
| clientId | string | ID (client) d’application de ressource de fournisseur d’identité. |
| public ciblé | string | Utilisé pour valider la réclamation aud du jeton d’accès. |
| allowedDataActions | tableau | Tableau d’autorisations que l’application de ressource de fournisseur d’identité est autorisée à utiliser. |
{
"properties": {
"authenticationConfiguration": {
"authority": "string",
"audience": "string",
"smartProxyEnabled": "bool",
"smartIdentityProviders": [
{
"authority": "string",
"applications": [
{
"clientId": "string",
"audience": "string",
"allowedDataActions": "array"
}
]
}
]
}
}
}
Configurer le tableau smartIdentityProviders
Si vous n’avez pas besoin de fournisseurs d’identité en plus de Microsoft Entra ID, définissez le tableau smartIdentityProviders sur nul ou enlevez-le de la demande d’approvisionnement. Sinon, ajoutez au moins un objet de configuration de fournisseur d’identité valide dans le tableau. Vous pouvez configurer jusqu’à deux fournisseurs d’identité supplémentaires.
Spécifier la chaîne authority
Vous devez spécifier la chaîne authority pour chaque fournisseur d’identité que vous configurez. La chaîne authority est l’autorité de jeton qui émet les jetons d’accès pour le fournisseur d’identité. Le service FHIR refuse les demandes avec un code d’erreur 401 Unauthorized si la chaîne authority n’est pas valide ou n’est pas correcte.
Avant d’effectuer une demande d’approvisionnement, validez la chaîne authority en vérifiant le point de terminaison de configuration openid-connect. Ajoutez /.well-known/openid-configuration à la fin de la chaîne authority et collez-la dans votre navigateur. Vous devriez voir la configuration attendue. Si ce n’est pas le cas, la chaîne a un problème.
Exemple :
https://yourIdentityProvider.com/authority/v2.0/.well-known/openid-configuration
Configurer le tableau applications
Vous devez inclure au minimum une configuration d’application et au maximum deux dans le tableau applications. Chaque configuration d’application a des valeurs qui valident les revendications de jeton d’accès et un tableau qui définit les autorisations de l’application pour accéder aux ressources FHIR.
Identifier l’application avec la chaîne clientId
Le fournisseur d’identité définit l’application avec un identificateur unique appelé chaîne clientId (ou ID d’application). Le service FHIR valide le jeton d’accès en vérifiant la revendication authorized party (azp) ou application id (appid) par rapport à la chaîne clientId. Le service FHIR refuse les demandes avec un code d’erreur 401 Unauthorized si la chaîne clientId et la revendication de jeton ne correspondent pas exactement.
Valider le jeton d’accès avec la chaîne audience
La revendication aud dans un jeton d’accès identifie le destinataire attendu du jeton. La chaîne audience est l’identificateur unique du destinataire. Le service FHIR valide le jeton d’accès en vérifiant la chaîne audience par rapport à la revendication aud. Le service FHIR refuse les demandes avec un code d’erreur 401 Unauthorized si la chaîne audience et la revendication aud ne correspondent pas exactement.
Spécifier les autorisations avec le tableau allowedDataActions
Incluez au moins une chaîne d’autorisation dans le tableau allowedDataActions. Vous pouvez inclure toutes les chaînes d’autorisation valides, mais évitez les doublons.
| Chaîne d’autorisation valide | Description |
|---|---|
| Lire | Autorise les demandes GET de ressource. |
Étapes suivantes
Utiliser Azure Active Directory B2C pour accorder l’accès au service FHIR
Résoudre les problèmes de configuration des fournisseurs d’identité
Remarque
FHIR® est une marque déposée de HL7 utilisé avec l’autorisation de HL7.