Helyi RBAC konfigurálása az FHIR-hez
Ez a cikk azt ismerteti, hogyan konfigurálhatja az Azure API for FHIR-t másodlagos Azure Active Directory-bérlő (Azure AD) adathozzáféréshez való használatára. Ezt a módot csak akkor használja, ha nem tudja használni az előfizetéséhez társított Azure AD bérlőt.
Megjegyzés
Ha az FHIR szolgáltatás úgy van konfigurálva, hogy az előfizetéséhez társított elsődleges Azure AD bérlőt használja, az Azure RBAC használatával rendeljen hozzá adatsík-szerepköröket.
Új szolgáltatásnév hozzáadása vagy meglévő használata
A helyi RBAC lehetővé teszi egy szolgáltatásnév használatát a másodlagos Azure AD bérlőben az FHIR-kiszolgálóval. Létrehozhat egy új szolgáltatásnevet a Azure Portal, a PowerShell vagy a parancssori felület parancsaival, vagy használhat egy meglévő szolgáltatásnevet. A folyamatot alkalmazásregisztrációnak is nevezik. A szolgáltatásneveket a portálon Azure AD vagy szkriptek használatával tekintheti át és módosíthatja.
Az alábbi PowerShell- és CLI-szkriptek, amelyeket a Visual Studio Code tesztel és ellenőriz, létrehoz egy új szolgáltatásnevet (vagy ügyfélalkalmazást), és hozzáad egy titkos ügyfélkódot. A szolgáltatásnév-azonosító a helyi RBAC-hez használatos, az alkalmazásazonosító és az ügyfélkód pedig később lesz használható az FHIR szolgáltatás eléréséhez.
A PowerShell-modult Az használhatja:
$appname="xxx"
$sp= New-AzADServicePrincipal -DisplayName $appname
$clientappid=sp.ApplicationId
$spid=$sp.Id
#Get client secret which is not visible from the portal
$clientsecret=ConvertFrom-SecureString -SecureString $sp.Secret -AsPlainText
vagy használhatja az Azure CLI-t:
appname=xxx
clientappid=$(az ad app create --display-name $appname --query appId --output tsv)
spid=$(az ad sp create --id $appid --query objectId --output tsv)
#Add client secret with expiration. The default is one year.
clientsecretname=mycert2
clientsecretduration=2
clientsecret=$(az ad app credential reset --id $appid --append --credential-description $clientsecretname --years $clientsecretduration --query password --output tsv)
A helyi RBAC konfigurálása
A Hitelesítés panelen konfigurálhatja az Azure API for FHIR-t másodlagos Azure Active Directory-bérlő használatára:
A szolgáltató mezőben adjon meg egy érvényes másodlagos Azure Active Directory-bérlőt. A bérlő ellenőrzése után aktiválni kell az Engedélyezett objektumazonosítók mezőt, és megadhatja Azure AD szolgáltatásnév objektumazonosítóinak egyikét vagy listáját. Ezek az azonosítók a következők identitásobjektum-azonosítói lehetnek:
- Egy Azure Active Directory-felhasználó.
- Egy Azure Active Directory-szolgáltatásnév.
- Egy Azure Active Directory biztonsági csoport.
További részletekért olvassa el az identitásobjektum-azonosítók kereséséről szóló cikket.
A szükséges Azure AD objektumazonosítók megadása után válassza a Mentés lehetőséget, és várja meg a módosítások mentését, mielőtt megpróbálna hozzáférni az adatsíkhoz a hozzárendelt felhasználók, szolgáltatásnevek vagy csoportok használatával. Az objektumazonosítók minden engedéllyel rendelkeznek, amely az "FHIR-adat-közreműködő" szerepkörnek felel meg.
A helyi RBAC-beállítás csak a hitelesítési panelen látható; nem látható a Access Control (IAM) panelen.
Megjegyzés
Az RBAC vagy a helyi RBAC csak egyetlen bérlőt támogat. A helyi RBAC-függvény letiltásához visszaállíthatja azt az előfizetéséhez társított érvényes bérlőre (vagy elsődleges bérlőre), és eltávolíthatja az összes Azure AD objektumazonosítót az "Engedélyezett objektumazonosítók" mezőben.
Gyorsítótárazási viselkedés
Az Azure API for FHIR legfeljebb 5 percig gyorsítótárazza a döntéseket. Ha hozzáférést ad egy felhasználónak az FHIR-kiszolgálóhoz úgy, hogy hozzáadja őket az engedélyezett objektumazonosítók listájához, vagy eltávolítja őket a listából, az engedélymódosítások propagálása akár öt percet is igénybe vehet.
Következő lépések
Ebből a cikkből megtudhatta, hogyan rendelhet FHIR adatsík-hozzáférést külső (másodlagos) Azure Active Directory-bérlővel. További információk az Azure API for FHIR további beállításairól:
Az FHIR® a HL7 bejegyzett védjegye, és a HL7 engedélyével használják.