Mengonfigurasi beberapa penyedia identitas layanan
Selain ID Microsoft Entra, Anda dapat mengonfigurasi hingga dua idP tambahan untuk layanan FHIR®, baik layanan sudah ada atau baru dibuat.
Prasyarat Penyedia Identitas
Penyedia identitas harus mendukung OpenID Connect (OIDC), dan harus dapat menerbitkan JSON Web Tokens (JWT) dengan fhirUser klaim, azp atau appid klaim, dan scp klaim dengan SMART pada Cakupan FHIR v1.
Mengaktifkan penyedia identitas tambahan dengan Azure Resource Manager (ARM)
smartIdentityProviders Tambahkan elemen ke layanan authenticationConfiguration FHIR untuk mengaktifkan penyedia identitas tambahan. Elemen smartIdentityProviders adalah opsional. Jika Anda menghilangkannya, layanan FHIR menggunakan ID Microsoft Entra untuk mengautentikasi permintaan.
| Elemen | Jenis | Keterangan |
|---|---|---|
| smartIdentityProviders | array | Array yang berisi hingga dua konfigurasi penyedia identitas. Elemen ini bersifat opsional. |
| wewenang | string | Otoritas token idP. |
| aplikasi | array | Array konfigurasi aplikasi sumber daya penyedia identitas. |
| clientId | string | ID aplikasi sumber daya penyedia identitas (klien). |
| audiens | string | Digunakan untuk memvalidasi klaim token aud akses. |
| allowedDataActions | array | Array izin yang diizinkan untuk dilakukan oleh aplikasi sumber daya penyedia identitas. |
{
"properties": {
"authenticationConfiguration": {
"authority": "string",
"audience": "string",
"smartProxyEnabled": "bool",
"smartIdentityProviders": [
{
"authority": "string",
"applications": [
{
"clientId": "string",
"audience": "string",
"allowedDataActions": "array"
}
]
}
]
}
}
}
smartIdentityProviders Mengonfigurasi array
Jika Anda tidak memerlukan penyedia identitas apa pun di samping ID Microsoft Entra, atur smartIdentityProviders array ke null, atau hilangkan dari permintaan provisi. Jika tidak, sertakan setidaknya satu objek konfigurasi penyedia identitas yang valid dalam array. Anda dapat mengonfigurasi hingga dua idP tambahan.
Tentukan authority
Anda harus menentukan authority string untuk setiap penyedia identitas yang Anda konfigurasi. String authority adalah otoritas token yang mengeluarkan token akses untuk penyedia identitas. Layanan FHIR menolak permintaan dengan 401 Unauthorized kode kesalahan jika authority string tidak valid atau salah.
Sebelum Anda membuat permintaan provisi, validasi authority string dengan memeriksa titik akhir konfigurasi openid-connect. Tambahkan /.well-known/openid-configuration ke akhir authority string dan tempelkan di browser Anda. Anda akan melihat konfigurasi yang diharapkan. Jika tidak, string bermasalah.
Contoh:
https://yourIdentityProvider.com/authority/v2.0/.well-known/openid-configuration
applications Mengonfigurasi array
Anda harus menyertakan setidaknya satu konfigurasi aplikasi dan dapat menambahkan hingga 25 aplikasi dalam applications array. Setiap konfigurasi aplikasi memiliki nilai yang memvalidasi klaim token akses, dan array yang menentukan izin bagi aplikasi untuk mengakses sumber daya FHIR.
Mengidentifikasi aplikasi dengan clientId string
IdP menentukan aplikasi dengan pengidentifikasi unik yang disebut clientId string (atau ID aplikasi). Layanan FHIR memvalidasi token akses dengan memeriksa authorized party klaim (azp) atau application id (appid) terhadap clientId string. clientId Jika string dan klaim token tidak sama persis, layanan FHIR menolak permintaan dengan 401 Unauthorized kode kesalahan.
Memvalidasi token akses dengan audience string
Klaim aud dalam token akses mengidentifikasi penerima token yang dimaksudkan. String audience adalah pengidentifikasi unik untuk penerima. Layanan FHIR memvalidasi token akses dengan memeriksa audience string terhadap aud klaim. audience Jika string dan aud klaim tidak cocok persis, layanan FHIR menolak permintaan dengan 401 Unauthorized kode kesalahan.
Tentukan izin dengan allowedDataActions array
Sertakan setidaknya satu string izin dalam allowedDataActions array. Anda dapat menyertakan string izin yang valid. Hindari duplikat.
| String izin yang valid | Keterangan |
|---|---|
| Read | Mengizinkan permintaan sumber daya GET . |
Langkah berikutnya
Menggunakan Azure Active Directory B2C untuk memberikan akses ke layanan FHIR