Configurare più provider di identità del servizio
Oltre a Microsoft Entra ID, è possibile configurare fino a due provider di identità aggiuntivi per un servizio FHIR®, indipendentemente dal fatto che il servizio esista già o sia stato appena creato.
Prerequisiti per i provider di identità
I provider di identità devono supportare OpenID Connect (OIDC) e devono essere in grado di emettere token JSON Web (JWT) con un'attestazione fhirUser, un'attestazione azp o appid e un'attestazione scp con ambiti SMART on FHIR v1.
Abilitare provider di identità aggiuntivi con Azure Resource Manager (ARM)
Aggiungere l'elemento smartIdentityProviders al servizio FHIR authenticationConfiguration per abilitare provider di identità aggiuntivi. L'elemento smartIdentityProviders è facoltativo. Se viene omesso, il servizio FHIR usa Microsoft Entra ID per autenticare le richieste.
| elemento | Type | Descrizione |
|---|---|---|
| smartIdentityProviders | array | Matrice contenente fino a due configurazioni del provider di identità. Questo elemento è facoltativo. |
| authority | string | Autorità del token del provider di identità. |
| applications | array | Matrice di configurazioni dell'applicazione della risorsa del provider di identità. |
| clientId | string | ID (client) dell'applicazione della risorsa del provider di identità. |
| audience | string | Usato per convalidare l'attestazione aud del token di accesso. |
| allowedDataActions | array | È consentita l'esecuzione di una matrice di autorizzazioni per l'applicazione della risorsa del provider di identità. |
{
"properties": {
"authenticationConfiguration": {
"authority": "string",
"audience": "string",
"smartProxyEnabled": "bool",
"smartIdentityProviders": [
{
"authority": "string",
"applications": [
{
"clientId": "string",
"audience": "string",
"allowedDataActions": "array"
}
]
}
]
}
}
}
Configurare la matrice di smartIdentityProviders
Se non sono necessari provider di identità oltre a Microsoft Entra ID, impostare la matrice di smartIdentityProviders su null od ometterla dalla richiesta di provisioning. In caso contrario, includere almeno un oggetto di configurazione del provider di identità valido nella matrice. È possibile configurare fino a due provider di identità aggiuntivi.
Specificare authority
È necessario specificare la stringa authority per ogni provider di identità configurato. La stringa authority è l'autorità di token che rilascia i token di accesso per il provider di identità. Il servizio FHIR rifiuta le richieste con un codice errore 401 Unauthorized se la stringa authority non è valida o non è corretta.
Prima di effettuare una richiesta di provisioning, convalidare la stringa authority controllando l'endpoint di configurazione openid-connect. Aggiungere /.well-known/openid-configuration alla fine della stringa authority e incollarla nel browser. Verrà visualizzata la configurazione prevista. In caso contrario, la stringa presenta un problema.
Esempio:
https://yourIdentityProvider.com/authority/v2.0/.well-known/openid-configuration
Configurare la matrice di applications
È necessario includere almeno una configurazione dell'applicazione e aggiungere fino a 25 applicazioni nella matrice applications. Ogni configurazione dell'applicazione ha valori che convalidano le attestazioni del token di accesso e una matrice che definisce le autorizzazioni per l'applicazione per accedere alle risorse FHIR.
Identificare l'applicazione con la stringa di clientId
Il provider di identità definisce l'applicazione con un identificatore univoco denominato stringa clientId (o ID applicazione). Il servizio FHIR convalida il token di accesso controllando l'attestazione authorized party (azp) o application id (appid) rispetto alla stringa clientId. Il servizio FHIR rifiuta le richieste con un codice di errore clientId se la stringa 401 Unauthorized e l'attestazione del token non corrispondono esattamente.
Convalidare il token di accesso con la stringa audience
L'attestazione aud in un token di accesso identifica il destinatario previsto del token. La stringa audience è l'identificatore univoco del destinatario. Il servizio FHIR convalida il token di accesso controllando la stringa audience rispetto all'attestazione aud. Il servizio FHIR rifiuta le richieste con un codice di errore audience se la stringa aud e l'attestazione 401 Unauthorized non corrispondono esattamente.
Specificare le autorizzazioni con la matrice allowedDataActions
Includere almeno una stringa di autorizzazione nella matrice allowedDataActions. È possibile includere qualsiasi stringa di autorizzazione valida. Evitare duplicati.
| Stringa di autorizzazione valida | Descrizione |
|---|---|
| Lettura | Consente richieste GET di risorse. |
Passaggi successivi
Usare Azure Active Directory B2C per concedere l'accesso al servizio FHIR
Risolvere i problemi di configurazione del provider di identità
Nota
FHIR® è un marchio registrato di HL7 ed è usato con l'autorizzazione di HL7.