FHIR 用に Azure RBAC を構成する
この記事では、 Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、Azure API for FHIR データ プレーンへのアクセスを割り当てる方法について説明します。 データ プレーンのユーザーが Azure サブスクリプションに関連付けられている Azure Active Directory テナントで管理されている場合は、Azure RBAC を使用してデータ プレーンのアクセス権を割り当てることをお勧めします。 外部の Azure Active Directory テナントを使用している場合は、 ローカル RBAC 割り当てリファレンスを参照してください。
Azure RBAC モードの確認
Azure RBAC を使用するには、データ プレーンに Azure サブスクリプション テナントを使用するように Azure API for FHIR を構成し、ID オブジェクト ID が割り当てられていないようにする必要があります。 設定は、Azure API for FHIR の [認証] ブレードを調べることで確認できます。
[機関] は、お使いのサブスクリプションに関連付けられている Azure Active directory テナントに設定する必要があります。また、 [許可されたオブジェクト ID] ボックスには GUID が含まれないようにする必要があります。 また、このボックスが無効になっていることにも気付き、ラベルは Azure RBAC を使用してデータ プレーン ロールを割り当てる必要があることを示しています。
ロールを割り当てる
ユーザー、サービス プリンシパル、またはグループに FHIR データ プレーンへのアクセス権を付与するには、[ アクセス制御 (IAM)] を選択し、[ ロールの割り当て ] を選択し、[ + 追加] を選択します。
[ロール] の選択で、FHIR データ プレーンの組み込みのロールのいずれかを検索します。
次のいずれかを選択できます。
- FHIR データ リーダー: FHIR データを読み取り (および検索) できます。
- FHIR データ ライター: FHIR データの読み取り、書き込み、および論理的な削除を行うことができます。
- FHIR データ エクスポーター: データの読み取りとエクスポート (
$export演算子) を行うことができます。 - FHIR データ共同作成者: すべてのデータ プレーン操作を実行できます。
[選択] ボックスで、ロールを割り当てるユーザー、サービス プリンシパル、またはグループを検索します。
注意
クライアント アプリケーションの登録が完了していることを確認してください。 アプリケーション登録に関する詳細を参照してください。OAuth 2.0 認可コードの付与タイプを使用する場合は、同じ FHIR アプリケーション ロールをユーザーに付与してください。 OAuth 2.0 クライアント資格情報の付与タイプを使用する場合、この手順は必要ありません。
キャッシュ動作
Azure API for FHIR では、決定事項が最大 5 分間キャッシュされます。 許可されたオブジェクト ID の一覧にユーザーを追加することによって FHIR サーバーへのアクセス権を付与する場合、または一覧から削除する場合は、アクセス許可の変更が反映されるまで最大 5 分かかることが予想されます。
次のステップ
この記事では、FHIR データ プレーンに Azure ロールを割り当てる方法について説明しました。 Azure API for FHIR の構成設定の詳細については、次を参照してください。
FHIR® は HL7 の登録商標であり、HL7 の許可を得て使用しています。