Konfigurowanie lokalnej kontroli dostępu opartej na rolach dla standardu FHIR
W tym artykule wyjaśniono, jak skonfigurować interfejs API platformy Azure for FHIR do korzystania z dodatkowej dzierżawy usługi Azure Active Directory (Azure AD) na potrzeby dostępu do danych. Użyj tego trybu tylko wtedy, gdy nie jest możliwe użycie dzierżawy Azure AD skojarzonej z subskrypcją.
Uwaga
Jeśli usługa FHIR jest skonfigurowana do używania podstawowej dzierżawy Azure AD skojarzonej z subskrypcją, użyj kontroli dostępu opartej na rolach platformy Azure, aby przypisać role płaszczyzny danych.
Dodawanie nowej jednostki usługi lub używanie istniejącej jednostki usługi
Lokalna kontrola dostępu oparta na rolach umożliwia używanie jednostki usługi w pomocniczej dzierżawie Azure AD z serwerem FHIR. Nową jednostkę usługi można utworzyć za pomocą poleceń Azure Portal, programu PowerShell lub interfejsu wiersza polecenia albo użyć istniejącej jednostki usługi. Proces jest również nazywany rejestracją aplikacji. Jednostki usługi można przeglądać i modyfikować za pomocą Azure AD z portalu lub przy użyciu skryptów.
Poniższe skrypty programu PowerShell i interfejsu wiersza polecenia, które są testowane i weryfikowane w Visual Studio Code, utwórz nową jednostkę usługi (lub aplikację kliencką) i dodaj klucz tajny klienta. Identyfikator jednostki usługi jest używany dla lokalnej kontroli dostępu opartej na rolach, a identyfikator aplikacji i klucz tajny klienta będą używane do uzyskiwania dostępu do usługi FHIR później.
Możesz użyć modułu Az programu PowerShell:
$appname="xxx"
$sp= New-AzADServicePrincipal -DisplayName $appname
$clientappid=sp.ApplicationId
$spid=$sp.Id
#Get client secret which is not visible from the portal
$clientsecret=ConvertFrom-SecureString -SecureString $sp.Secret -AsPlainText
lub możesz użyć interfejsu wiersza polecenia platformy Azure:
appname=xxx
clientappid=$(az ad app create --display-name $appname --query appId --output tsv)
spid=$(az ad sp create --id $appid --query objectId --output tsv)
#Add client secret with expiration. The default is one year.
clientsecretname=mycert2
clientsecretduration=2
clientsecret=$(az ad app credential reset --id $appid --append --credential-description $clientsecretname --years $clientsecretduration --query password --output tsv)
Konfigurowanie lokalnej kontroli dostępu na podstawie ról (RBAC)
Interfejs API platformy Azure for FHIR można skonfigurować tak, aby korzystał z dodatkowej dzierżawy usługi Azure Active Directory w bloku Uwierzytelnianie :
W polu urząd wprowadź prawidłową pomocniczą dzierżawę usługi Azure Active Directory. Po zweryfikowaniu dzierżawy należy aktywować pole Dozwolone identyfikatory obiektów i można wprowadzić jedną lub listę identyfikatorów obiektów jednostki usługi Azure AD. Te identyfikatory mogą być identyfikatorami obiektów tożsamości:
- Użytkownik usługi Azure Active Directory.
- Jednostka usługi Azure Active Directory.
- Grupa zabezpieczeń usługi Azure Active Directory.
Aby uzyskać więcej informacji, przeczytaj artykuł na temat znajdowania identyfikatorów obiektów tożsamości .
Po wprowadzeniu wymaganych identyfikatorów obiektów Azure AD wybierz pozycję Zapisz i poczekaj na zapisanie zmian przed próbą uzyskania dostępu do płaszczyzny danych przy użyciu przypisanych użytkowników, jednostek usługi lub grup. Identyfikatory obiektów są przyznawane ze wszystkimi uprawnieniami, równoważnej roli "Współautor danych FHIR".
Lokalne ustawienie RBAC jest widoczne tylko w bloku uwierzytelniania; nie jest ona widoczna w bloku Access Control (IAM).
Uwaga
Tylko jedna dzierżawa jest obsługiwana w przypadku kontroli dostępu opartej na rolach lub lokalnej kontroli dostępu opartej na rolach. Aby wyłączyć lokalną funkcję RBAC, możesz zmienić ją z powrotem na prawidłową dzierżawę (lub dzierżawę podstawową) skojarzona z subskrypcją i usunąć wszystkie identyfikatory obiektów Azure AD w polu "Dozwolone identyfikatory obiektów".
Zachowanie buforowania
Decyzje dotyczące pamięci podręcznej interfejsu API platformy Azure for FHIR będą buforowane przez maksymalnie 5 minut. W przypadku udzielenia użytkownikowi dostępu do serwera FHIR przez dodanie ich do listy dozwolonych identyfikatorów obiektów lub usunięcie ich z listy powinno potrwać do pięciu minut, aby zmiany uprawnień do propagacji.
Następne kroki
W tym artykule przedstawiono sposób przypisywania dostępu do płaszczyzny danych FHIR przy użyciu zewnętrznej (pomocniczej) dzierżawy usługi Azure Active Directory. Następnie dowiedz się więcej o dodatkowych ustawieniach interfejsu API platformy Azure dla platformy FHIR:
FHIR® jest zastrzeżonym znakiem towarowym HL7 i jest używany z uprawnieniem HL7 .