Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Oprócz identyfikatora Entra firmy Microsoft można skonfigurować maksymalnie dwóch dodatkowych dostawców tożsamości dla usługi FHIR®, niezależnie od tego, czy usługa już istnieje, czy jest nowo utworzona.
Wymagania wstępne dostawców tożsamości
Dostawcy tożsamości muszą obsługiwać protokół OpenID Connect (OIDC) i muszą mieć możliwość wystawiania tokenów sieci Web JSON (JWT) z oświadczeniem fhirUser , oświadczeniem azp lub appid i scp oświadczeniem z funkcją SMART w zakresie FHIR w wersji 1.
Włączanie dodatkowych dostawców tożsamości za pomocą usługi Azure Resource Manager (ARM)
smartIdentityProviders Dodaj element do usługi authenticationConfiguration FHIR, aby włączyć dodatkowych dostawców tożsamości. Element smartIdentityProviders jest opcjonalny. Jeśli go pominięto, usługa FHIR używa identyfikatora Microsoft Entra do uwierzytelniania żądań.
| Element | Type | Opis |
|---|---|---|
| smartIdentityProviders | tablica | Tablica zawierająca maksymalnie dwie konfiguracje dostawcy tożsamości. Ten element jest opcjonalny. |
| autorytet | string | Urząd tokenu dostawcy tożsamości. |
| Zastosowania | tablica | Tablica konfiguracji aplikacji zasobów dostawcy tożsamości. |
| clientId | string | Identyfikator aplikacji zasobów dostawcy tożsamości (klienta). |
| audiencja | string | Służy do sprawdzania poprawności oświadczenia tokenu aud dostępu. |
| allowedDataActions | tablica | Tablica uprawnień, które może wykonywać aplikacja zasobów dostawcy tożsamości. |
{
"properties": {
"authenticationConfiguration": {
"authority": "string",
"audience": "string",
"smartProxyEnabled": "bool",
"smartIdentityProviders": [
{
"authority": "string",
"applications": [
{
"clientId": "string",
"audience": "string",
"allowedDataActions": "array"
}
]
}
]
}
}
}
Konfigurowanie tablicy smartIdentityProviders
Jeśli nie potrzebujesz żadnych dostawców tożsamości obok identyfikatora Microsoft Entra ID, ustaw tablicę smartIdentityProviders na wartość null lub pomiń ją z żądania aprowizacji. W przeciwnym razie dołącz co najmniej jeden prawidłowy obiekt konfiguracji dostawcy tożsamości w tablicy. Można skonfigurować maksymalnie dwóch dodatkowych dostawców tożsamości.
Określ authority
Należy określić ciąg dla każdego skonfigurowanego authority dostawcy tożsamości. Ciąg authority to urząd tokenu, który wystawia tokeny dostępu dla dostawcy tożsamości. Usługa FHIR odrzuca żądania z 401 Unauthorized kodem błędu, jeśli authority ciąg jest nieprawidłowy lub nieprawidłowy.
Przed utworzeniem żądania aprowizacji zweryfikuj authority ciąg, sprawdzając punkt końcowy konfiguracji openid-connect. Dołącz ciąg /.well-known/openid-configuration na końcu authority ciągu i wklej go w przeglądarce. Powinna zostać wyświetlona oczekiwana konfiguracja. Jeśli tego nie zrobisz, ciąg ma problem.
Przykład:
https://yourIdentityProvider.com/authority/v2.0/.well-known/openid-configuration
Konfigurowanie tablicy applications
Musisz dołączyć co najmniej jedną konfigurację aplikacji i dodać do 25 aplikacji w tablicy applications . Każda konfiguracja aplikacji ma wartości, które weryfikują oświadczenia tokenu dostępu, oraz tablicę definiującą uprawnienia aplikacji do uzyskiwania dostępu do zasobów FHIR.
Identyfikowanie aplikacji za pomocą clientId ciągu
Dostawca tożsamości definiuje aplikację z unikatowym identyfikatorem nazywanym clientId ciągiem (lub identyfikatorem aplikacji). Usługa FHIR weryfikuje token dostępu, sprawdzając authorized party oświadczenie (azp) lub application id (appid) względem clientId ciągu. clientId Jeśli ciąg i oświadczenie tokenu nie są dokładnie zgodne, usługa FHIR odrzuca żądanie z 401 Unauthorized kodem błędu.
Weryfikowanie tokenu dostępu za pomocą audience ciągu
Oświadczenie aud w tokenie dostępu identyfikuje zamierzonego adresata tokenu. Ciąg audience jest unikatowym identyfikatorem odbiorcy. Usługa FHIR weryfikuje token dostępu, sprawdzając audience ciąg względem aud oświadczenia. audience Jeśli ciąg i aud oświadczenie nie są dokładnie zgodne, usługa FHIR odrzuca żądania z 401 Unauthorized kodem błędu.
Określanie uprawnień z tablicą allowedDataActions
Uwzględnij co najmniej jeden ciąg uprawnień w tablicy allowedDataActions . Możesz uwzględnić dowolne prawidłowe ciągi uprawnień. Unikaj duplikatów.
| Prawidłowy ciąg uprawnień | Opis |
|---|---|
| Przeczytaj | Zezwala na żądania zasobów GET . |
Następne kroki
Udzielanie dostępu do usługi FHIR przy użyciu usługi Azure Active Directory B2C
Rozwiązywanie problemów z konfiguracją dostawcy tożsamości
Uwaga
FHIR® jest zastrzeżonym znakiem towarowym HL7 i jest używany z uprawnieniem HL7.