Konfigurowanie wielu dostawców tożsamości usług
Oprócz identyfikatora Entra firmy Microsoft można skonfigurować maksymalnie dwóch dodatkowych dostawców tożsamości dla usługi FHIR, niezależnie od tego, czy usługa już istnieje, czy jest nowo utworzona.
Wymagania wstępne dostawców tożsamości
Dostawcy tożsamości muszą obsługiwać Połączenie OpenID (OIDC) i muszą mieć możliwość wystawiania tokenów sieci Web JSON (JWT) z oświadczeniemfhirUser
, oświadczeniem azp
lub appid
i scp
oświadczeniem z funkcją SMART w zakresie FHIR w wersji 1.
Włączanie dodatkowych dostawców tożsamości za pomocą usługi Azure Resource Manager (ARM)
smartIdentityProviders
Dodaj element do usługi authenticationConfiguration
FHIR, aby włączyć dodatkowych dostawców tożsamości. Element smartIdentityProviders
jest opcjonalny. Jeśli go pominięto, usługa FHIR używa identyfikatora Microsoft Entra do uwierzytelniania żądań.
Element | Type | Opis |
---|---|---|
smartIdentityProviders | tablica | Tablica zawierająca maksymalnie dwie konfiguracje dostawcy tożsamości. Ten element jest opcjonalny. |
Organ | string | Urząd tokenu dostawcy tożsamości. |
Zastosowania | tablica | Tablica konfiguracji aplikacji zasobów dostawcy tożsamości. |
Clientid | string | Identyfikator aplikacji zasobów dostawcy tożsamości (klienta). |
Publiczności | string | Służy do sprawdzania poprawności oświadczenia tokenu aud dostępu. |
allowedDataActions | tablica | Tablica uprawnień, które może wykonywać aplikacja zasobów dostawcy tożsamości. |
{
"properties": {
"authenticationConfiguration": {
"authority": "string",
"audience": "string",
"smartProxyEnabled": "bool",
"smartIdentityProviders": [
{
"authority": "string",
"applications": [
{
"clientId": "string",
"audience": "string",
"allowedDataActions": "array"
}
]
}
]
}
}
}
Konfigurowanie tablicy smartIdentityProviders
Jeśli nie potrzebujesz żadnych dostawców tożsamości oprócz identyfikatora Firmy Microsoft Entra, ustaw tablicę smartIdentityProviders
na wartość null lub pomiń ją z żądania aprowizacji. W przeciwnym razie dołącz co najmniej jeden prawidłowy obiekt konfiguracji dostawcy tożsamości w tablicy. Można skonfigurować maksymalnie dwóch dodatkowych dostawców tożsamości.
Określ authority
Należy określić ciąg dla każdego skonfigurowanego authority
dostawcy tożsamości. Ciąg authority
to urząd tokenu, który wystawia tokeny dostępu dla dostawcy tożsamości. Usługa FHIR odrzuca żądania z 401 Unauthorized
kodem błędu, jeśli authority
ciąg jest nieprawidłowy lub nieprawidłowy.
Przed utworzeniem żądania aprowizacji zweryfikuj authority
ciąg, sprawdzając punkt końcowy konfiguracji openid-connect. Dołącz ciąg /.well-known/openid-configuration na końcu authority
ciągu i wklej go w przeglądarce. Powinna zostać wyświetlona oczekiwana konfiguracja. Jeśli tego nie zrobisz, ciąg ma problem.
Przykład:
https://yourIdentityProvider.com/authority/v2.0/.well-known/openid-configuration
Konfigurowanie tablicy applications
Musisz uwzględnić co najmniej jedną konfigurację aplikacji i co najwyżej dwie w tablicy applications
. Każda konfiguracja aplikacji ma wartości, które weryfikują oświadczenia tokenu dostępu i tablicę definiującą uprawnienia aplikacji do uzyskiwania dostępu do zasobów FHIR.
Identyfikowanie aplikacji za pomocą clientId
ciągu
Dostawca tożsamości definiuje aplikację z unikatowym identyfikatorem nazywanym clientId
ciągiem (lub identyfikatorem aplikacji). Usługa FHIR weryfikuje token dostępu, sprawdzając authorized party
oświadczenie (azp) lub application id
(appid) względem clientId
ciągu. Usługa FHIR odrzuca żądania z 401 Unauthorized
kodem błędu, jeśli clientId
ciąg i oświadczenie tokenu nie są dokładnie zgodne.
Weryfikowanie tokenu dostępu za pomocą audience
ciągu
Oświadczenie aud
w tokenie dostępu identyfikuje zamierzonego adresata tokenu. Ciąg audience
jest unikatowym identyfikatorem odbiorcy. Usługa FHIR weryfikuje token dostępu, sprawdzając audience
ciąg względem aud
oświadczenia. Usługa FHIR odrzuca żądania z 401 Unauthorized
kodem błędu, jeśli audience
ciąg i aud
oświadczenie nie są dokładnie zgodne.
Określanie uprawnień z tablicą allowedDataActions
Uwzględnij co najmniej jeden ciąg uprawnień w tablicy allowedDataActions
. Można uwzględnić dowolne prawidłowe ciągi uprawnień, ale uniknąć duplikatów.
Prawidłowy ciąg uprawnień | Opis |
---|---|
Przeczytaj | Zezwala na żądania zasobów GET . |
Następne kroki
Udzielanie dostępu do usługi FHIR przy użyciu usługi Azure Active Directory B2C
Rozwiązywanie problemów z konfiguracją dostawcy tożsamości
Uwaga
FHIR® jest zastrzeżonym znakiem towarowym HL7 i jest używany z uprawnieniem HL7.