Konfigurowanie wielu dostawców tożsamości usług

  • Artykuł

Oprócz identyfikatora Entra firmy Microsoft można skonfigurować maksymalnie dwóch dodatkowych dostawców tożsamości dla usługi FHIR, niezależnie od tego, czy usługa już istnieje, czy jest nowo utworzona.

Wymagania wstępne dostawców tożsamości

Dostawcy tożsamości muszą obsługiwać Połączenie OpenID (OIDC) i muszą mieć możliwość wystawiania tokenów sieci Web JSON (JWT) z oświadczeniemfhirUser, oświadczeniem azp lub appid i scp oświadczeniem z funkcją SMART w zakresie FHIR w wersji 1.

Włączanie dodatkowych dostawców tożsamości za pomocą usługi Azure Resource Manager (ARM)

smartIdentityProviders Dodaj element do usługi authenticationConfiguration FHIR, aby włączyć dodatkowych dostawców tożsamości. Element smartIdentityProviders jest opcjonalny. Jeśli go pominięto, usługa FHIR używa identyfikatora Microsoft Entra do uwierzytelniania żądań.

Element Type Opis
smartIdentityProviders tablica Tablica zawierająca maksymalnie dwie konfiguracje dostawcy tożsamości. Ten element jest opcjonalny.
Organ string Urząd tokenu dostawcy tożsamości.
Zastosowania tablica Tablica konfiguracji aplikacji zasobów dostawcy tożsamości.
Clientid string Identyfikator aplikacji zasobów dostawcy tożsamości (klienta).
Publiczności string Służy do sprawdzania poprawności oświadczenia tokenu aud dostępu.
allowedDataActions tablica Tablica uprawnień, które może wykonywać aplikacja zasobów dostawcy tożsamości. 
{
  "properties": {
    "authenticationConfiguration": {
      "authority": "string",
      "audience": "string",
      "smartProxyEnabled": "bool",
      "smartIdentityProviders": [
        {
          "authority": "string",
          "applications": [
            {
              "clientId": "string",
              "audience": "string",
              "allowedDataActions": "array"
            }
          ]
        }
      ]
    }
  }
}

Konfigurowanie tablicy smartIdentityProviders

Jeśli nie potrzebujesz żadnych dostawców tożsamości oprócz identyfikatora Firmy Microsoft Entra, ustaw tablicę smartIdentityProviders na wartość null lub pomiń ją z żądania aprowizacji. W przeciwnym razie dołącz co najmniej jeden prawidłowy obiekt konfiguracji dostawcy tożsamości w tablicy. Można skonfigurować maksymalnie dwóch dodatkowych dostawców tożsamości.

Określ authority

Należy określić ciąg dla każdego skonfigurowanego authority dostawcy tożsamości. Ciąg authority to urząd tokenu, który wystawia tokeny dostępu dla dostawcy tożsamości. Usługa FHIR odrzuca żądania z 401 Unauthorized kodem błędu, jeśli authority ciąg jest nieprawidłowy lub nieprawidłowy.

Przed utworzeniem żądania aprowizacji zweryfikuj authority ciąg, sprawdzając punkt końcowy konfiguracji openid-connect. Dołącz ciąg /.well-known/openid-configuration na końcu authority ciągu i wklej go w przeglądarce. Powinna zostać wyświetlona oczekiwana konfiguracja. Jeśli tego nie zrobisz, ciąg ma problem.

Przykład:

https://yourIdentityProvider.com/authority/v2.0/.well-known/openid-configuration

Konfigurowanie tablicy applications

Musisz uwzględnić co najmniej jedną konfigurację aplikacji i co najwyżej dwie w tablicy applications . Każda konfiguracja aplikacji ma wartości, które weryfikują oświadczenia tokenu dostępu i tablicę definiującą uprawnienia aplikacji do uzyskiwania dostępu do zasobów FHIR.

Identyfikowanie aplikacji za pomocą clientId ciągu

Dostawca tożsamości definiuje aplikację z unikatowym identyfikatorem nazywanym clientId ciągiem (lub identyfikatorem aplikacji). Usługa FHIR weryfikuje token dostępu, sprawdzając authorized party oświadczenie (azp) lub application id (appid) względem clientId ciągu. Usługa FHIR odrzuca żądania z 401 Unauthorized kodem błędu, jeśli clientId ciąg i oświadczenie tokenu nie są dokładnie zgodne.

Weryfikowanie tokenu dostępu za pomocą audience ciągu

Oświadczenie aud w tokenie dostępu identyfikuje zamierzonego adresata tokenu. Ciąg audience jest unikatowym identyfikatorem odbiorcy. Usługa FHIR weryfikuje token dostępu, sprawdzając audience ciąg względem aud oświadczenia. Usługa FHIR odrzuca żądania z 401 Unauthorized kodem błędu, jeśli audience ciąg i aud oświadczenie nie są dokładnie zgodne.

Określanie uprawnień z tablicą allowedDataActions

Uwzględnij co najmniej jeden ciąg uprawnień w tablicy allowedDataActions . Można uwzględnić dowolne prawidłowe ciągi uprawnień, ale uniknąć duplikatów.

Prawidłowy ciąg uprawnień Opis
Przeczytaj Zezwala na żądania zasobów GET .

Następne kroki

Udzielanie dostępu do usługi FHIR przy użyciu usługi Azure Active Directory B2C

Rozwiązywanie problemów z konfiguracją dostawcy tożsamości

Uwaga

FHIR® jest zastrzeżonym znakiem towarowym HL7 i jest używany z uprawnieniem HL7.