Konfigurera flera tjänstidentitetsprovidrar
Förutom Microsoft Entra-ID kan du konfigurera upp till två ytterligare identitetsprovidrar för en FHIR-tjänst, oavsett om tjänsten redan finns eller har skapats nyligen.
Krav för identitetsprovidrar
Identitetsprovidrar måste ha stöd för OpenID Anslut (OIDC) och måste kunna utfärda JSON-webbtoken (JWT) med ett fhirUser
anspråk, ett azp
eller appid
ett anspråk och ett scp
anspråk med SMART på FHIR v1-omfång.
Aktivera ytterligare identitetsprovidrar med Azure Resource Manager (ARM)
Lägg till elementet smartIdentityProviders
i FHIR-tjänsten authenticationConfiguration
för att aktivera ytterligare identitetsprovidrar. Elementet smartIdentityProviders
är valfritt. Om du utelämnar det använder FHIR-tjänsten Microsoft Entra-ID för att autentisera begäranden.
Element | Typ | Beskrivning |
---|---|---|
smartIdentityProviders | matris | En matris som innehåller upp till två konfigurationer för identitetsprovidern. Det här elementet är valfritt. |
Myndigheten | sträng | Utfärdaren av identitetsproviderns token. |
Program | matris | En matris med konfigurationer av identitetsproviderns resursprogram. |
clientId | sträng | ID:t för identitetsproviderns resursprogram (klient). |
Publik | sträng | Används för att verifiera anspråket för åtkomsttoken aud . |
allowedDataActions | matris | En matris med behörigheter som identitetsproviderns resursprogram kan utföra. |
{
"properties": {
"authenticationConfiguration": {
"authority": "string",
"audience": "string",
"smartProxyEnabled": "bool",
"smartIdentityProviders": [
{
"authority": "string",
"applications": [
{
"clientId": "string",
"audience": "string",
"allowedDataActions": "array"
}
]
}
]
}
}
}
Konfigurera matrisen smartIdentityProviders
Om du inte behöver några identitetsprovidrar förutom Microsoft Entra-ID anger du matrisen smartIdentityProviders
till null eller utelämnar den från etableringsbegäran. I annat fall ska du inkludera minst ett giltigt konfigurationsobjekt för identitetsprovidern i matrisen. Du kan konfigurera upp till två ytterligare identitetsprovidrar.
Ange authority
Du måste ange strängen authority
för varje identitetsprovider som du konfigurerar. Strängen authority
är den tokenutfärdare som utfärdar åtkomsttoken för identitetsprovidern. FHIR-tjänsten avvisar begäranden med en 401 Unauthorized
felkod om strängen authority
är ogiltig eller felaktig.
Innan du gör en etableringsbegäran verifierar du strängen authority
genom att kontrollera konfigurationsslutpunkten openid-connect. Lägg till /.well-known/openid-configuration i slutet av strängen authority
och klistra in den i webbläsaren. Du bör se den förväntade konfigurationen. Om du inte gör det har strängen ett problem.
Exempel:
https://yourIdentityProvider.com/authority/v2.0/.well-known/openid-configuration
Konfigurera matrisen applications
Du måste inkludera minst en programkonfiguration och högst två i matrisen applications
. Varje programkonfiguration har värden som validerar anspråk på åtkomsttoken och en matris som definierar behörigheterna för programmet att komma åt FHIR-resurser.
Identifiera programmet med strängen clientId
Identitetsprovidern definierar programmet med en unik identifierare som kallas strängen clientId
(eller program-ID). FHIR-tjänsten verifierar åtkomsttoken genom att kontrollera authorized party
(azp) eller application id
(appid) anspråket mot strängen clientId
. FHIR-tjänsten avvisar begäranden med en 401 Unauthorized
felkod om strängen clientId
och tokenanspråket inte matchar exakt.
Verifiera åtkomsttoken med strängen audience
Anspråket aud
i en åtkomsttoken identifierar den avsedda mottagaren av token. Strängen audience
är mottagarens unika identifierare. FHIR-tjänsten verifierar åtkomsttoken genom att kontrollera strängen audience
mot anspråket aud
. FHIR-tjänsten avvisar begäranden med en 401 Unauthorized
felkod om strängen audience
och anspråket aud
inte matchar exakt.
Ange behörigheter med matrisen allowedDataActions
Inkludera minst en behörighetssträng i matrisen allowedDataActions
. Du kan inkludera giltiga behörighetssträngar, men undvika dubbletter.
Giltig behörighetssträng | Beskrivning |
---|---|
Lästa | Tillåter resursbegäranden GET . |
Nästa steg
Använda Azure Active Directory B2C för att bevilja åtkomst till FHIR-tjänsten
Felsöka konfiguration av identitetsprovider
Kommentar
FHIR® är ett registrerat varumärke som tillhör HL7 och används med tillstånd av HL7.