Konfigurera flera tjänstidentitetsprovidrar

  • Artikel

Förutom Microsoft Entra-ID kan du konfigurera upp till två ytterligare identitetsprovidrar för en FHIR-tjänst, oavsett om tjänsten redan finns eller har skapats nyligen.

Krav för identitetsprovidrar

Identitetsprovidrar måste ha stöd för OpenID Anslut (OIDC) och måste kunna utfärda JSON-webbtoken (JWT) med ett fhirUser anspråk, ett azp eller appid ett anspråk och ett scp anspråk med SMART på FHIR v1-omfång.

Aktivera ytterligare identitetsprovidrar med Azure Resource Manager (ARM)

Lägg till elementet smartIdentityProviders i FHIR-tjänsten authenticationConfiguration för att aktivera ytterligare identitetsprovidrar. Elementet smartIdentityProviders är valfritt. Om du utelämnar det använder FHIR-tjänsten Microsoft Entra-ID för att autentisera begäranden.

Element Typ Beskrivning
smartIdentityProviders matris En matris som innehåller upp till två konfigurationer för identitetsprovidern. Det här elementet är valfritt.
Myndigheten sträng Utfärdaren av identitetsproviderns token.
Program matris En matris med konfigurationer av identitetsproviderns resursprogram.
clientId sträng ID:t för identitetsproviderns resursprogram (klient).
Publik sträng Används för att verifiera anspråket för åtkomsttoken aud .
allowedDataActions matris En matris med behörigheter som identitetsproviderns resursprogram kan utföra. 
{
  "properties": {
    "authenticationConfiguration": {
      "authority": "string",
      "audience": "string",
      "smartProxyEnabled": "bool",
      "smartIdentityProviders": [
        {
          "authority": "string",
          "applications": [
            {
              "clientId": "string",
              "audience": "string",
              "allowedDataActions": "array"
            }
          ]
        }
      ]
    }
  }
}

Konfigurera matrisen smartIdentityProviders

Om du inte behöver några identitetsprovidrar förutom Microsoft Entra-ID anger du matrisen smartIdentityProviders till null eller utelämnar den från etableringsbegäran. I annat fall ska du inkludera minst ett giltigt konfigurationsobjekt för identitetsprovidern i matrisen. Du kan konfigurera upp till två ytterligare identitetsprovidrar.

Ange authority

Du måste ange strängen authority för varje identitetsprovider som du konfigurerar. Strängen authority är den tokenutfärdare som utfärdar åtkomsttoken för identitetsprovidern. FHIR-tjänsten avvisar begäranden med en 401 Unauthorized felkod om strängen authority är ogiltig eller felaktig.

Innan du gör en etableringsbegäran verifierar du strängen authority genom att kontrollera konfigurationsslutpunkten openid-connect. Lägg till /.well-known/openid-configuration i slutet av strängen authority och klistra in den i webbläsaren. Du bör se den förväntade konfigurationen. Om du inte gör det har strängen ett problem.

Exempel:

https://yourIdentityProvider.com/authority/v2.0/.well-known/openid-configuration

Konfigurera matrisen applications

Du måste inkludera minst en programkonfiguration och högst två i matrisen applications . Varje programkonfiguration har värden som validerar anspråk på åtkomsttoken och en matris som definierar behörigheterna för programmet att komma åt FHIR-resurser.

Identifiera programmet med strängen clientId

Identitetsprovidern definierar programmet med en unik identifierare som kallas strängen clientId (eller program-ID). FHIR-tjänsten verifierar åtkomsttoken genom att kontrollera authorized party (azp) eller application id (appid) anspråket mot strängen clientId . FHIR-tjänsten avvisar begäranden med en 401 Unauthorized felkod om strängen clientId och tokenanspråket inte matchar exakt.

Verifiera åtkomsttoken med strängen audience

Anspråket aud i en åtkomsttoken identifierar den avsedda mottagaren av token. Strängen audience är mottagarens unika identifierare. FHIR-tjänsten verifierar åtkomsttoken genom att kontrollera strängen audience mot anspråket aud . FHIR-tjänsten avvisar begäranden med en 401 Unauthorized felkod om strängen audience och anspråket aud inte matchar exakt.

Ange behörigheter med matrisen allowedDataActions

Inkludera minst en behörighetssträng i matrisen allowedDataActions . Du kan inkludera giltiga behörighetssträngar, men undvika dubbletter.

Giltig behörighetssträng Beskrivning
Lästa Tillåter resursbegäranden GET .

Nästa steg

Använda Azure Active Directory B2C för att bevilja åtkomst till FHIR-tjänsten

Felsöka konfiguration av identitetsprovider

Kommentar

FHIR® är ett registrerat varumärke som tillhör HL7 och används med tillstånd av HL7.