你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
为 FHIR 配置 Azure RBAC
本文介绍如何使用 Azure 基于角色的访问控制 (Azure RBAC) 分配对 Azure API for FHIR 数据平面的访问权限。 如果数据平面用户是在与你的 Azure 订阅关联的 Azure Active Directory 租户中进行管理的,那么首选使用 Azure RBAC 来分配数据平面访问权限。 如果使用外部 Azure Active Directory 租户,请参阅 本地 RBAC 分配参考。
确认 Azure RBAC 模式
为使用 Azure RBAC,必须将 Azure API for FHIR 的数据平面配置为使用 Azure 订阅租户,并且不应有指定的标识对象 ID。 可以通过检查 Azure API for FHIR 的“身份验证”边栏选项卡来验证设置:
“颁发机构”应设置为与订阅相关联的 Azure Active Directory 租户,并且标记有“允许的对象 ID”的框中不应有 GUID。 你还会注意到,该框已禁用,标签指示应使用 Azure RBAC 分配数据平面角色。
分配角色
若要授予用户、服务主体或组对 FHIR 数据平面的访问权限,请选择“ 访问控制 (IAM) ”,然后选择“ 角色分配 ”,然后选择“ + 添加”:
在“角色”选择中,搜索 FHIR 数据平面的内置角色之一:
你可以选择:
- FHIR 数据读者:可以读取(和搜索)FHIR 数据。
- FHIR 数据写入者:可以读取、写入和软删除 FHIR 数据。
- FHIR 数据导出者:可以读取和导出(
$export运算符)数据。 - FHIR 数据参与者:可以执行所有数据平面操作。
在“选择”框中,搜索要为其分配角色的用户、服务主体或组。
注意
请确保客户端应用程序注册已完成。 有关详细信息,请参阅应用程序注册。如果使用 OAuth 2.0 授权代码授予类型,请向用户授予相同的 FHIR 应用程序角色。 如果使用 OAuth 2.0 客户端凭据授予类型,则不需要此步骤。
缓存行为
Azure API for FHIR 将决策最多缓存 5 分钟。 如果将用户添加到允许的对象 ID 列表,从而授予用户对 FHIR 服务器的访问权限,或者将用户从列表中删除,则预计需要 5 分钟的时间来传播权限的变化。
后续步骤
本文介绍了如何为 FHIR 数据平面分配 Azure 角色。 有关 Azure API for FHIR 配置设置的信息,请参阅
FHIR® 是 HL7 的注册商标,经 HL7 许可使用。