共用方式為

設定本機 RBAC for FHIR

  • 發行項

重要

Azure API for FHIR 將於 2026 年 9 月 30 日淘汰。 請依照移轉策略,在該日期前轉換至 Azure 健康資料服務 FHIR® 服務。 由於 Azure API for FHIR 已淘汰,因此從 2025 年 4 月 1 日開始,將不允許新的部署。 Azure 健康資料服務 FHIR 服務是 Azure API for FHIR 的進化版本,可讓客戶透過與其他 Azure 服務整合來管理 FHIR、DICOM 和醫療技術服務。

本文說明如何將 Azure API for FHIR® 設定為使用次要Microsoft Entra 租用戶進行數據存取。 只有在您無法使用與您訂用帳戶相關聯的 Microsoft Entra 租使用者時,才使用此模式。

注意

如果您的 FHIR 服務設定為使用與訂用帳戶相關聯的主要Microsoft Entra 租使用者, 請使用 Azure RBAC 來指派數據平面角色

新增服務主體或使用現有的服務主體

本機角色型訪問控制 (RBAC) 可讓您搭配 FHIR 伺服器,在次要Microsoft Entra 租使用者中使用服務主體。 您可以透過 Azure 入口網站、PowerShell 或 CLI 命令建立新的服務主體,或使用現有的服務主體。 此程式也稱為 應用程式註冊。 您可以從入口網站或使用腳本,透過Microsoft Entra ID 來檢閱和修改服務主體。

在 Visual Studio Code 中測試和驗證的下列 PowerShell 和 CLI 腳本會建立新的服務主體(或用戶端應用程式),並新增客戶端密碼。 服務主體標識碼用於本機 RBAC,而應用程式識別碼和客戶端密碼則用來稍後存取 FHIR 服務。

您可以使用 Az PowerShell 模組:

$appname="xxx"
$sp= New-AzADServicePrincipal -DisplayName $appname
$clientappid=sp.ApplicationId
$spid=$sp.Id
#Get client secret which is not visible from the portal
$clientsecret=ConvertFrom-SecureString -SecureString $sp.Secret -AsPlainText

或者,您可以使用 Azure CLI:

appname=xxx
clientappid=$(az ad app create --display-name $appname --query appId --output tsv)
spid=$(az ad sp create --id $appid --query objectId --output tsv)
#Add client secret with expiration. The default is one year.
clientsecretname=mycert2
clientsecretduration=2
clientsecret=$(az ad app credential reset --id $appid --append --credential-description $clientsecretname --years $clientsecretduration --query password --output tsv)

設定本機 RBAC

您可以在 [驗證] 刀鋒視窗中,將 Azure API for FHIR 設定為使用次要Microsoft Entra 租使用者

本機 RBAC 指派

在授權單位方塊中,輸入有效的次要Microsoft Entra 租使用者。 驗證租用戶之後,應該啟動 [允許的對象標識符] 方塊,而且您可以輸入一或一份Microsoft Entra 服務主體對象標識符的清單。 這些識別碼可以是下列的身分識別物件識別碼:

  • Microsoft Entra 使用者。
  • Microsoft Entra 服務主體。
  • Microsoft Entra 安全組。

如需詳細資訊, 您可以閱讀有關如何尋找身分識別物件標識碼 的文章。

輸入必要的Microsoft Entra 物件標識符之後,請選取 [ 儲存 ] 並等候儲存變更,再嘗試使用指派的使用者、服務主體或群組存取數據平面。 對象標識符會授與所有許可權,相當於 “FHIR 數據參與者” 角色。

本機 RBAC 設定只能在驗證刀鋒視窗中顯示;無法從 [存取控制 (IAM) 刀鋒視窗看到它。

注意

RBAC 或本機 RBAC 僅支援單一租使用者。 若要停用本機 RBAC 函式,您可以將它變更回與您的訂用帳戶相關聯的有效租使用者(或主要租使用者),並在 [允許的對象標識碼] 方塊中移除所有Microsoft Entra 物件標識符。

快取行為

Azure API for FHIR 快取決策最多 5 分鐘。 如果您將 FHIR 伺服器新增至允許的物件識別符清單,或將他們從清單中移除,則應該需要最多五分鐘的時間,才能傳播許可權的變更。

下一步

在本文中,您已瞭解如何使用外部(次要)Microsoft Entra 租使用者指派 FHIR 數據平面存取權。 接下來,瞭解 Azure API for FHIR 的其他設定。

設定 CORS

設定 Private Link

注意

FHIR® 是 HL7 的註冊商標,在 HL7 的許可下使用。