設定本機 RBAC for FHIR

  • 發行項

本文說明如何設定 Azure API for FHIR,以使用次要 Azure Active Directory (Azure AD) 租使用者進行資料存取。 只有在您無法使用與您訂用帳戶相關聯的 Azure AD 租使用者時,才使用此模式。

注意

如果您的 FHIR 服務設定為使用與訂用帳戶相關聯的主要 Azure AD 租使用者, 請使用 Azure RBAC 來指派資料平面角色

新增服務主體或使用現有的服務主體

本機 RBAC 可讓您在次要 Azure AD 租使用者中搭配 FHIR 伺服器使用服務主體。 您可以透過Azure 入口網站、PowerShell 或 CLI 命令建立新的服務主體,或使用現有的服務主體。 此程式也稱為 應用程式註冊。 您可以從入口網站或使用腳本,透過 Azure AD 檢閱和修改服務主體。

下列 PowerShell 和 CLI 腳本會在Visual Studio Code中進行測試和驗證、建立新的服務主體 (或用戶端應用程式) ,以及新增用戶端密碼。 服務主體識別碼用於本機 RBAC,而應用程式識別碼和用戶端密碼稍後將用來存取 FHIR 服務。

您可以使用 Az PowerShell 模組:

$appname="xxx"
$sp= New-AzADServicePrincipal -DisplayName $appname
$clientappid=sp.ApplicationId
$spid=$sp.Id
#Get client secret which is not visible from the portal
$clientsecret=ConvertFrom-SecureString -SecureString $sp.Secret -AsPlainText

或者,您可以使用 Azure CLI:

appname=xxx
clientappid=$(az ad app create --display-name $appname --query appId --output tsv)
spid=$(az ad sp create --id $appid --query objectId --output tsv)
#Add client secret with expiration. The default is one year.
clientsecretname=mycert2
clientsecretduration=2
clientsecret=$(az ad app credential reset --id $appid --append --credential-description $clientsecretname --years $clientsecretduration --query password --output tsv)

設定本機 RBAC

您可以在 [ 驗證 ] 刀鋒視窗中,將 Azure API for FHIR 設定為使用次要 Azure Active Directory 租使用者:

本機 RBAC 指派

在 [授權單位] 方塊中,輸入有效的次要 Azure Active Directory 租使用者。 驗證租使用者之後,應該啟動 [ 允許的物件 識別碼] 方塊,而且您可以輸入一或一份 Azure AD 服務主體物件識別碼清單。 這些識別碼可以是下列的身分識別物件識別碼:

  • Azure Active Directory 使用者。
  • Azure Active Directory 服務主體。
  • Azure Active Directory 安全性群組。

如需詳細資訊,請參閱如何 尋找身分識別物件 識別碼的文章。

輸入必要的 Azure AD 物件識別碼之後,請選取 [ 儲存 ] 並等候變更儲存,再嘗試使用指派的使用者、服務主體或群組來存取資料平面。 物件識別碼會授與擁有權限,相當於 「FHIR 資料參與者」 角色。

本機 RBAC 設定只能在驗證刀鋒視窗中顯示;它不會顯示在 [存取控制 (IAM) ] 刀鋒視窗中。

注意

RBAC 或本機 RBAC 僅支援單一租使用者。 若要停用本機 RBAC 函式,您可以將它變更回與訂用帳戶相關聯的有效租使用者 (或主要租使用者) ,然後在 [允許的物件識別碼] 方塊中移除所有 Azure AD 物件識別碼。

快取行為

Azure API for FHIR 最多會快取 5 分鐘的決策。 如果您將 FHIR 伺服器的存取權新增至允許的物件識別碼清單,或從清單中移除它們,您應該預期最多需要五分鐘的時間才能傳播許可權變更。

下一步

在本文中,您已瞭解如何使用外部 (次要) Azure Active Directory 租使用者指派 FHIR 資料平面存取權。 接下來,深入瞭解 Azure API for FHIR 的其他設定:

設定 CORS

設定 Private Link

FHIR® 是 HL7 的注冊商標,可與 HL7 的許可權搭配使用。