Konfigurace místního řízení přístupu na základě role pro FHIR
Důležité
Rozhraní Azure API for FHIR bude vyřazeno 30. září 2026. Postupujte podle strategií migrace a do tohoto data přejděte na službu FHIR® služby Azure Health Data Services. Vzhledem k vyřazení rozhraní Azure API for FHIR nebudou nová nasazení od 1. dubna 2025 povolena. Služba FHIR služby Azure Health Data Services je vyvinutá verze rozhraní Azure API for FHIR, která zákazníkům umožňuje spravovat služby FHIR, DICOM a MedTech s integrací do jiných služeb Azure.
Tento článek vysvětluje, jak nakonfigurovat rozhraní Azure API for FHIR® tak, aby pro přístup k datům používalo sekundárního tenanta Microsoft Entra. Tento režim použijte jenom v případě, že není možné použít tenanta Microsoft Entra přidruženého k vašemu předplatnému.
Poznámka:
Pokud je vaše služba FHIR nakonfigurovaná tak, aby používala vašeho primárního tenanta Microsoft Entra přidruženého k vašemu předplatnému, přiřaďte role roviny dat pomocí Azure RBAC.
Přidání nového instančního objektu nebo použití existujícího instančního objektu
Místní řízení přístupu na základě role (RBAC) umožňuje použít instanční objekt v sekundárním tenantovi Microsoft Entra se serverem FHIR. Nový instanční objekt můžete vytvořit prostřednictvím příkazů Azure Portal, PowerShellu nebo rozhraní příkazového řádku nebo použít existující instanční objekt. Tento proces se také označuje jako registrace aplikace. Instanční objekty můžete zkontrolovat a upravit prostřednictvím ID Microsoft Entra z portálu nebo pomocí skriptů.
Následující skripty PowerShellu a rozhraní příkazového řádku, které se testují a ověřují v editoru Visual Studio Code, vytvoří nový instanční objekt (nebo klientskou aplikaci) a přidá tajný klíč klienta. ID instančního objektu se používá pro místní RBAC a ID aplikace a tajný klíč klienta se použije k pozdějšímu přístupu ke službě FHIR.
Můžete použít modul PowerShellu Az :
$appname="xxx"
$sp= New-AzADServicePrincipal -DisplayName $appname
$clientappid=sp.ApplicationId
$spid=$sp.Id
#Get client secret which is not visible from the portal
$clientsecret=ConvertFrom-SecureString -SecureString $sp.Secret -AsPlainText
Nebo můžete použít Azure CLI:
appname=xxx
clientappid=$(az ad app create --display-name $appname --query appId --output tsv)
spid=$(az ad sp create --id $appid --query objectId --output tsv)
#Add client secret with expiration. The default is one year.
clientsecretname=mycert2
clientsecretduration=2
clientsecret=$(az ad app credential reset --id $appid --append --credential-description $clientsecretname --years $clientsecretduration --query password --output tsv)
Konfigurace místního řízení přístupu na základě role
Rozhraní Azure API for FHIR můžete nakonfigurovat tak, aby používalo sekundárního tenanta Microsoft Entra v okně Ověřování .
Do pole autority zadejte platného sekundárního tenanta Microsoft Entra. Po ověření tenanta by se mělo aktivovat pole Povolené ID objektů a můžete zadat jedno nebo seznam ID instančního objektu Microsoft Entra. Id těchto ID můžou být ID objektů identity:
- Uživatel Microsoft Entra.
- Instanční objekt Microsoft Entra.
- Skupina zabezpečení Microsoft Entra.
Další podrobnosti najdete v článku o vyhledání ID objektů identity.
Po zadání požadovaných ID objektů Microsoft Entra vyberte Uložit a počkejte, až se změny uloží, než se pokusíte získat přístup k rovině dat pomocí přiřazených uživatelů, instančních objektů nebo skupin. ID objektů jsou udělena se všemi oprávněními, což je ekvivalent role Přispěvatel dat FHIR.
Místní nastavení RBAC je viditelné pouze v okně ověřování; V okně Řízení přístupu (IAM) se nezobrazuje.
Poznámka:
Pro RBAC nebo místní RBAC se podporuje jenom jeden tenant. Pokud chcete zakázat místní funkci RBAC, můžete ji změnit zpět na platného tenanta (nebo primárního tenanta) přidruženého k vašemu předplatnému a odebrat všechna ID objektů Microsoft Entra v poli Povolené ID objektů.
Chování při ukládání do mezipaměti
Rozhodnutí týkající se rozhraní Azure API for FHIR ukládá do mezipaměti až po dobu 5 minut. Pokud uživateli udělíte přístup k serveru FHIR tak, že ho přidáte do seznamu povolených ID objektů nebo ho ze seznamu odeberete, měli byste očekávat, že bude trvat až pět minut, než se změny oprávnění rozšíří.
Další kroky
V tomto článku jste zjistili, jak přiřadit přístup roviny dat FHIR pomocí externího (sekundárního) tenanta Microsoft Entra. Další informace o dalších nastaveních pro rozhraní Azure API for FHIR.
Poznámka:
FHIR® je registrovaná ochranná známka HL7 a používá se s povolením HL7.