Sdílet prostřednictvím

Konfigurace několika zprostředkovatelů identity služeb

  • Článek

Kromě ID Microsoft Entra můžete nakonfigurovat až dva další zprostředkovatele identity pro službu FHIR®, ať už služba existuje nebo je nově vytvořená.

Požadavky zprostředkovatelů identity

Zprostředkovatelé identity musí podporovat OpenID Connect (OIDC) a musí být schopni vydávat webové tokeny JSON (JWT) s fhirUser deklarací identity, appid azp deklarací identity nebo scp deklarací identity s obory SMART v FHIR v1.

Povolení dalších zprostředkovatelů identity pomocí Azure Resource Manageru (ARM)

smartIdentityProviders Přidejte element do služby authenticationConfiguration FHIR, aby bylo možné povolit další zprostředkovatele identity. Prvek smartIdentityProviders je nepovinný. Pokud ho vynecháte, služba FHIR používá k ověřování požadavků ID Microsoft Entra.

Element Typ Popis
smartIdentityProviders pole Pole obsahující až dvě konfigurace zprostředkovatele identity. Tento element je volitelný.
autorita string Autorita tokenu zprostředkovatele identity.
aplikace pole Pole konfigurací aplikací prostředků zprostředkovatele identity.
clientId string ID aplikace prostředků zprostředkovatele identity (klient).
obecenstvo string Slouží k ověření deklarace identity přístupového tokenu aud .
allowedDataActions pole Pole oprávnění, která může aplikace prostředků zprostředkovatele identity provádět. 
{
  "properties": {
    "authenticationConfiguration": {
      "authority": "string",
      "audience": "string",
      "smartProxyEnabled": "bool",
      "smartIdentityProviders": [
        {
          "authority": "string",
          "applications": [
            {
              "clientId": "string",
              "audience": "string",
              "allowedDataActions": "array"
            }
          ]
        }
      ]
    }
  }
}

smartIdentityProviders Konfigurace pole

Pokud nepotřebujete žádné zprostředkovatele identity vedle ID Microsoft Entra, nastavte smartIdentityProviders pole na hodnotu null nebo ho z žádosti o zřizování vynecháte. V opačném případě do pole zahrňte alespoň jeden platný objekt konfigurace zprostředkovatele identity. Můžete nakonfigurovat až dva další zprostředkovatele identity.

Zadejte authority

Musíte zadat authority řetězec pro každého zprostředkovatele identity, který nakonfigurujete. Řetězec authority je autorita tokenu, která vydává přístupové tokeny pro zprostředkovatele identity. Služba FHIR odmítne požadavky s kódem 401 Unauthorized chyby, pokud authority je řetězec neplatný nebo nesprávný.

Než provedete požadavek na zřizování, ověřte authority řetězec tak, že zkontrolujete koncový bod konfigurace openid-connect. Na konec řetězce připojte /.well-known/openid-configuration a vložte ho authority do prohlížeče. Měla by se zobrazit očekávaná konfigurace. Pokud ne, řetězec má problém.

Příklad:

https://yourIdentityProvider.com/authority/v2.0/.well-known/openid-configuration

applications Konfigurace pole

Musíte zahrnout aspoň jednu konfiguraci aplikace a do pole přidat až 25 aplikací applications . Každá konfigurace aplikace má hodnoty, které ověřují deklarace identity přístupového tokenu, a pole, které definuje oprávnění pro aplikaci pro přístup k prostředkům FHIR.

Identifikace aplikace pomocí clientId řetězce

Zprostředkovatel identity definuje aplikaci s jedinečným identifikátorem, který se nazývá clientId řetězec (nebo ID aplikace). Služba FHIR ověří přístupový token kontrolou authorized party deklarace identity (azp) nebo application id (appid) vůči řetězci clientId . clientId Pokud se řetězec a deklarace identity tokenu neshodují přesně, služba FHIR žádost odmítne s kódem 401 Unauthorized chyby.

Ověření přístupového tokenu audience pomocí řetězce

Deklarace aud identity v přístupovém tokenu identifikuje zamýšleného příjemce tokenu. Řetězec audience je jedinečný identifikátor příjemce. Služba FHIR ověří přístupový token tak, že zkontroluje audience řetězec proti aud deklaraci identity. audience Pokud se řetězec a aud deklarace identity přesně neshodují, služba FHIR odmítne žádosti s kódem 401 Unauthorized chyby.

Určení oprávnění pomocí allowedDataActions pole

Do pole zahrňte alespoň jeden řetězec allowedDataActions oprávnění. Můžete zahrnout všechny platné řetězce oprávnění. Vyhněte se duplicitám.

Platný řetězec oprávnění Popis
Čteno Umožňuje požadavky na prostředky GET .

Další kroky

Použití Azure Active Directory B2C k udělení přístupu ke službě FHIR

Řešení potíží s konfigurací zprostředkovatele identity

Poznámka:

FHIR® je registrovaná ochranná známka HL7 a používá se s povolením HL7.