Konfigurieren von Azure RBAC für FHIR
Wichtig
Azure API for FHIR wird am 30. September 2026 eingestellt. Folgen Sie den Migrationsstrategien, um bis zu diesem Datum zum Azure Health Data Services-FHIR®-Dienst zu wechseln. Aufgrund der Einstellung von Azure API for FHIR werden neue Bereitstellungen ab dem 1. April 2025 nicht zugelassen. Der Azure Health Data Services-FHIR-Dienst ist die weiterentwickelte Version der Azure-API für FHIR, mit der Kundschaft FHIR-, DICOM- und Medizintechnikdienste mit Integrationen in andere Azure-Dienste verwalten kann.
In diesem Artikel erfahren Sie, wie Sie azure role-based access control (Azure RBAC) verwenden, um Zugriff auf die Azure-API für FHIR-Datenebene® zuzuweisen. Azure RBAC ist die bevorzugte Methode zum Zuweisen des Datenebenenzugriffs, wenn Datenebenenbenutzer im Microsoft Entra-Mandanten verwaltet werden, der Ihrem Azure-Abonnement zugeordnet ist. Wenn Sie einen externen Microsoft Entra-Mandanten verwenden, finden Sie weitere Informationen in der Referenz zum Zuweisen der lokalen RBAC.
Überprüfen des Azure RBAC-Modus
Um Azure RBAC zu verwenden, muss Ihre Azure-API für FHIR für die Verwendung Ihres Azure-Abonnementmandanten für datenebene konfiguriert sein, und es sollte keine zugewiesenen Identitätsobjekt-IDs vorhanden sein. Sie können Ihre Einstellungen überprüfen, indem Sie die Authentifizierung Ihrer Azure-API für FHIR überprüfen:
Die Autorität sollte auf den Microsoft Entra-Mandanten festgelegt werden, der Ihrem Abonnement zugeordnet ist, und es sollte keine GUIDs in dem Feld mit der Bezeichnung "Zulässige Objekt-IDs" vorhanden sein. Beachten Sie, dass das Feld deaktiviert ist und eine Bezeichnung angibt, dass Azure RBAC verwendet werden soll, um Datenebenenrollen zuzuweisen.
Zuweisen von Rollen
Um Benutzern, Dienstprinzipalen oder Gruppen Zugriff auf die FHIR-Datenebene zu gewähren, wählen Sie access control (IAM) und dann Rollenzuweisungen und dann +Hinzufügen aus.
Suchen Sie im Auswahlfeld Rollen nach einer der integrierten Rollen für die FHIR-Datenebene:
Sie können unter den folgenden Optionen wählen.
- FHIR-Datenleser: Kann FHIR-Daten lesen (und suchen)
- FHIR Data Writer: Kann FHIR-Daten lesen, schreiben und vorläufig löschen
- FHIR Data Exporter: Kann Daten lesen und exportieren (
$exportOperator) - FHIR-Datenmitwirkender: Kann alle Datenebenenvorgänge ausführen
Suchen Sie im Feld Auswählen nach einem Benutzer, einem Dienstprinzipal oder einer Gruppe, dem bzw. der Sie die Rolle zuweisen möchten.
Hinweis
Stellen Sie sicher, dass die Registrierung der Clientanwendung abgeschlossen ist. Weitere Informationen zur Anwendungsregistrierung , wenn der OAuth 2.0-Autorisierungscode-Erteilungstyp verwendet wird, erteilen Sie dem Benutzer dieselbe FHIR-Anwendungsrolle. Wenn der Berechtigungstyp für OAuth 2.0-Clientanmeldeinformationen verwendet wird, ist dieser Schritt nicht erforderlich.
Verhalten beim Zwischenspeichern
Die Azure-API für FHIR speichert Entscheidungen für bis zu 5 Minuten zwischen. Wenn Sie einem Benutzer Zugriff auf den FHIR-Server gewähren, indem Sie ihn der Liste der zulässigen Objekt-IDs hinzufügen, oder wenn Sie ihn aus der Liste entfernen, sollten Sie davon ausgehen, dass es bis zu fünf Minuten dauert, bis die Berechtigungsänderungen weitergegeben sind.
Nächste Schritte
In diesem Artikel haben Sie erfahren, wie Sie Azure-Rollen für die FHIR-Datenebene zuweisen. Informationen zur Azure-API für FHIR-Konfigurationseinstellungen finden Sie unter
Hinweis
FHIR® ist eine eingetragene Marke von HL7 und wird mit Genehmigung von HL7 verwendet.