Registrieren der Microsoft Entra-Apps für Azure API for FHIR

Wichtig

Azure API for FHIR wird am 30. September 2026 eingestellt. Folgen Sie den Migrationsstrategien, um bis zu diesem Datum zum Azure Health Data Services-FHIR®-Dienst zu wechseln. Aufgrund der Einstellung von Azure API for FHIR werden neue Bereitstellungen ab dem 1. April 2025 nicht zugelassen. Der Azure Health Data Services-FHIR-Dienst ist die weiterentwickelte Version der Azure-API für FHIR, mit der Kundschaft FHIR-, DICOM- und Medizintechnikdienste mit Integrationen in andere Azure-Dienste verwalten kann.

Ihnen stehen verschiedene Konfigurationsoptionen zur Verfügung, wenn Sie Azure API for FHIR® oder den FHIR-Server für Azure (OSS) einrichten. Für Open Source müssen Sie Ihre eigene Ressourcenanwendungsregistrierung erstellen. Für Azure API for FHIR wird diese Ressourcenanwendung automatisch erstellt.

Anwendungsregistrierungen

Damit eine Anwendung mit Microsoft Entra ID interagieren kann, muss sie registriert werden. Im Kontext des FHIR-Servers gibt es zwei Arten von Anwendungsregistrierungen:

1. Ressourcenanwendungsregistrierungen
2. Clientanwendungsregistrierungen

Bei Ressourcenanwendungen handelt es sich um Microsoft Entra ID-Darstellungen einer durch Microsoft Entra ID geschützten API oder Ressource. In diesem Fall ist dies die Azure API for FHIR. Eine Ressourcenanwendung für die Azure API for FHIR wird automatisch erstellt, wenn Sie den Dienst bereitstellen. Wenn Sie den Open-Source-Server verwenden, müssen Sie eine Ressourcenanwendung in Microsoft Entra ID registrieren. Diese Ressourcenanwendung verfügt über einen Bezeichner-URI. Dieser URI sollte dem URI des FHIR-Servers entsprechen. Der URI muss als Zielgruppe (Audience) für den FHIR-Server verwendet werden. Von einer Clientanwendung kann Zugriff auf diesen FHIR-Server angefordert werden, wenn von ihr ein Token angefordert wird.

Bei Clientanwendungen handelt es sich um Registrierungen der Clients, von denen Token angefordert werden. Im Kontext von OAuth 2.0 wird zwischen mindestens drei verschiedenen Anwendungstypen unterschieden:

1. Vertrauliche Clients, in Microsoft Entra ID auch bekannt als Web-Apps: Vertrauliche Clients sind Anwendungen, von denen der Autorisierungscodeflow verwendet wird, um im Namen eines angemeldeten Benutzers mit gültigen Anmeldeinformationen ein Token zu beziehen. Sie werden als vertrauliche Clients bezeichnet, da sie ein Geheimnis speichern und dieses Geheimnis Microsoft Entra ID gegenüber angeben können, wenn der Authentifizierungscode gegen ein Token getauscht wird. Da sich vertrauliche Clients mithilfe des geheimen Clientschlüssels authentifizieren können, sind sie vertrauenswürdiger als öffentliche Clients, können über langlebigere Token verfügen und ein Aktualisierungstoken erhalten. Ausführliche Informationen zur Registrierung eines vertraulichen Clients finden Sie hier. Hinweis: Beachten Sie, dass die Antwort-URL registriert werden muss, unter der der Client den Autorisierungscode empfängt.
2. Öffentliche Clients: Diese Clients eignen sich nicht zum Speichern von Geheimnissen. In der Regel handelt es sich hierbei um Anwendungen für mobile Geräte oder um Single-Page-JavaScript-Webanwendungen, bei denen ein Geheimnis im Client von einem Benutzer entdeckt werden kann. Öffentliche Clients verwenden ebenfalls den Autorisierungscodeflow. Sie dürfen beim Tokenbezug jedoch kein Geheimnis angeben und verfügen ggf. über kurzlebigere Token und über kein Aktualisierungstoken. Ausführliche Informationen zur Registrierung eines öffentlichen Clients finden Sie hier.
3. Dienstclients. Diese Clients beziehen Token mithilfe des Clientanmeldeinformations-Flows für sich selbst (nicht im Namen eines Benutzers). In der Regel handelt es sich hierbei um Anwendungen, von denen auf nicht interaktive Weise auf den FHIR-Server zugegriffen wird. Ein Beispiel wäre etwa ein Erfassungsprozess. Bei Verwendung eines Dienstclients muss der Prozess zum Abrufen eines Tokens nicht mit einem Aufruf des Endpunkts /authorize gestartet werden. Ein Dienstclient kann direkt den Endpunkt /token kontaktieren und die Client-ID sowie den geheimen Clientschlüssel angeben, um ein Token zu beziehen. Ausführliche Informationen zur Registrierung eines Dienstclients finden Sie hier.

Nächste Schritte

In dieser Übersicht wurden die Typen von Anwendungsregistrierungen vorgestellt, die ggf. für die Verwendung einer FHIR-API benötigt werden.

Lesen Sie abhängig von Ihrem Setup die entsprechende Registrierungsanleitung für Ihre Anwendungen:

• Registrieren einer Ressourcenanwendung in Azure Active Directory
• Registrieren einer vertraulichen Clientanwendung in Azure Active Directory
• Registrieren einer öffentlichen Clientanwendung in Azure Active Directory
• Registrieren einer Dienstclientanwendung in Azure Active Directory

Nachdem Sie Ihre Anwendungen registriert haben, können Sie Azure API for FHIR bereitstellen.

Schnellstart: Bereitstellen von Azure API for FHIR mithilfe von PowerShell

Hinweis

FHIR® ist eine eingetragene Marke von HL7 und wird mit Genehmigung von HL7 verwendet.