Configurer plusieurs fournisseurs d’identité de service
Outre Microsoft Entra ID, vous pouvez configurer jusqu’à deux fournisseurs d’identité supplémentaires pour un service FHIR, que le service existe déjà ou que vous veniez de le créer.
Conditions préalables aux fournisseurs d’identité
Les fournisseurs d’identité doivent prendre en charge OpenID Connect (OIDC) et doivent être en mesure d’émettre des jetons JWT (JSON Web Token) avec une revendication fhirUser, une revendication azp ou appid et une revendication scp avec les étendues SMART on FHIR v1.
Activer des fournisseurs d’identité supplémentaires avec Azure Resource Manager (ARM)
Ajoutez l’élément smartIdentityProviders au service FHIR authenticationConfiguration pour activer des fournisseurs d’identité supplémentaires. L’élément smartIdentityProviders est facultatif. Si vous l’oubliez, le service FHIR utilise Microsoft Entra ID pour authentifier les demandes.
| Element | Type | Description |
|---|---|---|
| smartIdentityProviders | tableau | Tableau contenant jusqu’à deux configurations de fournisseur d’identité. Cet élément est facultatif. |
| authority | string | Autorité du jeton du fournisseur d’identité. |
| applications | tableau | Tableau de configurations d’application de ressources de fournisseur d’identité. |
| clientId | string | ID (client) d’application de ressource de fournisseur d’identité. |
| public ciblé | string | Utilisé pour valider la réclamation aud du jeton d’accès. |
| allowedDataActions | tableau | Tableau d’autorisations que l’application de ressource de fournisseur d’identité est autorisée à utiliser. |
{
"properties": {
"authenticationConfiguration": {
"authority": "string",
"audience": "string",
"smartProxyEnabled": "bool",
"smartIdentityProviders": [
{
"authority": "string",
"applications": [
{
"clientId": "string",
"audience": "string",
"allowedDataActions": "array"
}
]
}
]
}
}
}
Configurer le tableau smartIdentityProviders
Si vous n’avez pas besoin de fournisseurs d’identité en plus de Microsoft Entra ID, définissez le tableau smartIdentityProviders sur la valeur nulle ou enlevez-le de la demande d’approvisionnement. Sinon, ajoutez au moins un objet de configuration de fournisseur d’identité valide dans le tableau. Vous pouvez configurer jusqu’à deux fournisseurs d’identité supplémentaires.
Spécifier la chaîne authority
Vous devez spécifier la chaîne authority pour chaque fournisseur d’identité que vous configurez. La chaîne authority est l’autorité de jeton qui émet les jetons d’accès pour le fournisseur d’identité. Le service FHIR refuse les demandes avec un code d’erreur 401 Unauthorized si la chaîne authority n’est pas valide ou n’est pas correcte.
Avant d’effectuer une demande d’approvisionnement, validez la chaîne authority en vérifiant le point de terminaison de configuration openid-connect. Ajoutez /.well-known/openid-configuration à la fin de la chaîne authority et collez-la dans votre navigateur. Vous devriez voir la configuration attendue. Si ce n’est pas le cas, la chaîne a un problème.
Exemple :
https://yourIdentityProvider.com/authority/v2.0/.well-known/openid-configuration
Configurer le tableau applications
Vous devez inclure au moins une configuration d’application et pouvez ajouter jusqu’à 25 applications dans le tableau applications. Chaque configuration d’application a des valeurs qui valident les revendications de jetons d’accès et un tableau qui définit les autorisations de l’application pour accéder aux ressources FHIR.
Identifier l’application avec la chaîne clientId
Le fournisseur d’identité définit l’application avec un identificateur unique appelé chaîne clientId (ou ID d’application). Le service FHIR valide le jeton d’accès en vérifiant la revendication authorized party (azp) ou application id (appid) par rapport à la chaîne clientId. Si la chaîne clientId et la revendication de jeton ne correspondent pas exactement, le service FHIR refuse la demande avec un code d’erreur 401 Unauthorized.
Valider le jeton d’accès avec la chaîne audience
La revendication aud dans un jeton d’accès identifie le destinataire attendu du jeton. La chaîne audience est l’identificateur unique du destinataire. Le service FHIR valide le jeton d’accès en vérifiant la chaîne audience par rapport à la revendication aud. Si la chaîne audience et la revendication aud ne correspondent pas exactement, le service FHIR refuse les demandes avec un code d’erreur 401 Unauthorized.
Spécifier les autorisations avec le tableau allowedDataActions
Incluez au moins une chaîne d’autorisation dans le tableau allowedDataActions. Vous pouvez inclure toutes les chaînes d’autorisation valides. Évitez les doublons.
| Chaîne d’autorisation valide | Description |
|---|---|
| Lire | Autorise les demandes GET de ressource. |
Étapes suivantes
Utiliser Azure Active Directory B2C pour accorder l’accès au service FHIR
Résoudre les problèmes de configuration des fournisseurs d’identité
Remarque
FHIR® est une marque déposée de HL7 utilisé avec l’autorisation de HL7.