Azure API for FHIR でクロスオリジン リソース共有を構成する
重要
Azure API for FHIR は、2026 年 9 月 30 日に廃止されます。 移行戦略に従って、その日までに Azure Health Data Services FHIR® サービスに切り替えてください。 Azure API for FHIR が廃止されたため、2025 年 4 月 1 日以降、新しいデプロイは許可されません。 Azure Health Data Services FHIR サービス は、お客様が他の Azure サービスへの統合を使用して、FHIR、DICOM、および MedTech サービスを管理できるようにする、進化したバージョンの Azure API for FHIR です。
Azure API for FHIR® では、 クロス オリジン リソース共有 (CORS) がサポートされています。 CORS を使用すると、あるドメイン (オリジン) のアプリケーションが異なるドメインのリソースにアクセスできる ("ドメイン間要求" と呼ばれます) ように、設定を構成することができます。
CORS は、別のドメインへの RESTful API 呼び出しを行う必要のあるシングルページ アプリでよく使用されます。
CORS 設定の構成
Azure API for FHIR で CORS 設定を構成するには、次の設定を指定します。
[配信元] (Access-Control-Allow-Origin)。 Azure API for FHIR へのクロスオリジン要求が許可されるドメインの一覧。 各ドメイン (オリジン) は別々の行に入力する必要があります。 アスタリスク (*) を入力すると任意のドメインからの呼び出しを許可できますが、これにはセキュリティ上のリスクがあるためお勧めしません。
[ヘッダー] (Access-Control-Allow-Headers)。 オリジン要求に含められるヘッダーの一覧。 すべてのヘッダーを許可するには、アスタリスク (*) を入力します。
[方法] (Access-Control-Allow-Methods)。 API 呼び出しで許可されるメソッド (PUT、GET、POST など)。 すべてのメソッドを選択するには、[すべて選択] を選択します。
[最長有効期間] (Access-Control-Max-Age)。 Access-Control-Allow-Headers および Access-Control-Allow-Methods に対するプリフライト要求の結果をキャッシュするための値 (秒数)。
[Allow Credentials]\(資格情報の許可\) (Access-Control-Allow-Credentials)。 CORS 要求には、クロスサイト リクエスト フォージェリ (CSRF) 攻撃を防ぐために、通常 Cookie は含まれていません。 この設定を選択した場合、Cookie などの資格情報を要求に含めることができます。 [配信元] に既にアスタリスク (*) を設定している場合は、この設定を構成できません。
Note
別のドメインのオリジンに異なる設定を指定することはできません。 すべての設定 ([ヘッダー]、[方法]、[最長有効期間]、および [Allow credentials]\(資格情報の許可\)) が、[配信元] 設定に指定されたすべてのオリジンに適用されます。
次のステップ
この記事では、Azure API for FHIR でクロスオリジン リソース共有を構成する方法について説明しました。 Azure API for FHIR のデプロイの詳細については、以下を参照してください。
Note
FHIR® は HL7 の登録商標であり、HL7 の許可を得て使用しています。