Azure API for FHIR 用 Microsoft Entra アプリを登録する

重要

Azure API for FHIR は、2026 年 9 月 30 日に廃止されます。 移行戦略に従って、その日までに Azure Health Data Services FHIR® サービスに切り替えてください。 Azure API for FHIR が廃止されたため、2025 年 4 月 1 日以降、新しいデプロイは許可されません。 Azure Health Data Services FHIR サービス は、お客様が他の Azure サービスへの統合を使用して、FHIR、DICOM、および MedTech サービスを管理できるようにする、進化したバージョンの Azure API for FHIR です。

Azure API for FHIR® または FHIR Server for Azure (OSS) を設定する際は、いくつかの構成オプションから選択できます。 オープンソースの場合は、独自のリソース アプリケーションの登録を作成する必要があります。 Azure API for FHIR の場合、このリソース アプリケーションは自動的に作成されます。

アプリケーションの登録

アプリケーションが Microsoft Entra ID と連携するには、アプリケーションを登録する必要があります。 FHIR サーバーのコンテキストでは、アプリケーション登録には次の 2 種類があります。

1. リソース アプリケーションの登録。
2. クライアント アプリケーションの登録。

リソース アプリケーションは、Microsoft Entra ID で保護された API またはリソースを Microsoft Entra ID で表現したものです。 ここでは、Azure API for FHIR について説明します。 Azure API for FHIR のリソース アプリケーションは、サービスをプロビジョニングするときに自動的に作成されます。 オープンソース サーバーを使用している場合は、Microsoft Entra ID にリソース アプリケーションを登録する必要があります。 このリソース アプリケーションには識別子 URI が設定されます。 この URI は FHIR サーバーの URI と同じにすることをお勧めします。 この URI は、FHIR サーバーの Audience として使用する必要があります。 クライアント アプリケーションは、トークンを要求するときに、この FHIR サーバーへのアクセスを要求できます。

"クライアント アプリケーション" は、トークンを要求するクライアントの登録です。 OAuth 2.0 では、3 種類以上のアプリケーションが区別されます。

1. 機密クライアント。Microsoft Entra ID では Web アプリとも呼ばれます。 機密クライアントとは、承認コード フローを使用して、有効な資格情報を提示しているサインイン ユーザーの代わりにトークンを取得するアプリケーションです。 これらが機密クライアントと呼ばれるのは、シークレットを保持でき、認証コードをトークンと交換する際にこのシークレットを Microsoft Entra ID に提示するためです。 機密クライアントは、クライアント シークレットを使用して自身を認証できるため、パブリック クライアントよりも信頼性が高く、より有効期間が長いトークンを保持することができます。このクライアントには、更新トークンを付与することもできます。 機密クライアントを登録する方法の詳細をお読みください。 注: クライアントが認可コードを受け取るときに、応答 URL を登録することが重要です。
2. パブリック クライアント。 これらは、シークレットを保持できないクライアントです。 通常、これはモバイル デバイス アプリケーションまたは単一ページの JavaScript アプリケーションであり、クライアント内のシークレットがユーザーによって発見される場合があります。 パブリック クライアントも認可コード フローを使用します。 ただし、トークンを取得するときにシークレットを提示することは許可されていません。また、トークンの有効期間は短く、更新トークンはない可能性があります。 パブリック クライアントを登録する方法の詳細をお読みください。
3. サービス クライアント。 このクライアントは、クライアント資格情報フローを使用して、(ユーザーの代わりではなく) 自身の代わりにトークンを取得します。 これらは通常、非インタラクティブな方法で FHIR サーバーにアクセスするアプリケーションを表します。 たとえば、インジェスト プロセスです。 サービス クライアントを使用する場合、/authorize エンドポイントへの呼び出しでトークンを取得するプロセスを開始する必要はありません。 サービス クライアントは、直接 /token エンドポイントにアクセスし、クライアント ID とクライアント シークレットを提示してトークンを取得できます。 サービス クライアントを登録する方法の詳細をお読みください。

次のステップ

この概要では、FHIR API の操作に必要となる可能性のあるアプリケーション登録の種類について確認しました。

実際の設定に基づき、アプリケーションを登録するための攻略ガイドを参照してください。

• リソース アプリケーションを登録する
• 機密クライアント アプリケーションを登録する
• パブリック クライアント アプリケーションを登録する
• サービス クライアント アプリケーションを登録する

アプリケーションを登録したら、Azure API for FHIR をデプロイできます。

Azure API for FHIR をデプロイする

Note

FHIR® は HL7 の登録商標であり、HL7 の許可を得て使用しています。