FHIR サービスでクロスオリジン リソース共有を構成する
FHIR サービスでのクロスオリジン リソース共有とは
Azure Health Data Services の FHIR® サービスでは、 クロス オリジン リソース共有 (CORS) がサポートされています。 CORS を使用すると、あるドメイン (オリジン) のアプリケーションが異なるドメインのリソースにアクセスできる ("ドメイン間要求" と呼ばれます) ように、設定を構成することができます。
CORS は、別のドメインへの RESTful API 呼び出しを行う必要のあるシングルページ アプリでよく使用されます。
クロスオリジン リソース共有の構成設定
FHIR サービスで CORS 設定を構成するには、次の設定を指定します。
[配信元] (Access-Control-Allow-Origin)。 FHIR サービスに対してクロスオリジン要求を行うことが許可されているドメインの一覧。 各ドメイン (オリジン) は別々の行に入力する必要があります。 アスタリスク (*) を入力すると任意のドメインからの呼び出しを許可できますが、これにはセキュリティ上のリスクがあるためお勧めしません。
[ヘッダー] (Access-Control-Allow-Headers)。 配信元要求に含まれるヘッダーの一覧。 すべてのヘッダーを許可するには、アスタリスク (*) を入力します。
[方法] (Access-Control-Allow-Methods)。 API 呼び出しで許可されるメソッド (PUT、GET、POST など)。 すべてのメソッドを選択するには、[すべて選択] を選択します。
[最長有効期間] (Access-Control-Max-Age)。 Access-Control-Allow-Headers および Access-Control-Allow-Methods に対するプリフライト要求の結果をキャッシュするための値 (秒数)。
[Allow Credentials]\(資格情報の許可\) (Access-Control-Allow-Credentials)。 CORS 要求には、クロスサイト リクエスト フォージェリ (CSRF) 攻撃を防ぐために、通常 Cookie は含まれていません。 この設定を選択した場合、Cookie などの資格情報を要求に含めることができます。 [配信元] に既にアスタリスク (*) を設定している場合は、この設定を構成できません。
Note
別のドメインのオリジンに異なる設定を指定することはできません。 すべての設定 ([ヘッダー]、[方法]、[最長有効期間]、および [Allow credentials]\(資格情報の許可\)) が、[配信元] 設定に指定されたすべてのオリジンに適用されます。
次のステップ
このチュートリアルでは、FHIR サービスで CORS 設定を構成する方法について説明しました。 次に、Touchstone で BLUE Button テスト用の CARIN IG に合格する方法を確認できます。
Note
FHIR® は HL7 の登録商標であり、HL7 の許可を得て使用しています。