Meerdere service-id-providers configureren
Naast Microsoft Entra-id kunt u maximaal twee extra id-providers configureren voor een FHIR-service®, ongeacht of de service al bestaat of nieuw is gemaakt.
Vereisten voor id-providers
Id-providers moeten OpenID Connect (OIDC) ondersteunen en moeten JSON-webtokens (JWT) kunnen uitgeven met een fhirUser
claim, een azp
of appid
claim en een scp
claim met SMART on FHIR v1 Scopes.
Extra id-providers inschakelen met Azure Resource Manager (ARM)
Voeg het smartIdentityProviders
element toe aan de FHIR-service authenticationConfiguration
om extra id-providers in te schakelen. Het smartIdentityProviders
element is optioneel. Als u deze weglaat, gebruikt de FHIR-service Microsoft Entra ID om aanvragen te verifiëren.
Element | Type | Beschrijving |
---|---|---|
smartIdentityProviders | matrix | Een matrix met maximaal twee configuraties van id-providers. Dit element is optioneel. |
autoriteit | tekenreeks | De tokeninstantie van de id-provider. |
datacentrumbatterijten | matrix | Een matrix van resourcetoepassingsconfiguraties voor id-providers. |
clientId | tekenreeks | De id van de resourcetoepassing (client) van de id-provider. |
audiëntie | tekenreeks | Wordt gebruikt om de toegangstokenclaim aud te valideren. |
allowedDataActions | matrix | Een matrix met machtigingen die de resourcetoepassing van de id-provider mag uitvoeren. |
{
"properties": {
"authenticationConfiguration": {
"authority": "string",
"audience": "string",
"smartProxyEnabled": "bool",
"smartIdentityProviders": [
{
"authority": "string",
"applications": [
{
"clientId": "string",
"audience": "string",
"allowedDataActions": "array"
}
]
}
]
}
}
}
De smartIdentityProviders
matrix configureren
Als u geen id-providers naast Microsoft Entra-id nodig hebt, stelt u de matrix in op null of laat u deze smartIdentityProviders
weg uit de inrichtingsaanvraag. Neem anders ten minste één geldig configuratieobject van de id-provider op in de matrix. U kunt maximaal twee extra id-providers configureren.
Geef de authority
U moet de authority
tekenreeks opgeven voor elke id-provider die u configureert. De authority
tekenreeks is de token-instantie die de toegangstokens voor de id-provider uitgeeft. De FHIR-service weigert aanvragen met een 401 Unauthorized
foutcode als de authority
tekenreeks ongeldig of onjuist is.
Voordat u een inrichtingsaanvraag indient, valideert u de authority
tekenreeks door het configuratie-eindpunt openid-connect te controleren. Voeg /.bekende/openid-configuratie toe aan het einde van de authority
tekenreeks en plak deze in uw browser. U ziet nu de verwachte configuratie. Als u dat niet doet, heeft de tekenreeks een probleem.
Voorbeeld:
https://yourIdentityProvider.com/authority/v2.0/.well-known/openid-configuration
De applications
matrix configureren
U moet ten minste één toepassingsconfiguratie opnemen en maximaal 25 toepassingen in de applications
matrix toevoegen. Elke toepassingsconfiguratie heeft waarden die toegangstokenclaims valideren en een matrix waarmee de machtigingen voor de toepassing worden gedefinieerd voor toegang tot FHIR-resources.
De toepassing identificeren met de clientId
tekenreeks
De id-provider definieert de toepassing met een unieke id genaamd de clientId
tekenreeks (of toepassings-id). De FHIR-service valideert het toegangstoken door de authorized party
claim (azp) of application id
(appid) te controleren op de clientId
tekenreeks. Als de clientId
tekenreeks en de tokenclaim niet exact overeenkomen, weigert de FHIR-service de aanvraag met een 401 Unauthorized
foutcode.
Het toegangstoken valideren met de audience
tekenreeks
De aud
claim in een toegangstoken identificeert de beoogde ontvanger van het token. De audience
tekenreeks is de unieke id voor de ontvanger. De FHIR-service valideert het toegangstoken door de audience
tekenreeks te controleren op de aud
claim. Als de audience
tekenreeks en de aud
claim niet exact overeenkomen, weigert de FHIR-service aanvragen met een 401 Unauthorized
foutcode.
De machtigingen opgeven met de allowedDataActions
matrix
Neem ten minste één machtigingsreeks op in de allowedDataActions
matrix. U kunt alle geldige machtigingstekenreeksen opnemen. Vermijd duplicaten.
Geldige machtigingstekenreeks | Beschrijving |
---|---|
Read | Staat resourceaanvragen GET toe. |
Volgende stappen
Azure Active Directory B2C gebruiken om toegang te verlenen tot de FHIR-service
Problemen met de configuratie van id-providers oplossen
Notitie
FHIR® is een geregistreerd handelsmerk van HL7 en wordt gebruikt met de machtiging HL7.