Meerdere service-id-providers configureren
Naast Microsoft Entra-id kunt u maximaal twee extra id-providers configureren voor een FHIR-service®, ongeacht of de service al bestaat of nieuw is gemaakt.
Vereisten voor id-providers
Id-providers moeten OpenID Connect (OIDC) ondersteunen en moeten JSON-webtokens (JWT) kunnen uitgeven met een fhirUser claim, een azp of appid claim en een scp claim met SMART on FHIR v1 Scopes.
Extra id-providers inschakelen met Azure Resource Manager (ARM)
Voeg het smartIdentityProviders element toe aan de FHIR-service authenticationConfiguration om extra id-providers in te schakelen. Het smartIdentityProviders element is optioneel. Als u deze weglaat, gebruikt de FHIR-service Microsoft Entra ID om aanvragen te verifiëren.
| Element | Type | Beschrijving |
|---|---|---|
| smartIdentityProviders | matrix | Een matrix met maximaal twee configuraties van id-providers. Dit element is optioneel. |
| autoriteit | tekenreeks | De tokeninstantie van de id-provider. |
| datacentrumbatterijten | matrix | Een matrix van resourcetoepassingsconfiguraties voor id-providers. |
| clientId | tekenreeks | De id van de resourcetoepassing (client) van de id-provider. |
| audiëntie | tekenreeks | Wordt gebruikt om de toegangstokenclaim aud te valideren. |
| allowedDataActions | matrix | Een matrix met machtigingen die de resourcetoepassing van de id-provider mag uitvoeren. |
{
"properties": {
"authenticationConfiguration": {
"authority": "string",
"audience": "string",
"smartProxyEnabled": "bool",
"smartIdentityProviders": [
{
"authority": "string",
"applications": [
{
"clientId": "string",
"audience": "string",
"allowedDataActions": "array"
}
]
}
]
}
}
}
De smartIdentityProviders matrix configureren
Als u geen id-providers naast Microsoft Entra-id nodig hebt, stelt u de matrix in op null of laat u deze smartIdentityProviders weg uit de inrichtingsaanvraag. Neem anders ten minste één geldig configuratieobject van de id-provider op in de matrix. U kunt maximaal twee extra id-providers configureren.
Geef de authority
U moet de authority tekenreeks opgeven voor elke id-provider die u configureert. De authority tekenreeks is de token-instantie die de toegangstokens voor de id-provider uitgeeft. De FHIR-service weigert aanvragen met een 401 Unauthorized foutcode als de authority tekenreeks ongeldig of onjuist is.
Voordat u een inrichtingsaanvraag indient, valideert u de authority tekenreeks door het configuratie-eindpunt openid-connect te controleren. Voeg /.bekende/openid-configuratie toe aan het einde van de authority tekenreeks en plak deze in uw browser. U ziet nu de verwachte configuratie. Als u dat niet doet, heeft de tekenreeks een probleem.
Voorbeeld:
https://yourIdentityProvider.com/authority/v2.0/.well-known/openid-configuration
De applications matrix configureren
U moet ten minste één toepassingsconfiguratie opnemen en maximaal 25 toepassingen in de applications matrix toevoegen. Elke toepassingsconfiguratie heeft waarden die toegangstokenclaims valideren en een matrix waarmee de machtigingen voor de toepassing worden gedefinieerd voor toegang tot FHIR-resources.
De toepassing identificeren met de clientId tekenreeks
De id-provider definieert de toepassing met een unieke id genaamd de clientId tekenreeks (of toepassings-id). De FHIR-service valideert het toegangstoken door de authorized party claim (azp) of application id (appid) te controleren op de clientId tekenreeks. Als de clientId tekenreeks en de tokenclaim niet exact overeenkomen, weigert de FHIR-service de aanvraag met een 401 Unauthorized foutcode.
Het toegangstoken valideren met de audience tekenreeks
De aud claim in een toegangstoken identificeert de beoogde ontvanger van het token. De audience tekenreeks is de unieke id voor de ontvanger. De FHIR-service valideert het toegangstoken door de audience tekenreeks te controleren op de aud claim. Als de audience tekenreeks en de aud claim niet exact overeenkomen, weigert de FHIR-service aanvragen met een 401 Unauthorized foutcode.
De machtigingen opgeven met de allowedDataActions matrix
Neem ten minste één machtigingsreeks op in de allowedDataActions matrix. U kunt alle geldige machtigingstekenreeksen opnemen. Vermijd duplicaten.
| Geldige machtigingstekenreeks | Beschrijving |
|---|---|
| Read | Staat resourceaanvragen GET toe. |
Volgende stappen
Azure Active Directory B2C gebruiken om toegang te verlenen tot de FHIR-service
Problemen met de configuratie van id-providers oplossen
Notitie
FHIR® is een geregistreerd handelsmerk van HL7 en wordt gebruikt met de machtiging HL7.