Udostępnij za pośrednictwem

Konfigurowanie wielu dostawców tożsamości usług

  • Artykuł

Oprócz identyfikatora Entra firmy Microsoft można skonfigurować maksymalnie dwóch dodatkowych dostawców tożsamości dla usługi FHIR®, niezależnie od tego, czy usługa już istnieje, czy jest nowo utworzona.

Wymagania wstępne dostawców tożsamości

Dostawcy tożsamości muszą obsługiwać protokół OpenID Connect (OIDC) i muszą mieć możliwość wystawiania tokenów sieci Web JSON (JWT) z oświadczeniem fhirUser , oświadczeniem azp lub appid i scp oświadczeniem z funkcją SMART w zakresie FHIR w wersji 1.

Włączanie dodatkowych dostawców tożsamości za pomocą usługi Azure Resource Manager (ARM)

smartIdentityProviders Dodaj element do usługi authenticationConfiguration FHIR, aby włączyć dodatkowych dostawców tożsamości. Element smartIdentityProviders jest opcjonalny. Jeśli go pominięto, usługa FHIR używa identyfikatora Microsoft Entra do uwierzytelniania żądań.

Element Type Opis
smartIdentityProviders tablica Tablica zawierająca maksymalnie dwie konfiguracje dostawcy tożsamości. Ten element jest opcjonalny.
autorytet string Urząd tokenu dostawcy tożsamości.
Zastosowania tablica Tablica konfiguracji aplikacji zasobów dostawcy tożsamości.
clientId string Identyfikator aplikacji zasobów dostawcy tożsamości (klienta).
audiencja string Służy do sprawdzania poprawności oświadczenia tokenu aud dostępu.
allowedDataActions tablica Tablica uprawnień, które może wykonywać aplikacja zasobów dostawcy tożsamości. 
{
  "properties": {
    "authenticationConfiguration": {
      "authority": "string",
      "audience": "string",
      "smartProxyEnabled": "bool",
      "smartIdentityProviders": [
        {
          "authority": "string",
          "applications": [
            {
              "clientId": "string",
              "audience": "string",
              "allowedDataActions": "array"
            }
          ]
        }
      ]
    }
  }
}

Konfigurowanie tablicy smartIdentityProviders

Jeśli nie potrzebujesz żadnych dostawców tożsamości obok identyfikatora Microsoft Entra ID, ustaw tablicę smartIdentityProviders na wartość null lub pomiń ją z żądania aprowizacji. W przeciwnym razie dołącz co najmniej jeden prawidłowy obiekt konfiguracji dostawcy tożsamości w tablicy. Można skonfigurować maksymalnie dwóch dodatkowych dostawców tożsamości.

Określ authority

Należy określić ciąg dla każdego skonfigurowanego authority dostawcy tożsamości. Ciąg authority to urząd tokenu, który wystawia tokeny dostępu dla dostawcy tożsamości. Usługa FHIR odrzuca żądania z 401 Unauthorized kodem błędu, jeśli authority ciąg jest nieprawidłowy lub nieprawidłowy.

Przed utworzeniem żądania aprowizacji zweryfikuj authority ciąg, sprawdzając punkt końcowy konfiguracji openid-connect. Dołącz ciąg /.well-known/openid-configuration na końcu authority ciągu i wklej go w przeglądarce. Powinna zostać wyświetlona oczekiwana konfiguracja. Jeśli tego nie zrobisz, ciąg ma problem.

Przykład:

https://yourIdentityProvider.com/authority/v2.0/.well-known/openid-configuration

Konfigurowanie tablicy applications

Musisz dołączyć co najmniej jedną konfigurację aplikacji i dodać do 25 aplikacji w tablicy applications . Każda konfiguracja aplikacji ma wartości, które weryfikują oświadczenia tokenu dostępu, oraz tablicę definiującą uprawnienia aplikacji do uzyskiwania dostępu do zasobów FHIR.

Identyfikowanie aplikacji za pomocą clientId ciągu

Dostawca tożsamości definiuje aplikację z unikatowym identyfikatorem nazywanym clientId ciągiem (lub identyfikatorem aplikacji). Usługa FHIR weryfikuje token dostępu, sprawdzając authorized party oświadczenie (azp) lub application id (appid) względem clientId ciągu. clientId Jeśli ciąg i oświadczenie tokenu nie są dokładnie zgodne, usługa FHIR odrzuca żądanie z 401 Unauthorized kodem błędu.

Weryfikowanie tokenu dostępu za pomocą audience ciągu

Oświadczenie aud w tokenie dostępu identyfikuje zamierzonego adresata tokenu. Ciąg audience jest unikatowym identyfikatorem odbiorcy. Usługa FHIR weryfikuje token dostępu, sprawdzając audience ciąg względem aud oświadczenia. audience Jeśli ciąg i aud oświadczenie nie są dokładnie zgodne, usługa FHIR odrzuca żądania z 401 Unauthorized kodem błędu.

Określanie uprawnień z tablicą allowedDataActions

Uwzględnij co najmniej jeden ciąg uprawnień w tablicy allowedDataActions . Możesz uwzględnić dowolne prawidłowe ciągi uprawnień. Unikaj duplikatów.

Prawidłowy ciąg uprawnień Opis
Przeczytaj Zezwala na żądania zasobów GET .

Następne kroki

Udzielanie dostępu do usługi FHIR przy użyciu usługi Azure Active Directory B2C

Rozwiązywanie problemów z konfiguracją dostawcy tożsamości

Uwaga

FHIR® jest zastrzeżonym znakiem towarowym HL7 i jest używany z uprawnieniem HL7.