Configurar vários provedores de identidade do serviço
Além do Microsoft Entra ID, você pode configurar até dois provedores de identidade adicionais para um serviço FHIR®, independentemente de o serviço já existir ou ter sido criado recentemente.
Pré-requisitos de provedores de identidade
Os provedores de identidade precisam dar suporte ao OIDC (OpenID Connect) e precisam ser capazes de emitir JWT (Tokens Web JSON) com uma declaração de fhirUser, uma declaração azp ou appid e uma declaração scp com SMART em escopos FHIR v1.
Habilitar provedores de identidade adicionais com o ARM (Azure Resource Manager)
Adicione o elemento smartIdentityProviders ao serviço FHIR authenticationConfiguration para habilitar provedores de identidade adicionais. O elemento smartIdentityProviders é opcional. Se você o omitir, o serviço FHIR usará o Microsoft Entra ID para autenticar solicitações.
| Element | Tipo | Descrição |
|---|---|---|
| smartIdentityProviders | matriz | Uma matriz que contém até duas configurações de provedor de identidade. Esse elemento é opcional. |
| authority | string | A autoridade do token do provedor de identidade. |
| aplicativos | matriz | Uma matriz de configurações de aplicativo de recurso do provedor de identidade. |
| clientId | string | A ID do aplicativo de recurso do provedor de identidade (cliente). |
| audience | string | Usado para validar a declaração aud do token de acesso. |
| allowedDataActions | matriz | Uma matriz de permissões que o aplicativo de recurso do provedor de identidade tem permissão para executar. |
{
"properties": {
"authenticationConfiguration": {
"authority": "string",
"audience": "string",
"smartProxyEnabled": "bool",
"smartIdentityProviders": [
{
"authority": "string",
"applications": [
{
"clientId": "string",
"audience": "string",
"allowedDataActions": "array"
}
]
}
]
}
}
}
Configurar a matriz smartIdentityProviders
Se você não precisar de nenhum provedor de identidade além do Microsoft Entra ID, defina a matriz smartIdentityProviders como nula ou omita-a da solicitação de provisionamento. Caso contrário, inclua pelo menos um objeto de configuração válido do provedor de identidade na matriz. Você pode configurar até dois provedores de identidade adicionais.
Especifique o authority
Você precisa especificar a cadeia de caracteres authority para cada provedor de identidade configurado. A cadeia de caracteres authority é a autoridade de token que emite os tokens de acesso para o provedor de identidade. O serviço FHIR rejeita solicitações com um código de erro 401 Unauthorized se a cadeia de caracteres authority for inválida ou incorreta.
Antes de fazer uma solicitação de provisionamento, valide a cadeia de caracteres authority verificando o ponto de extremidade de configuração openid-connect. Acrescente /.well-known/openid-configuration ao final da cadeia de caracteres authority e cole-a no navegador. Você deverá ver a configuração esperada. Se você não fizer isso, a cadeia de caracteres terá um problema.
Exemplo:
https://yourIdentityProvider.com/authority/v2.0/.well-known/openid-configuration
Configurar a matriz applications
Você deve incluir pelo menos uma configuração de aplicativo e pode adicionar até 25 aplicativos na matriz applications. Cada configuração de aplicativo tem valores que validam declarações de token de acesso e uma matriz que define as permissões para o aplicativo acessar recursos FHIR.
Identificar o aplicativo com a cadeia de caracteres clientId
O provedor de identidade define o aplicativo com um identificador exclusivo chamado cadeia de caracteres clientId (ou ID do aplicativo). O serviço FHIR valida o token de acesso verificando a reivindicação authorized party (azp) ou application id (appid) em relação à cadeia de caracteres clientId. Se a cadeia de caracteres clientId e a declaração de token não corresponderem exatamente, o serviço FHIR rejeitará a solicitação com um código de erro 401 Unauthorized.
Validar o token de acesso com a cadeia de caracteres audience
A declaração aud em um token de acesso identifica o destinatário pretendido do token. A cadeia de caracteres audience é o identificador exclusivo do destinatário. O serviço FHIR valida o token de acesso verificando a cadeia de caracteres audience com relação à declaração aud. Se a cadeia de caracteres audience e a declaração aud não corresponderem exatamente, o serviço FHIR rejeitará solicitações com um código de erro 401 Unauthorized.
Especificar as permissões com a matriz allowedDataActions
Inclua pelo menos uma cadeia de caracteres de permissão na matriz allowedDataActions. Você pode incluir todas as cadeias de caracteres de permissão válidas. Evite duplicatas.
| Cadeia de caracteres de permissão válida | Descrição |
|---|---|
| Ler | Permite as solicitações GET do recurso. |
Próximas etapas
Usar o Azure Active Directory B2C para permitir acesso ao serviço FHIR
Solucionar problemas de configuração de provedores de identidade
Observação
FHIR® é uma marca registrada da HL7 e é usado com a permissão da HL7.