Configurar vários fornecedores de identidade de serviço
Além do Microsoft Entra ID, você pode configurar até dois provedores de identidade adicionais para um serviço FHIR®, independentemente de o serviço já existir ou ter sido criado recentemente.
Pré-requisito de provedores de identidade
Os provedores de identidade devem oferecer suporte ao OpenID Connect (OIDC) e devem ser capazes de emitir JSON Web Tokens (JWT) com uma fhirUser declaração, uma azp ou appid declaração e uma scp declaração com SMART em escopos FHIR v1.
Habilitar provedores de identidade adicionais com o Azure Resource Manager (ARM)
Adicione o smartIdentityProviders elemento ao serviço authenticationConfiguration FHIR para habilitar provedores de identidade adicionais. O smartIdentityProviders elemento é opcional. Se você omiti-lo, o serviço FHIR usa o Microsoft Entra ID para autenticar solicitações.
| Elemento | Tipo | Descrição |
|---|---|---|
| smartIdentityProvedores | matriz | Uma matriz contendo até duas configurações de provedor de identidade. Este elemento é opcional. |
| autoridade | string | A autoridade de token do provedor de identidade. |
| Aplicações | matriz | Uma matriz de configurações de aplicativo de recursos do provedor de identidade. |
| ID do cliente | string | A ID do aplicativo de recurso do provedor de identidade (cliente). |
| Público-alvo | string | Usado para validar a declaração de token aud de acesso. |
| allowedDataActions | matriz | Uma matriz de permissões que o aplicativo de recursos do provedor de identidade tem permissão para executar. |
{
"properties": {
"authenticationConfiguration": {
"authority": "string",
"audience": "string",
"smartProxyEnabled": "bool",
"smartIdentityProviders": [
{
"authority": "string",
"applications": [
{
"clientId": "string",
"audience": "string",
"allowedDataActions": "array"
}
]
}
]
}
}
}
Configurar a smartIdentityProviders matriz
Se você não precisar de nenhum provedor de identidade ao lado da ID do Microsoft Entra, defina a smartIdentityProviders matriz como nula ou omita-a da solicitação de provisionamento. Caso contrário, inclua pelo menos um objeto de configuração de provedor de identidade válido na matriz. Você pode configurar até dois provedores de identidade adicionais.
Especifique a seringa authority
Você deve especificar a authority cadeia de caracteres para cada provedor de identidade configurado. A authority cadeia de caracteres é a autoridade de token que emite os tokens de acesso para o provedor de identidade. O serviço FHIR rejeita solicitações com um código de 401 Unauthorized erro se a authority cadeia de caracteres for inválida ou incorreta.
Antes de fazer uma solicitação de provisionamento, valide a authority cadeia de caracteres verificando o ponto de extremidade de configuração openid-connect. Anexe /.well-known/openid-configuration ao final da string e cole-a authority no seu navegador. Você deve ver a configuração esperada. Se você não fizer isso, a cadeia de caracteres tem um problema.
Exemplo:
https://yourIdentityProvider.com/authority/v2.0/.well-known/openid-configuration
Configurar a applications matriz
Você deve incluir pelo menos uma configuração de aplicativo e pode adicionar até 25 aplicativos na applications matriz. Cada configuração de aplicativo tem valores que validam declarações de token de acesso e uma matriz que define as permissões para o aplicativo acessar recursos FHIR.
Identificar o aplicativo com a clientId cadeia de caracteres
O provedor de identidade define o aplicativo com um identificador exclusivo chamado string (ou ID do clientId aplicativo). O serviço FHIR valida o token de acesso verificando a authorized party declaração (azp) ou application id (appid) em relação à clientId cadeia de caracteres. Se a clientId cadeia de caracteres e a declaração de token não corresponderem exatamente, o serviço FHIR rejeitará a solicitação com um código de 401 Unauthorized erro.
Validar o token de acesso com a audience cadeia de caracteres
A aud declaração em um token de acesso identifica o destinatário pretendido do token. A audience cadeia de caracteres é o identificador exclusivo para o destinatário. O serviço FHIR valida o token de acesso verificando a audience cadeia de caracteres em relação à aud declaração. Se a audience cadeia de caracteres e a aud declaração não corresponderem exatamente, o serviço FHIR rejeitará solicitações com um código de 401 Unauthorized erro.
Especificar as permissões com a allowedDataActions matriz
Inclua pelo menos uma cadeia de caracteres de permissão na allowedDataActions matriz. Você pode incluir quaisquer cadeias de caracteres de permissão válidas. Evite duplicações.
| Cadeia de caracteres de permissão válida | Descrição |
|---|---|
| Lida | Permite solicitações de recursos GET . |
Próximos passos
Usar o Azure Ative Directory B2C para conceder acesso ao serviço FHIR
Resolver problemas de configuração do fornecedor de identidade
Nota
FHIR® é uma marca registada da HL7 e é utilizada com a permissão da HL7.