Поделиться через

Настройка нескольких поставщиков удостоверений службы

  • Статья

Помимо идентификатора Microsoft Entra можно настроить до двух дополнительных поставщиков удостоверений для службы FHIR®, независимо от того, существует ли служба или создана.

Необходимые условия для поставщиков удостоверений

Поставщики удостоверений должны поддерживать OpenID Connect (OIDC), и должны иметь возможность выдавать веб-маркеры JSON (JWT) с fhirUser утверждением, azp утверждением или appid scp утверждением с smart в области FHIR версии 1.

Включение дополнительных поставщиков удостоверений с помощью Azure Resource Manager (ARM)

Добавьте элемент в smartIdentityProviders службу authenticationConfiguration FHIR, чтобы включить дополнительные поставщики удостоверений. Элемент smartIdentityProviders необязательный. Если опустить его, служба FHIR использует идентификатор Microsoft Entra для проверки подлинности запросов.

Element Тип Description
smartIdentityProviders array Массив, содержащий до двух конфигураций поставщика удостоверений. Этот элемент является необязательным.
authority строка Центр маркера поставщика удостоверений.
applications array Массив конфигураций приложения ресурсов поставщика удостоверений.
clientId строка Идентификатор приложения ресурсов поставщика удостоверений (клиента).
audience строка Используется для проверки утверждения маркера aud доступа.
allowedDataActions array Массив разрешений, выполняемых приложением ресурсов поставщика удостоверений. 
{
  "properties": {
    "authenticationConfiguration": {
      "authority": "string",
      "audience": "string",
      "smartProxyEnabled": "bool",
      "smartIdentityProviders": [
        {
          "authority": "string",
          "applications": [
            {
              "clientId": "string",
              "audience": "string",
              "allowedDataActions": "array"
            }
          ]
        }
      ]
    }
  }
}

Настройка массива smartIdentityProviders

Если у вас нет поставщиков удостоверений, кроме идентификатора Microsoft Entra, задайте smartIdentityProviders для массива значение NULL или опустите его из запроса подготовки. В противном случае включите хотя бы один допустимый объект конфигурации поставщика удостоверений в массив. Можно настроить до двух дополнительных поставщиков удостоверений.

Укажите authority

Необходимо указать authority строку для каждого настраиваемого поставщика удостоверений. Строка authority — это центр маркеров, который выдает маркеры доступа для поставщика удостоверений. Служба FHIR отклоняет запросы с кодом ошибки, если authority строка является недопустимой 401 Unauthorized или неправильной.

Перед выполнением запроса на подготовку проверьте строку, проверив authority конечную точку конфигурации openid-connect. Добавьте /.well-known/openid-configuration в конец authority строки и вставьте его в браузер. Вы должны увидеть ожидаемую конфигурацию. Если нет, строка имеет проблему.

Пример:

https://yourIdentityProvider.com/authority/v2.0/.well-known/openid-configuration

Настройка массива applications

Необходимо включить по крайней мере одну конфигурацию приложения и добавить до 25 приложений applications в массив. Каждая конфигурация приложения имеет значения, которые проверяют утверждения маркера доступа и массив, определяющий разрешения для приложения для доступа к ресурсам FHIR.

Определение приложения со строкой clientId

Поставщик удостоверений определяет приложение с уникальным идентификатором, который называется строкой clientId (или идентификатором приложения). Служба FHIR проверяет маркер доступа, проверяя authorized party утверждение (azp) или application id (appid) в строке clientId . clientId Если строка и утверждение маркера не совпадают точно, служба FHIR отклоняет запрос с 401 Unauthorized кодом ошибки.

Проверка маркера доступа с audience помощью строки

Утверждение aud в маркере доступа определяет предполагаемого получателя маркера. Строка audience — уникальный идентификатор получателя. Служба FHIR проверяет маркер доступа, проверяя audience строку с утверждением aud . audience Если строка и aud утверждение не совпадают точно, служба FHIR отклоняет запросы с 401 Unauthorized кодом ошибки.

Укажите разрешения для массива allowedDataActions

Включите по крайней allowedDataActions мере одну строку разрешений в массив. Можно включить любые допустимые строки разрешений. Избегайте дубликатов.

Допустимая строка разрешений Description
Читать Разрешает запросы ресурсов GET .

Следующие шаги

Предоставление доступа к службе FHIR с помощью Azure Active Directory B2C

Устранение неполадок с конфигурацией поставщика удостоверений

Примечание.

FHIR® является зарегистрированным товарным знаком HL7 и используется с разрешением HL7 .