設定 Azure RBAC for FHIR
重要
Azure API for FHIR 將於 2026 年 9 月 30 日淘汰。 請依照移轉策略,在該日期前轉換至 Azure 健康資料服務 FHIR® 服務。 由於 Azure API for FHIR 已淘汰,因此從 2025 年 4 月 1 日開始,將不允許新的部署。 Azure 健康資料服務 FHIR 服務是 Azure API for FHIR 的進化版本,可讓客戶透過與其他 Azure 服務整合來管理 FHIR、DICOM 和醫療技術服務。
在本文中,您將瞭解如何使用 Azure 角色型訪問控制 (Azure RBAC) 將存取權指派給 Azure API for FHIR® 數據平面。 當數據平面使用者是在與 Azure 訂用帳戶相關聯的 Microsoft Entra 租使用者中管理時,Azure RBAC 是指派數據平面存取的慣用方法。 如果您使用外部 Microsoft Entra 租用戶,請參閱本機 RBAC 指派參考 (部分機器翻譯)。
確認 Azure RBAC 模式
若要使用 Azure RBAC,您的 Azure API for FHIR 必須設定為使用 Azure 訂用帳戶租用戶進行數據平面,而且不應該有指派的身分識別物件標識符。 您可以檢查 Azure API for FHIR 的驗證 來驗證您的設定:
授權 單位 應設定為與您訂用帳戶相關聯的Microsoft Entra 租使用者,且在標示 為 [允許的物件標識符] 方塊中不應該有 GUID。 請注意,此方塊已停用,且標籤指出應該使用 Azure RBAC 來指派數據平面角色。
指派角色
若要將 FHIR 數據平面的存取權授與使用者、服務主體或群組,請選取 [訪問控制][IAM],然後選取 [角色指派],然後選取 [+ 新增]。
在 [角色] 選取項目中,搜尋其中一個 FHIR 資料平面的內建角色。
您可以從下列其中選擇。
- FHIR 數據讀取器:可以讀取 (和搜尋) FHIR 數據
- FHIR 數據寫入器:可以讀取、寫入和虛刪除 FHIR 數據
- FHIR 數據匯出者:可以讀取和匯出 (
$export
操作員) 數據 - FHIR 數據參與者:可執行所有數據平面作業
在 [ 選取 ] 方塊中,搜尋您想要指派角色的用戶、服務主體或群組。
注意
請確定客戶端應用程式註冊已完成。 請參閱應用程式註冊的詳細數據:如果使用 OAuth 2.0 授權碼授與類型,請將相同的 FHIR 應用程式角色授與使用者。 如果使用 OAuth 2.0 用戶端認證授與類型,則不需要此步驟。
快取行為
Azure API for FHIR 快取決策最多 5 分鐘。 如果您將 FHIR 伺服器新增至允許的物件識別符清單,或將他們從清單中移除,則應該需要最多五分鐘的時間,才能傳播許可權的變更。
下一步
在本文中,您已瞭解如何為 FHIR 數據平面指派 Azure 角色。 如需 Azure API for FHIR 組態設定的相關資訊,請參閱
注意
FHIR® 是 HL7 的註冊商標,在 HL7 的許可下使用。