تكوين RBAC المحلي ل FHIR
توضح هذه المقالة كيفية تكوين واجهة برمجة تطبيقات Azure ل FHIR لاستخدام مستأجر Azure Active Directory ثانوي (Azure AD) للوصول إلى البيانات. استخدم هذا الوضع فقط إذا لم يكن من الممكن لك استخدام مستأجر Azure AD المقترن باشتراكك.
ملاحظة
إذا تم تكوين خدمة FHIR لاستخدام مستأجر Azure AD الأساسي المقترن باشتراكك، فاستخدم Azure RBAC لتعيين أدوار مستوى البيانات.
إضافة مدير خدمة جديد أو استخدام مدير خدمة موجود
يسمح لك RBAC المحلي باستخدام مبدأ خدمة في مستأجر Azure AD الثانوي مع خادم FHIR الخاص بك. يمكنك إنشاء أصل خدمة جديد من خلال مدخل Azure أو أوامر PowerShell أو CLI أو استخدام مبدأ خدمة موجود. تعرف العملية أيضا باسم تسجيل الطلب. يمكنك مراجعة مبادئ الخدمة وتعديلها من خلال Azure AD من البوابة الإلكترونية أو باستخدام البرامج النصية.
تقوم البرامج النصية PowerShell وCLI أدناه، والتي يتم اختبارها والتحقق من صحتها في التعليمات البرمجية Visual Studio، بإنشاء مبدأ خدمة جديد (أو تطبيق عميل)، وإضافة سر عميل. يتم استخدام معرف الخدمة الرئيسي ل RBAC المحلي وسيتم استخدام معرف التطبيق وسر العميل للوصول إلى خدمة FHIR لاحقا.
يمكنك استخدام Az وحدة PowerShell:
$appname="xxx"
$sp= New-AzADServicePrincipal -DisplayName $appname
$clientappid=sp.ApplicationId
$spid=$sp.Id
#Get client secret which is not visible from the portal
$clientsecret=ConvertFrom-SecureString -SecureString $sp.Secret -AsPlainText
أو يمكنك استخدام Azure CLI:
appname=xxx
clientappid=$(az ad app create --display-name $appname --query appId --output tsv)
spid=$(az ad sp create --id $appid --query objectId --output tsv)
#Add client secret with expiration. The default is one year.
clientsecretname=mycert2
clientsecretduration=2
clientsecret=$(az ad app credential reset --id $appid --append --credential-description $clientsecretname --years $clientsecretduration --query password --output tsv)
تكوين RBAC المحلي
يمكنك تكوين واجهة برمجة تطبيقات Azure ل FHIR لاستخدام مستأجر Azure Active Directory ثانوي في شفرة المصادقة :
في المربع السلطة، أدخل مستأجر Azure Active Directory ثانوي صالح. بمجرد التحقق من صحة المستأجر، يجب تنشيط المربع معرفات الكائنات المسموح بها ويمكنك إدخال واحد أو قائمة بمعرفات الكائنات الرئيسية لخدمة Azure AD. يمكن أن تكون هذه المعرفات معرفات كائن الهوية الخاصة بما يلي:
- A Azure Active Directory user.
- أساس خدمة Azure Active Directory.
- A Azure Active directory security group.
يمكنك قراءة المقالة حول كيفية العثور على معرفات كائنات الهوية لمزيد من التفاصيل.
بعد إدخال معرفات كائنات Azure AD المطلوبة، حدد حفظ وانتظر حتى يتم حفظ التغييرات قبل محاولة الوصول إلى مستوى البيانات باستخدام المستخدمين المعينين أو مديري الخدمات أو المجموعات. يتم منح معرفات الكائنات مع كافة الأذونات، وهو ما يعادل دور "مساهم بيانات FHIR".
يكون إعداد RBAC المحلي مرئيا فقط من شفرة المصادقة. غير مرئي من الشفرة الخادمة للتحكم في الوصول (IAM).
ملاحظة
يتم دعم مستأجر واحد فقط ل RBAC أو RBAC المحلي. لتعطيل وظيفة RBAC المحلية، يمكنك تغييرها مرة أخرى إلى المستأجر الصالح (أو المستأجر الأساسي) المقترن باشتراكك، وإزالة كافة معرفات كائنات Azure AD في المربع "معرفات الكائنات المسموح بها".
سلوك التخزين المؤقت
ستقوم واجهة برمجة تطبيقات Azure ل FHIR بتخزين القرارات مؤقتا لمدة تصل إلى 5 دقائق. إذا قمت بمنح مستخدم حق الوصول إلى خادم FHIR عن طريق إضافته إلى قائمة معرفات الكائنات المسموح بها، أو قمت بإزالتها من القائمة، فيجب أن تتوقع أن يستغرق الأمر ما يصل إلى خمس دقائق حتى يتم نشر التغييرات في الأذونات.
الخطوات التالية
في هذه المقالة، تعلمت كيفية تعيين الوصول إلى مستوى بيانات FHIR باستخدام مستأجر Azure Active Directory خارجي (ثانوي). تعرف بعد ذلك على الإعدادات الإضافية لواجهة برمجة تطبيقات Azure ل FHIR: