Konfigurieren von Azure RBAC für FHIR
In diesem Artikel erfahren Sie, wie Sie mithilfe der rollenbasierten Zugriffssteuerung (Azure Role-Based Access Control, Azure RBAC) zugriff auf die Datenebene azure API for FHIR zuweisen. Azure RBAC ist die bevorzugte Methode zum Zuweisen des Zugriffs auf die Datenebene, wenn Benutzer der Datenebene in dem Azure Active Directory-Mandanten verwaltet werden, der Ihrem Azure-Abonnement zugeordnet ist. Wenn Sie einen externen Azure Active Directory-Mandanten verwenden, lesen Sie die lokale RBAC-Zuweisungsreferenz.
Überprüfen des Azure RBAC-Modus
Um Azure RBAC verwenden zu können, muss Azure API for FHIR so konfiguriert sein, dass Ihr Azure-Abonnementmandant für die Datenebene verwendet wird, und es sollten keine zugewiesenen Identitätsobjekt-IDs vorhanden sein. Sie können Ihre Einstellungen auf dem Blatt Authentifizierung von Azure API for FHIR überprüfen:
Die Autoritative Stelle muss auf den Azure Active Directory-Mandanten festgelegt sein, der Ihrem Abonnement zugeordnet ist, und es dürfen keine GUIDs in dem Feld Zulässige Objekt-IDs vorhanden sein. Sie werden auch feststellen, dass das Feld deaktiviert ist und eine Bezeichnung angibt, dass Azure RBAC zum Zuweisen von Datenebenenrollen verwendet werden soll.
Zuweisen von Rollen
Um Benutzern, Dienstprinzipalen oder Gruppen Zugriff auf die FHIR-Datenebene zu gewähren, wählen Sie Zugriffssteuerung (IAM) und dann Rollenzuweisungen und + Hinzufügen aus:
Suchen Sie im Auswahlfeld Rollen nach einer der integrierten Rollen für die FHIR-Datenebene:
Sie können zwischen folgenden Rollen auswählen:
- FHIR-Datenleser: Kann FHIR-Daten lesen (und durchsuchen).
- FHIR-Datenschreiber: Kann FHIR-Daten lesen, schreiben und vorläufig löschen.
- FHIR-Datenexportierer: Kann Daten lesen und exportieren (
$export-Operator). - Mitwirkender an FHIR-Daten: Kann alle Vorgänge auf Datenebene durchführen.
Suchen Sie im Feld Auswählen nach einem Benutzer, einem Dienstprinzipal oder einer Gruppe, dem bzw. der Sie die Rolle zuweisen möchten.
Hinweis
Stellen Sie sicher, dass die Clientanwendungsregistrierung abgeschlossen ist. Weitere Informationen finden Sie unter Anwendungsregistrierung Wenn der OAuth 2.0-Autorisierungscode-Gewährungstyp verwendet wird, erteilen Sie dem Benutzer dieselbe FHIR-Anwendungsrolle. Wenn der OAuth 2.0-Clientanmeldeinformationen-Gewährungstyp verwendet wird, ist dieser Schritt nicht erforderlich.
Verhalten beim Zwischenspeichern
Die Azure API for FHIR nimmt eine Zwischenspeicherung von Entscheidungen für bis zu fünf Minuten vor. Wenn Sie einem Benutzer Zugriff auf den FHIR-Server gewähren, indem Sie ihn der Liste der zulässigen Objekt-IDs hinzufügen, oder wenn Sie ihn aus der Liste entfernen, sollten Sie davon ausgehen, dass es bis zu fünf Minuten dauert, bis die Berechtigungsänderungen weitergegeben sind.
Nächste Schritte
In diesem Artikel haben Sie erfahren, wie Sie Azure-Rollen für die FHIR-Datenebene zuweisen. Informationen zu Den Konfigurationseinstellungen von Azure API for FHIR finden Sie unter
FHIR® ist eine eingetragene Marke von HL7 und wird mit Genehmigung von HL7 verwendet.