Configurare il controllo degli accessi in base al ruolo locale per FHIR
Questo articolo illustra come configurare l'API di Azure per FHIR per usare un tenant di Azure Active Directory (Azure AD) secondario per l'accesso ai dati. Usare questa modalità solo se non è possibile usare il tenant di Azure AD associato alla sottoscrizione.
Nota
Se il servizio FHIR è configurato per usare il tenant di Azure AD primario associato alla sottoscrizione, usare Il controllo degli accessi in base al ruolo di Azure per assegnare i ruoli del piano dati.
Aggiungere una nuova entità servizio o usare una esistente
Il controllo degli accessi in base al ruolo locale consente di usare un'entità servizio nel tenant di Azure AD secondario con il server FHIR. È possibile creare una nuova entità servizio tramite i comandi portale di Azure, PowerShell o interfaccia della riga di comando oppure usare un'entità servizio esistente. Il processo è noto anche come registrazione dell'applicazione. È possibile esaminare e modificare le entità servizio tramite Azure AD dal portale o usando script.
Gli script di PowerShell e dell'interfaccia della riga di comando seguenti, testati e convalidati in Visual Studio Code, creano una nuova entità servizio (o applicazione client) e aggiungono un segreto client. L'ID dell'entità servizio viene usato per il controllo degli accessi in base al ruolo locale e l'ID applicazione e il segreto client verranno usati per accedere al servizio FHIR in un secondo momento.
È possibile usare il Az modulo di PowerShell:
$appname="xxx"
$sp= New-AzADServicePrincipal -DisplayName $appname
$clientappid=sp.ApplicationId
$spid=$sp.Id
#Get client secret which is not visible from the portal
$clientsecret=ConvertFrom-SecureString -SecureString $sp.Secret -AsPlainText
oppure è possibile usare l'interfaccia della riga di comando di Azure:
appname=xxx
clientappid=$(az ad app create --display-name $appname --query appId --output tsv)
spid=$(az ad sp create --id $appid --query objectId --output tsv)
#Add client secret with expiration. The default is one year.
clientsecretname=mycert2
clientsecretduration=2
clientsecret=$(az ad app credential reset --id $appid --append --credential-description $clientsecretname --years $clientsecretduration --query password --output tsv)
Configurare Controllo degli accessi in base al ruolo locale
È possibile configurare l'API di Azure per FHIR per usare un tenant di Azure Active Directory secondario nel pannello Autenticazione :
Nella casella autorità immettere un tenant secondario di Azure Active Directory valido. Dopo aver convalidato il tenant, la casella ID oggetto consentito deve essere attivata e è possibile immettere uno o un elenco di ID oggetto dell'entità servizio Di Azure AD. Questi ID possono essere gli ID dell'oggetto identity di:
- Utente di Azure Active Directory.
- Un'entità servizio di Azure Active Directory.
- Gruppo di sicurezza di Azure Active Directory.
Per altre informazioni, vedere l'articolo su come trovare gli ID dell'oggetto Identity .
Dopo aver immesso gli ID oggetto Azure AD necessari, selezionare Salva e attendere che le modifiche vengano salvate prima di provare ad accedere al piano dati usando gli utenti, le entità servizio o i gruppi assegnati. Gli ID oggetto vengono concessi con tutte le autorizzazioni, un equivalente del ruolo "Collaboratore dati FHIR".
L'impostazione RBAC locale è visibile solo dal pannello di autenticazione; non è visibile dal pannello Controllo di accesso (IAM).
Nota
Solo un singolo tenant è supportato per il controllo degli accessi in base al ruolo o per il controllo degli accessi in base al ruolo locale. Per disabilitare la funzione RBAC locale, è possibile modificarla nuovamente nel tenant valido (o tenant primario) associato alla sottoscrizione e rimuovere tutti gli ID oggetto Azure AD nella casella "ID oggetto consentiti".
Comportamento di memorizzazione nella cache
L'API di Azure per FHIR memorizza nella cache le decisioni per un massimo di 5 minuti. Se si concede a un utente l'accesso al server FHIR aggiungendoli all'elenco degli ID oggetto consentiti o rimuovendoli dall'elenco, è necessario che il server di modifica delle modifiche nelle autorizzazioni venga propagato fino a cinque minuti.
Passaggi successivi
In questo articolo si è appreso come assegnare l'accesso al piano dati FHIR usando un tenant di Azure Active Directory esterno (secondario). Informazioni sulle impostazioni aggiuntive per l'API di Azure per FHIR:
FHIR® è un marchio registrato di HL7 e viene usato con l'autorizzazione HL7.