Lokale RBAC voor FHIR configureren
In dit artikel wordt uitgelegd hoe u de Azure API for FHIR configureert voor het gebruik van een secundaire Azure Active Directory-tenant (Azure AD) voor gegevenstoegang. Gebruik deze modus alleen als het niet mogelijk is om de Azure AD tenant te gebruiken die is gekoppeld aan uw abonnement.
Notitie
Als uw FHIR-service is geconfigureerd voor het gebruik van uw primaire Azure AD tenant die is gekoppeld aan uw abonnement, gebruikt u Azure RBAC om gegevensvlakrollen toe te wijzen.
Een nieuwe service-principal toevoegen of een bestaande gebruiken
Met lokale RBAC kunt u een service-principal gebruiken in de secundaire Azure AD tenant met uw FHIR-server. U kunt een nieuwe service-principal maken via de Azure Portal-, PowerShell- of CLI-opdrachten of een bestaande service-principal gebruiken. Het proces wordt ook wel toepassingsregistratie genoemd. U kunt de service-principals bekijken en wijzigen via Azure AD vanuit de portal of met behulp van scripts.
De onderstaande PowerShell- en CLI-scripts, die worden getest en gevalideerd in Visual Studio Code, maken een nieuwe service-principal (of clienttoepassing) en voegen een clientgeheim toe. De service-principal-id wordt gebruikt voor lokale RBAC en de toepassings-id en het clientgeheim worden later gebruikt voor toegang tot de FHIR-service.
U kunt de Az PowerShell-module gebruiken:
$appname="xxx"
$sp= New-AzADServicePrincipal -DisplayName $appname
$clientappid=sp.ApplicationId
$spid=$sp.Id
#Get client secret which is not visible from the portal
$clientsecret=ConvertFrom-SecureString -SecureString $sp.Secret -AsPlainText
Of u kunt Azure CLI gebruiken:
appname=xxx
clientappid=$(az ad app create --display-name $appname --query appId --output tsv)
spid=$(az ad sp create --id $appid --query objectId --output tsv)
#Add client secret with expiration. The default is one year.
clientsecretname=mycert2
clientsecretduration=2
clientsecret=$(az ad app credential reset --id $appid --append --credential-description $clientsecretname --years $clientsecretduration --query password --output tsv)
Lokale RBAC configureren
U kunt de Azure API for FHIR configureren voor het gebruik van een secundaire Azure Active Directory-tenant op de blade Verificatie :
Voer in het instantievak een geldige secundaire Azure Active Directory-tenant in. Zodra de tenant is gevalideerd, moet het vak Toegestane object-id's worden geactiveerd en kunt u een of een lijst met Azure AD service-principalobject-id's invoeren. Deze id's kunnen de id's van het identiteitsobject zijn van:
- Een Azure Active Directory-gebruiker.
- Een service-principal voor Azure Active Directory.
- Een Azure Active Directory-beveiligingsgroep.
Lees het artikel over het zoeken naar id's van identiteitsobjecten voor meer informatie.
Nadat u de vereiste Azure AD object-id's hebt ingevoerd, selecteert u Opslaan en wacht u tot wijzigingen zijn opgeslagen voordat u toegang probeert te krijgen tot het gegevensvlak met behulp van de toegewezen gebruikers, service-principals of groepen. De object-id's worden verleend met alle machtigingen, een equivalent van de rol FHIR-gegevensbijdrager.
De lokale RBAC-instelling is alleen zichtbaar op de verificatieblade; deze is niet zichtbaar vanaf de blade Access Control (IAM).
Notitie
Er wordt slechts één tenant ondersteund voor RBAC of lokale RBAC. Als u de lokale RBAC-functie wilt uitschakelen, kunt u deze weer wijzigen in de geldige tenant (of primaire tenant) die is gekoppeld aan uw abonnement en alle Azure AD object-id's verwijderen in het vak Toegestane object-id's.
Cachegedrag
De Azure API for FHIR slaat beslissingen maximaal 5 minuten in de cache op. Als u een gebruiker toegang verleent tot de FHIR-server door deze toe te voegen aan de lijst met toegestane object-id's, of als u deze uit de lijst verwijdert, kan het maximaal vijf minuten duren voordat wijzigingen in machtigingen zijn doorgegeven.
Volgende stappen
In dit artikel hebt u geleerd hoe u FHIR-gegevensvlaktoegang toewijst met behulp van een externe (secundaire) Azure Active Directory-tenant. Hierna vindt u meer informatie over aanvullende instellingen voor de Azure API for FHIR:
FHIR® is een gedeponeerd handelsmerk van HL7 en wordt gebruikt met de toestemming van HL7.