FHIR için yerel RBAC'yi yapılandırma
Bu makalede, FHIR için Azure API'sinin veri erişimi için ikincil bir Azure Active Directory (Azure AD) kiracısı kullanacak şekilde nasıl yapılandırılır açıklanmaktadır. Bu modu yalnızca aboneliğinizle ilişkili Azure AD kiracısını kullanmanız mümkün değilse kullanın.
Not
FHIR hizmetiniz aboneliğinizle ilişkili birincil Azure AD kiracınızı kullanacak şekilde yapılandırılmışsa, veri düzlemi rolleri atamak için Azure RBAC'yi kullanın.
Yeni hizmet sorumlusu ekleme veya mevcut hizmet sorumlusunu kullanma
Yerel RBAC, FHIR sunucunuzla ikincil Azure AD kiracıda bir hizmet sorumlusu kullanmanıza olanak tanır. Azure portal, PowerShell veya CLI komutları aracılığıyla yeni bir hizmet sorumlusu oluşturabilir veya mevcut bir hizmet sorumlusunu kullanabilirsiniz. İşlem, uygulama kaydı olarak da bilinir. Portaldan Azure AD aracılığıyla veya betikleri kullanarak hizmet sorumlularını gözden geçirebilir ve değiştirebilirsiniz.
Aşağıdaki PowerShell ve CLI betikleri test edilip Visual Studio Code doğrulanır, yeni bir hizmet sorumlusu (veya istemci uygulaması) oluşturur ve bir istemci gizli dizisi ekler. Hizmet sorumlusu kimliği yerel RBAC için kullanılır ve daha sonra FHIR hizmetine erişmek için uygulama kimliği ve istemci gizli dizisi kullanılır.
PowerShell modülünü Az kullanabilirsiniz:
$appname="xxx"
$sp= New-AzADServicePrincipal -DisplayName $appname
$clientappid=sp.ApplicationId
$spid=$sp.Id
#Get client secret which is not visible from the portal
$clientsecret=ConvertFrom-SecureString -SecureString $sp.Secret -AsPlainText
veya Azure CLI kullanabilirsiniz:
appname=xxx
clientappid=$(az ad app create --display-name $appname --query appId --output tsv)
spid=$(az ad sp create --id $appid --query objectId --output tsv)
#Add client secret with expiration. The default is one year.
clientsecretname=mycert2
clientsecretduration=2
clientsecret=$(az ad app credential reset --id $appid --append --credential-description $clientsecretname --years $clientsecretduration --query password --output tsv)
Yerel RBAC’yi yapılandırma
FHIR için Azure API'sini , Kimlik Doğrulaması dikey penceresinde ikincil bir Azure Active Directory kiracısı kullanacak şekilde yapılandırabilirsiniz:
Yetkili kutusuna geçerli bir ikincil Azure Active Directory kiracısı girin. Kiracı doğrulandıktan sonra İzin verilen nesne kimlikleri kutusu etkinleştirilmelidir ve Azure AD hizmet sorumlusu nesne kimliklerinden birini veya listesini girebilirsiniz. Bu kimlikler, kimlik nesnesi kimlikleri olabilir:
- Azure Active Directory kullanıcısı.
- Azure Active Directory hizmet sorumlusu.
- Bir Azure Active Directory güvenlik grubu.
Daha fazla ayrıntı için kimlik nesnesi kimliklerini bulma makalesini okuyabilirsiniz.
Gerekli Azure AD nesne kimliklerini girdikten sonra Kaydet'i seçin ve atanan kullanıcıları, hizmet sorumlularını veya grupları kullanarak veri düzlemine erişmeye çalışmadan önce değişikliklerin kaydedilmesini bekleyin. Nesne kimliklerine "FHIR Veri Katılımcısı" rolünün eşdeğeri olan tüm izinlerle verilir.
Yerel RBAC ayarı yalnızca kimlik doğrulama dikey penceresinde görünür; Access Control (IAM) dikey penceresinde görünmez.
Not
RBAC veya yerel RBAC için yalnızca tek bir kiracı desteklenir. Yerel RBAC işlevini devre dışı bırakmak için, bunu aboneliğinizle ilişkili geçerli kiracı (veya birincil kiracı) olarak değiştirebilir ve "İzin verilen nesne kimlikleri" kutusundaki tüm Azure AD nesne kimliklerini kaldırabilirsiniz.
Önbelleğe alma davranışı
FHIR için Azure API,5 dakikaya kadar kararları önbelleğe alır. Bir kullanıcıya izin verilen nesne kimlikleri listesine ekleyerek FHIR sunucusuna erişim izni verirseniz veya bunları listeden kaldırırsanız, izinlerdeki değişikliklerin yayılmasının beş dakika kadar sürmesini beklemeniz gerekir.
Sonraki adımlar
Bu makalede, bir dış (ikincil) Azure Active Directory kiracısı kullanarak FHIR veri düzlemi erişimi atamayı öğrendiniz. Daha sonra FHIR için Azure API'sinin ek ayarları hakkında bilgi edinin:
FHIR®, HL7'nin tescilli ticari markasıdır ve HL7 izniyle kullanılır.