設定 Azure RBAC for FHIR
在本文中,您將瞭解如何使用 Azure 角色型存取控制 (Azure RBAC) ,將存取權指派給 Azure API for FHIR 資料平面。 當資料平面使用者在與 Azure 訂用帳戶相關聯的 Azure Active Directory 租使用者中管理時,Azure RBAC 是指派資料平面存取的慣用方法。 如果您使用外部 Azure Active Directory 租使用者,請參閱 本機 RBAC 指派參考。
確認 Azure RBAC 模式
若要使用 Azure RBAC,您的 Azure API for FHIR 必須設定為使用 Azure 訂用帳戶租使用者進行資料平面,而且不應該有指派的身分識別物件識別碼。 您可以檢查 Azure API for FHIR 的 [ 驗證 ] 刀鋒視窗來驗證您的設定:
授權單位應設定為與您訂用帳戶相關聯的 Azure Active Directory 租使用者,而且在標示為[允許的物件識別碼] 方塊中不應該有 GUID。 您也會注意到方塊已停用,且標籤指出應該使用 Azure RBAC 來指派資料平面角色。
指派角色
若要將 FHIR 資料平面的存取權授與使用者、服務主體或群組,請選取 [存取控制 (IAM) ],然後選取 [ 角色指派 ],然後選取 [+ 新增]:
在 [ 角色 ] 選取專案中,搜尋 FHIR 資料平面的其中一個內建角色:
您可以選擇:
- FHIR 資料讀取器:可以讀取 (和搜尋) FHIR 資料。
- FHIR 資料寫入器:可以讀取、寫入和虛刪除 FHIR 資料。
- FHIR 資料匯出工具:可以讀取和匯出 (
$export運算子) 資料。 - FHIR 資料參與者:可以執行所有資料平面作業。
在 [ 選取] 方塊中,搜尋您想要指派角色的使用者、服務主體或群組。
注意
請確定用戶端應用程式註冊已完成。 請參閱 應用程式註冊 的詳細資料:如果使用 OAuth 2.0 授權碼授與類型,請將相同的 FHIR 應用程式角色授與使用者。 如果使用 OAuth 2.0 用戶端認證授與類型,則不需要此步驟。
快取行為
Azure API for FHIR 最多會快取 5 分鐘的決策。 如果您將 FHIR 伺服器的存取權新增至允許的物件識別碼清單,或從清單中移除它們,您應該預期最多需要五分鐘的時間才能傳播許可權變更。
下一步
在本文中,您已瞭解如何為 FHIR 資料平面指派 Azure 角色。 如需 Azure API for FHIR 組態設定的相關資訊,請參閱
FHIR® 是 HL7 的注冊商標,可與 HL7 的許可權搭配使用。