Registrieren der Azure Active Directory-Apps für Azure API for FHIR

Ihnen stehen verschiedene Konfigurationsoptionen zur Verfügung, wenn Sie Azure API for FHIR oder den FHIR-Server für Azure (OSS) einrichten. Für Open Source müssen Sie Ihre eigene Ressourcenanwendungsregistrierung erstellen. Für Azure API for FHIR wird diese Ressourcenanwendung automatisch erstellt.

Anwendungsregistrierungen

Damit eine Anwendung mit Azure AD interagieren kann, muss sie registriert werden. Im Kontext des FHIR-Servers gibt es zwei relevante Arten von Anwendungsregistrierungen:

1. Ressourcenanwendungsregistrierungen
2. Clientanwendungsregistrierungen

Bei Ressourcenanwendungen handelt es sich um Azure AD-Darstellungen einer durch Azure AD geschützten API oder Ressource. (In diesem Fall ist das Azure API for FHIR.) Eine Ressourcenanwendung für Azure API for FHIR wird automatisch erstellt, wenn Sie den Dienst bereitstellen. Bei Verwendung des Open-Source-Servers müssen Sie allerdings eine Ressourcenanwendung in Azure AD registrieren. Diese Ressourcenanwendung verfügt über einen Bezeichner-URI. Dieser URI sollte dem URI des FHIR-Servers entsprechen. Der URI muss als Zielgruppe (Audience) für den FHIR-Server verwendet werden. Von einer Clientanwendung kann Zugriff auf diesen FHIR-Server angefordert werden, wenn von ihr ein Token angefordert wird.

Bei Clientanwendungen handelt es sich um Registrierungen der Clients, von denen Token angefordert werden. Im Kontext von OAuth 2.0 wird häufig zwischen mindestens drei verschiedenen Anwendungsarten unterschieden:

1. Vertrauliche Clients, in Azure AD auch bekannt als Web-Apps: Vertrauliche Clients sind Anwendungen, von denen der Autorisierungscodeflow verwendet wird, um im Namen eines angemeldeten Benutzers mit gültigen Anmeldeinformationen ein Token zu beziehen. Sie werden als vertrauliche Clients bezeichnet, da sie ein Geheimnis enthalten können und dieses Geheimnis Azure AD beim Austauschen des Authentifizierungscodes gegen ein Token präsentieren. Da vertrauliche Clients sich mithilfe des geheimen Clientschlüssels authentifizieren können, sind sie mehr vertrauenswürdig als öffentliche Clients und können über längerlebige Token verfügen und ein Aktualisierungstoken erhalten. Ausführliche Informationen zur Registrierung eines vertraulichen Clients finden Sie hier. Beachten Sie, dass es wichtig ist, die Antwort-URL zu registrieren, unter der der Client den Autorisierungscode empfängt.
2. Öffentliche Clients: Dies sind Clients, die kein Geheimnis behalten können. In der Regel handelt es sich hierbei um Anwendungen für mobile Geräte oder um Single-Page-JavaScript-Webanwendungen, bei denen ein Geheimnis im Client von einem Benutzer entdeckt werden kann. Öffentliche Clients verwenden auch den Autorisierungscodeflow, aber sie dürfen beim Abrufen eines Tokens kein Geheimnis präsentieren, und sie verfügen möglicherweise über kürzere Token und kein Aktualisierungstoken. Ausführliche Informationen zur Registrierung eines öffentlichen Clients finden Sie hier.
3. Dienstclients: Diese Clients beziehen Token mithilfe des Clientanmeldeinformations-Flows für sich selbst (nicht im Namen eines Benutzers). In der Regel handelt es sich hierbei um Anwendungen, von denen auf nicht interaktive Weise auf den FHIR-Server zugegriffen wird. Ein Beispiel wäre etwa ein Erfassungsprozess. Bei Verwendung eines Dienstclients ist es nicht erforderlich, den Prozess zum Abrufen eines Tokens mit einem Aufruf des /authorize Endpunkts zu starten. Ein Dienstclient kann direkt den Endpunkt /token kontaktieren und die Client-ID sowie den geheimen Clientschlüssel angeben, um ein Token zu beziehen. Ausführliche Informationen zur Registrierung eines Dienstclients finden Sie hier.

Nächste Schritte

In dieser Übersicht wurden die Arten von Anwendungsregistrierungen vorgestellt, die ggf. für die Verwendung einer FHIR-API benötigt werden.

Lesen Sie basierend auf Ihrer Einrichtung die Anleitungen, um Ihre Anwendungen zu registrieren:

• Registrieren einer Ressourcenanwendung in Azure Active Directory
• Registrieren einer vertraulichen Clientanwendung in Azure Active Directory
• Registrieren einer öffentlichen Clientanwendung in Azure Active Directory
• Registrieren einer Dienstclientanwendung in Azure Active Directory

Nachdem Sie Ihre Anwendungen registriert haben, können Sie Azure API for FHIR bereitstellen.

FHIR® ist eine eingetragene Marke von HL7 und wird mit Genehmigung von HL7 verwendet.