Configuración de RBAC de Azure para FHIR

Importante

Azure API for FHIR se retirará el 30 de septiembre de 2026. Siga las estrategias de migración para realizar la transición a servicio FHIR® de Azure Health Data Services en esa fecha. Debido a la retirada de Azure API for FHIR, no se permitirán nuevas implementaciones a partir del 1 de abril de 2025. El servicio FHIR de Azure Health Data Services es la versión evolucionada de la API de Azure para FHIR que permite a los clientes administrar FHIR, DICOM y los servicios de tecnologías médicas con integraciones en otros servicios de Azure.

En este artículo, aprenderá a usar el control de acceso basado en rol de Azure (RBAC de Azure) para asignar acceso al plano de datos de Azure API for FHIR®. RBAC de Azure es los métodos preferidos para asignar acceso al plano de datos cuando los usuarios del plano de datos se administran en el inquilino de Microsoft Entra asociado a la suscripción de Azure. Si usa un inquilino externo de Microsoft Entra, consulte la referencia local de asignación de RBAC.

Confirmación del modo RBAC de Azure

Para usar Azure RBAC, azure API for FHIR debe configurarse para usar el inquilino de suscripción de Azure para el plano de datos y no debe haber identificadores de objeto de identidad asignados. Para comprobar la configuración, inspeccione la autenticación de azure API for FHIR:

Confirmación del modo RBAC de Azure

La entidad debe establecerse en el inquilino de Microsoft Entra asociado a su suscripción y no debe haber GUID en el cuadro con la etiqueta Id. de objeto permitido. Observe que el cuadro está deshabilitado y una etiqueta indica que se debe usar RBAC de Azure para asignar roles de plano de datos.

Asignación de roles

Para conceder a los usuarios, entidades de servicio o grupos acceso al plano de datos de FHIR, seleccione Control de acceso (IAM) y, a continuación , seleccione Asignaciones de roles y seleccione + Agregar.

Agregar asignación de roles de Azure

En la selección de Rol, busque uno de los roles integrados para el plano de datos de FHIR.

Roles de datos de FHIR integrados

Puede elegir entre los siguientes.

  • Lector de datos de FHIR: puede leer (y buscar) datos de FHIR
  • FHIR Data Writer: puede leer, escribir y eliminar datos de FHIR
  • Exportador de datos de FHIR: puede leer y exportar datos ($export operador)
  • Colaborador de datos de FHIR: puede realizar todas las operaciones del plano de datos

En el cuadro Seleccionar, busque un usuario, una entidad de servicio o un grupo al que quiera asignar el rol.

Nota:

Asegúrese de que se ha completado el registro de la aplicación cliente. Consulte los detalles sobre el registro de aplicaciones. Si se usa el tipo de concesión de código de autorización de OAuth 2.0, conceda el mismo rol de aplicación FHIR al usuario. Si se usa el tipo de concesión de credenciales de cliente de OAuth 2.0, este paso no es necesario.

Comportamiento del almacenamiento en caché

Azure API for FHIR almacena en caché las decisiones durante un máximo de 5 minutos. Si concede a un usuario acceso al servidor de FHIR al agregarlo a la lista de identificadores de objeto permitidos, o lo quita de la lista, debe dejar hasta cinco minutos para que se propaguen los cambios de permisos.

Pasos siguientes

En este artículo aprendió a asignar roles de Azure para el plano de datos de FHIR. Para obtener información sobre las opciones de configuración de Azure API for FHIR, consulte lo siguiente

Nota:

FHIR® es una marca registrada de HL7 y se usa con su permiso.