Configuración de RBAC local para FHIR

En este artículo se explica cómo configurar Azure API for FHIR® para usar un inquilino secundario de Microsoft Entra para el acceso a datos. Use este modo solo si no es posible usar el inquilino de Microsoft Entra asociado a su suscripción.

Agregar una nueva entidad de servicio o usar una existente

El control de acceso basado en rol local (RBAC) permite usar una entidad de servicio en el inquilino secundario de Microsoft Entra con el servidor FHIR. Puede crear una nueva entidad de servicio a través de Azure Portal, powerShell o comandos de la CLI, o bien usar una entidad de servicio existente. El proceso también se conoce como registro de aplicaciones. Puede revisar y modificar las entidades de servicio a través de Microsoft Entra ID desde el portal o mediante scripts.

Los siguientes scripts de PowerShell y la CLI, que se prueban y validan en Visual Studio Code, crean una nueva entidad de servicio (o aplicación cliente) y agregan un secreto de cliente. El identificador de la entidad de servicio se usa para RBAC local y el identificador de aplicación y el secreto de cliente se usa para acceder al servicio FHIR más adelante.

Puede usar el Az módulo de PowerShell:

$appname="xxx"
$sp= New-AzADServicePrincipal -DisplayName $appname
$clientappid=sp.ApplicationId
$spid=$sp.Id
#Get client secret which is not visible from the portal
$clientsecret=ConvertFrom-SecureString -SecureString $sp.Secret -AsPlainText

O bien puede usar la CLI de Azure:

appname=xxx
clientappid=$(az ad app create --display-name $appname --query appId --output tsv)
spid=$(az ad sp create --id $appid --query objectId --output tsv)
#Add client secret with expiration. The default is one year.
clientsecretname=mycert2
clientsecretduration=2
clientsecret=$(az ad app credential reset --id $appid --append --credential-description $clientsecretname --years $clientsecretduration --query password --output tsv)

Configuración de RBAC local

Puede configurar Azure API for FHIR para usar un inquilino secundario de Microsoft Entra en la hoja Autenticación .

En el cuadro de autoridad, escriba un inquilino de Microsoft Entra secundario válido. Una vez validado el inquilino, se debe activar el cuadro Identificadores de objeto permitidos y puede escribir uno o una lista de identificadores de objeto de entidad de servicio de Microsoft Entra. Estos identificadores pueden ser los identificadores de objeto de identidad de:

• Un usuario de Microsoft Entra.
• Una entidad de servicio de Microsoft Entra.
• Un grupo de seguridad de Microsoft Entra.

Puede leer el artículo sobre la búsqueda de identificadores de objetos de identidad para obtener más detalles.

Después de escribir los identificadores de objeto de Microsoft Entra necesarios, seleccione Guardar y espere a que se guarden los cambios antes de intentar acceder al plano de datos mediante los usuarios, entidades de servicio o grupos asignados. Los identificadores de objeto se conceden con todos los permisos, un equivalente del rol "Colaborador de datos FHIR".

La configuración de RBAC local solo es visible desde la hoja de autenticación; no está visible en la hoja Control de acceso (IAM).

Comportamiento del almacenamiento en caché

Azure API for FHIR almacena en caché las decisiones durante un máximo de 5 minutos. Si concede a un usuario acceso al servidor de FHIR al agregarlo a la lista de identificadores de objeto permitidos, o lo quita de la lista, debe dejar hasta cinco minutos para que se propaguen los cambios de permisos.

Pasos siguientes

En este artículo, ha aprendido a asignar acceso al plano de datos de FHIR mediante un inquilino externo (secundario) de Microsoft Entra. A continuación, obtenga información sobre la configuración adicional de Azure API for FHIR.