Registro de las aplicaciones de Microsoft Entra para Azure API for FHIR

Importante

Azure API for FHIR se retirará el 30 de septiembre de 2026. Siga las estrategias de migración para realizar la transición a servicio FHIR® de Azure Health Data Services en esa fecha. Debido a la retirada de Azure API for FHIR, no se permitirán nuevas implementaciones a partir del 1 de abril de 2025. El servicio FHIR de Azure Health Data Services es la versión evolucionada de la API de Azure para FHIR que permite a los clientes administrar FHIR, DICOM y los servicios de tecnologías médicas con integraciones en otros servicios de Azure.

Hay varias opciones de configuración para elegir al configurar Azure API for FHIR® o FHIR Server for Azure (OSS). Para código abierto, tendrá que crear su propio registro de aplicación de recursos. En el caso de Azure API for FHIR, esta aplicación de recursos se crea automáticamente.

Registros de aplicación

Para que una aplicación interactúe con Microsoft Entra ID, es necesario registrarla. En el contexto de FHIR Server, hay dos tipos de registros de aplicaciones que se deben analizar:

  1. Registros de aplicaciones de recursos.
  2. Registros de aplicaciones cliente.

Las aplicaciones de recursos son representaciones en Microsoft Entra ID de una API o recurso que está protegido con Microsoft Entra ID. Aquí se describe Azure API for FHIR. Una aplicación de recursos para Azure API for FHIR se crea automáticamente al aprovisionar el servicio. Si usa el servidor de código abierto, debe registrar una aplicación de recursos en Microsoft Entra ID. Esta aplicación de recursos tiene un identificador URI. Se recomienda que este URI sea el mismo que el del servidor de FHIR. Este URI debe usarse como Audience para el servidor de FHIR. Una aplicación cliente puede solicitar acceso a este servidor de FHIR cuando solicita un token.

Las aplicaciones cliente son registros de los clientes que van a solicitar tokens. En OAuth 2.0 distinguimos entre al menos tres tipos diferentes de aplicaciones:

  1. Clientes confidenciales, también conocidos como aplicaciones web en Microsoft Entra ID. Los clientes confidenciales son aplicaciones que usan flujo de código de autorización para obtener un token en nombre de un usuario con la sesión iniciada mediante la presentación de credenciales válidas. Se denominan clientes confidenciales porque pueden contener un secreto y presentarán este secreto a Microsoft Entra ID al intercambiar el código de autenticación de un token. Dado que los clientes confidenciales pueden autenticarse a sí mismos mediante el secreto de cliente, son de mayor confianza que los clientes públicos y pueden tener tokens de mayor duración y se les puede conceder un token de actualización. Lea los detalles sobre cómo registrar un cliente confidencial. Nota: es importante registrar la dirección URL de respuesta en la que el cliente va a recibir el código de autorización.
  2. Clientes públicos. Se trata de clientes que no pueden contener un secreto. Normalmente se trata de una aplicación de dispositivo móvil o una aplicación de página única de JavaScript, donde un usuario podría detectar un secreto en el cliente. Los clientes públicos también usan el flujo de código de autorización. Sin embargo, no se les permite presentar un secreto al obtener un token y pueden tener tokens de duración más corta y ningún token de actualización. Lea los detalles sobre cómo registrar un cliente público.
  3. Clientes de servicio. Estos clientes obtienen tokens en nombre de ellos mismos (no en nombre de un usuario) mediante el flujo de credenciales de cliente. Normalmente representan aplicaciones que acceden al servidor de FHIR de forma no interactiva. Un ejemplo podría ser un proceso de ingesta. Cuando se usa un cliente de servicio, no es necesario iniciar el proceso de obtención de un token con una llamada al punto de conexión de /authorize. Un cliente de servicio puede ir directamente al punto de conexión de /token y presentar el identificador y el secreto de cliente para obtener un token. Lea los detalles sobre cómo registrar un cliente de servicio.

Pasos siguientes

En esta información general, ha revisado los tipos de registros de aplicaciones que puede necesitar para trabajar con una API de FHIR.

En función de la configuración, consulte las guías de procedimientos para registrar las aplicaciones:

Una vez registradas las aplicaciones, puede implementar Azure API for FHIR.

Nota:

FHIR® es una marca registrada de HL7 y se usa con su permiso.