FHIR 用に Azure RBAC を構成する
重要
Azure API for FHIR は、2026 年 9 月 30 日に廃止されます。 移行戦略に従って、その日までに Azure Health Data Services FHIR® サービスに切り替えてください。 Azure API for FHIR が廃止されたため、2025 年 4 月 1 日以降、新しいデプロイは許可されません。 Azure Health Data Services FHIR サービス は、お客様が他の Azure サービスへの統合を使用して、FHIR、DICOM、および MedTech サービスを管理できるようにする、進化したバージョンの Azure API for FHIR です。
この記事では、 Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、Azure API for FHIR® データ プレーンへのアクセスを割り当てる方法について説明します。 Azure RBAC は、データ プレーン ユーザーが Azure サブスクリプションに関連付けられている Microsoft Entra テナントで管理されている場合に、データ プレーン アクセスを割り当てるための推奨される方法です。 外部の Microsoft Entra テナントを使用している場合は、ローカル RBAC の割り当てに関するリファレンスを参照してください。
Azure RBAC モードの確認
Azure RBAC を使用するには、データ プレーンに Azure サブスクリプション テナントを使用するように Azure API for FHIR を構成する必要があります。また、ID オブジェクト ID が割り当てられていない必要があります。 Azure API for FHIR の Authentication を調べることで、設定を確認できます。
Authorityは、サブスクリプションに関連付けられている Microsoft Entra テナントに設定する必要があります。また、Allowed オブジェクト ID というラベルの付いたボックスに GUID は表示されません。 このボックスは無効になっており、ラベルは Azure RBAC を使用してデータ プレーン ロールを割り当てる必要があることを示しています。
ロールを割り当てる
ユーザー、サービス プリンシパル、またはグループに FHIR データ プレーンへのアクセス権を付与するには、Access control (IAM)を選択し、Role の割り当てを選択し+ 追加を選択します。
[ロール] の選択で、FHIR データ プレーンの組み込みロールのいずれかを検索します。
次の中から選択できます。
- FHIR データ リーダー: FHIR データを読み取り (および検索) できます
- FHIR データ ライター: FHIR データの読み取り、書き込み、および論理的な削除が可能
- FHIR データ エクスポーター: (
$export演算子) データの読み取りとエクスポートが可能 - FHIR データ共同作成者: すべてのデータ プレーン操作を実行できます
[選択] ボックスで、ロールを割り当てるユーザー、サービス プリンシパル、またはグループを検索します。
Note
クライアント アプリケーションの登録が完了していることを確認してください。 アプリケーション登録に関する詳細を参照してください。OAuth 2.0 認可コードの付与タイプを使用する場合は、同じ FHIR アプリケーション ロールをユーザーに付与してください。 OAuth 2.0 クライアント資格情報の付与タイプを使用する場合、この手順は必要ありません。
キャッシュ動作
Azure API for FHIR は、決定を最大 5 分間キャッシュします。 許可されたオブジェクト ID の一覧にユーザーを追加することによって FHIR サーバーへのアクセス権を付与する場合、または一覧から削除する場合は、アクセス許可の変更が反映されるまで最大 5 分かかることが予想されます。
次のステップ
この記事では、FHIR データ プレーンに Azure ロールを割り当てる方法について説明しました。 Azure API for FHIR の構成設定については、次を参照してください
Note
FHIR® は HL7 の登録商標であり、HL7 の許可を得て使用しています。