FHIR サービスでクロスオリジン リソース共有を構成する

FHIR サービスでのクロスオリジン リソース共有とは

Azure Health Data Services の FHIR サービス (ここでは FHIR サービスと呼ばれます) では、 クロスオリジン リソース共有 (CORS) がサポートされています。 CORS を使用すると、あるドメイン (オリジン) のアプリケーションが異なるドメインのリソースにアクセスできる ("ドメイン間要求" と呼ばれます) ように、設定を構成することができます。

CORS は、別のドメインへの RESTful API 呼び出しを行う必要のあるシングルページ アプリでよく使用されます。

クロスオリジン リソース共有の構成設定

FHIR サービスで CORS 設定を構成するには、次の設定を指定します。

• [配信元] (Access-Control-Allow-Origin) 。 FHIR サービスにクロスオリジン要求を行うことが許可されているドメインの一覧。 各ドメイン (オリジン) は別々の行に入力する必要があります。 アスタリスク (*) を入力すると任意のドメインからの呼び出しを許可できますが、これにはセキュリティ上のリスクがあるためお勧めしません。

• [ヘッダー] (Access-Control-Allow-Headers) 。 オリジン要求に含められるヘッダーの一覧。 すべてのヘッダーを許可するには、アスタリスク (*) を入力します。

• [方法] (Access-Control-Allow-Methods) 。 API 呼び出しで許可されるメソッド (PUT、GET、POST など)。 すべてのメソッドを選択するには、 [すべて選択] を選択します。

• [最長有効期間] (Access-Control-Max-Age) 。 Access-Control-Allow-Headers および Access-Control-Allow-Methods に対するプリフライト要求の結果をキャッシュするための値 (秒数)。

• [Allow Credentials]\(資格情報の許可\) (Access-Control-Allow-Credentials) 。 CORS 要求には、クロスサイト リクエスト フォージェリ (CSRF) 攻撃を防ぐために、通常 Cookie は含まれていません。 この設定を選択した場合、Cookie などの資格情報を要求に含めることができます。 [配信元] に既にアスタリスク (*) を設定している場合は、この設定を構成できません。

次のステップ

このチュートリアルでは、FHIR サービスで CORS 設定を構成する方法について説明しました。 次に、Touchstone で BLUE Button テスト用の CARIN IG に合格する方法を確認できます。

FHIR® は HL7 の登録商標であり、HL7 の許可を得て使用しています。