你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
为 FHIR 配置 Azure RBAC
重要
Azure API for FHIR 将于 2026 年 9 月 30 日停用。 按照迁移策略在该日期之前转换到 Azure Health Data Services FHIR® 服务。 由于 Azure API for FHIR 停用,在 2025 年 4 月 1 日开始前不会允许新的部署。 Azure Health Data Services FHIR 服务是 Azure API for FHIR 的演化版本,可让客户管理 FHIR、DICOM 和医疗技术服务,并集成到其他 Azure 服务。
本文介绍如何使用 Azure 基于角色的访问控制(Azure RBAC) 来分配对 Azure API for FHIR® 数据平面的访问权限。 Azure RBAC 是在与 Azure 订阅关联的 Microsoft Entra 租户中管理数据平面用户时分配数据平面访问的首选方法。 如果使用外部 Microsoft Entra 租户,请参阅本地 RBAC 分配参考。
确认 Azure RBAC 模式
若要使用 Azure RBAC,必须将 Azure API for FHIR 配置为使用 Azure 订阅租户进行数据平面,并且不应分配标识对象 ID。 可以通过检查 Azure API for FHIR 的身份验证 来验证设置:
颁发 机构 应设置为与订阅关联的Microsoft Entra 租户,并且不应在标记为“允许的对象 ID” 的框中显示任何 GUID。 请注意,该框已禁用,标签指示应使用 Azure RBAC 分配数据平面角色。
分配角色
若要向用户、服务主体或组授予对 FHIR 数据平面的访问权限,请选择 访问控制(IAM),然后选择“ 角色分配 ”,然后选择“ + 添加”。
在“角色”选择中,搜索 FHIR 数据平面的内置角色之一。
可以从以下选项中进行选择。
- FHIR 数据读取器:可以读取(和搜索)FHIR 数据
- FHIR 数据编写器:可以读取、写入和软删除 FHIR 数据
- FHIR 数据导出程序:可以读取和导出(
$export运算符)数据 - FHIR 数据参与者:可以执行所有数据平面操作
在“选择”框中,搜索要为其分配角色的用户、服务主体或组。
注意
请确保客户端应用程序注册已完成。 有关详细信息,请参阅应用程序注册。如果使用 OAuth 2.0 授权代码授予类型,请向用户授予相同的 FHIR 应用程序角色。 如果使用 OAuth 2.0 客户端凭据授予类型,则不需要此步骤。
缓存行为
Azure API for FHIR 缓存最多 5 分钟的决定。 如果将用户添加到允许的对象 ID 列表,从而授予用户对 FHIR 服务器的访问权限,或者将用户从列表中删除,则预计需要 5 分钟的时间来传播权限的变化。
后续步骤
本文介绍了如何为 FHIR 数据平面分配 Azure 角色。 有关如何 Azure API for FHIR 配置设置的信息,请参阅
注意
FHIR® 是 HL7 的注册商标,经 HL7 许可使用。