首頁 資訊 Azure Health Data Services 中的驗(yàn)證和授權(quán)

Azure Health Data Services 中的驗(yàn)證和授權(quán)

來源:泰然健康網(wǎng) 時間:2026年03月11日 03:07

Azure 健康資料服務(wù)是一個使用 Microsoft Entra ID 的安全受控服務(wù)集合,該全球身分識別提供者支援 OAuth 2.0。

若要讓 Azure Health Data Services 存取 Azure 資源,例如記憶體帳戶和事件中樞,您必須啟用系統(tǒng)受控識別,並將適當(dāng)?shù)脑S可權(quán)授與受控識別。 如需詳細(xì)資訊,請參閱 Azure 受控識別。

用戶端應(yīng)用程式會在 Microsoft Entra 識別符中註冊,而且可用來存取 Azure Health Data Services。 用戶資料存取控制是在實(shí)作商業(yè)規(guī)則的應(yīng)用程式或服務(wù)中完成的。

Azure Health Data Services 的已驗(yàn)證使用者和用戶端應(yīng)用程式必須指派給適當(dāng)?shù)膽?yīng)用程式角色。

Azure Health Data Services 中的 FHIR? 服務(wù)會提供下列角色:

FHIR 數(shù)據(jù)讀取器:讀取和搜尋 FHIR 數(shù)據(jù)。 FHIR 數(shù)據(jù)寫入器:讀取、寫入和軟刪除 FHIR 數(shù)據(jù)。 FHIR 數(shù)據(jù)匯出者:讀取和匯出($export 操作符)數(shù)據(jù)。 FHIR 資料匯入工具:讀取和匯入 ($import 運(yùn)算子) 資料。 FHIR 資料貢獻(xiàn)者:執(zhí)行所有資料層面的操作。 FHIR 資料轉(zhuǎn)換器:使用轉(zhuǎn)換器執(zhí)行資料轉(zhuǎn)換。 FHIR SMART 使用者:允許使用者根據(jù) SMART IG V1.0.0規(guī)格來讀取和寫入 FHIR 數(shù)據(jù)。

Azure Health Data Services 中的 DICOM? 服務(wù)提供下列角色:

DICOM 資料擁有者:讀取、寫入和刪除 DICOM 數(shù)據(jù)。 DICOM 數(shù)據(jù)讀取:讀取 DICOM 數(shù)據(jù)。

已驗(yàn)證的使用者和用戶端應(yīng)用程式,取得適當(dāng)?shù)膽?yīng)用程式角色後,即可使用 Microsoft Entra ID 發(fā)出的有效存取權(quán)杖存取 Azure 健康資料服務(wù),並執(zhí)行應(yīng)用程式角色定義的特定作業(yè)。

對於 FHIR 服務(wù),存取令牌是服務(wù)或資源特有的。 對於 DICOM 服務(wù),存取令牌會授與資源 dicom.healthcareapis.azure.com ,而不是特定服務(wù)。

有兩種常見的方法來取得存取令牌,詳述Microsoft Entra 檔 :授權(quán)碼流程 和 客戶端認(rèn)證流程。

以下是如何使用 授權(quán)碼流程取得 Azure Health Data Services 的存取令牌:

用戶端會將要求傳送至 Microsoft Entra 授權(quán)端點(diǎn)。 Microsoft Entra ID 會將用戶端重新導(dǎo)向至登入頁面,讓使用者使用適當(dāng)?shù)恼J(rèn)證進(jìn)行驗(yàn)證(例如:使用者名稱和密碼,或雙因素驗(yàn)證)。 成功驗(yàn)證時,授權(quán)碼會傳回給用戶端。 Microsoft僅允許將此授權(quán)碼傳回用戶端應(yīng)用程式註冊中所設(shè)定的已註冊回復(fù) URL。

用戶端應(yīng)用程式會在 Microsoft Entra 令牌端點(diǎn)交換存取令牌的授權(quán)碼。 當(dāng)用戶端應(yīng)用程式要求令牌時,應(yīng)用程式可能必須提供客戶端密碼(您可以在應(yīng)用程式註冊期間新增)。

例如,用戶端向 Azure Health Data Services 提出要求, GET 要求搜尋 FHIR 服務(wù)中的所有患者。 要求會在 HTTP 要求標(biāo)頭中包含存取權(quán)杖,例如 Authorization: Bearer xxx。

Azure 健康資料服務(wù)會驗(yàn)證權(quán)杖是否包含適當(dāng)?shù)男?(權(quán)杖中的屬性)。 如果有效,它會完成要求,並將數(shù)據(jù)傳回給用戶端。

在客戶端認(rèn)證流程,許可權(quán)會直接授與應(yīng)用程式本身。 當(dāng)應(yīng)用程式向資源呈現(xiàn)令牌時,資源會強(qiáng)制應(yīng)用程式本身具有執(zhí)行動作的授權(quán),因?yàn)闆]有任何使用者參與驗(yàn)證。 因此,這與授權(quán)碼流程不同,方式如下:

使用者或用戶端不需要以互動方式登入。 不需要授權(quán)碼。 存取令牌是直接透過應(yīng)用程式許可權(quán)取得。

存取令牌是一個已簽署的 Base64 編碼屬性集合(宣告),可傳遞有關(guān)客戶端身分識別、角色及授予使用者或客戶端的許可權(quán)之信息。

Azure Health Data Services 通常需要 JSON Web 令牌。 它包含三個部分:

頁首 承載 (宣告) 簽章,如下圖所示。 如需詳細(xì)資訊,請參閱 Azure 存取令牌。

顯示 Web 令牌簽章的螢?zāi)豢煺?> </p> <p>使用在線工具,例如 https://jwt.ms 檢視令牌內(nèi)容。 例如,您可以檢視索賠詳細(xì)資訊。</p> <strong>索賠類型</strong> <strong>值</strong> <strong>注意事項(xiàng)</strong> aud https://xxx.fhir.azurehealthcareapis.com 識別權(quán)杖的預(yù)定接收者。 在 id_tokens 中,對象是在 Azure 入口網(wǎng)站中指派給應(yīng)用程式的應(yīng)用程式識別碼。 您的應(yīng)用程式應(yīng)該驗(yàn)證此值,如果值不相符,則拒絕令牌。 iss https://sts.windows.net/{tenantid}/ 識別建構(gòu)並傳回權(quán)杖的安全性權(quán)杖服務(wù) (STS),以及對使用者進(jìn)行驗(yàn)證的 Microsoft Entra 租用戶。 如果權(quán)杖是由 v2.0 端點(diǎn)發(fā)出的,則該 URI 會以 /v2.0 結(jié)尾。 指出使用者為來自 Microsoft 帳戶之取用者使用者的 GUID 為 9188040d-6c67-4c5b-b112-36a304b66dad。 您的應(yīng)用程式應(yīng)使用宣告中的 GUID 部分來限制能夠登入應(yīng)用程式的租戶群,如適用。 iat (時間戳) 「Issued At」表示此令牌的認(rèn)證是在何時進(jìn)行的。 nbf (時間戳) 「nbf」(not before) 宣告會識別在此時間之前不得接受 JWT 進(jìn)行處理。 exp (時間戳) 「exp」(expiration time) 宣告會識別到期時間,在該時間或之後不得接受 JWT 進(jìn)行處理。 資源可能會在此時間之前拒絕權(quán)杖,例如當(dāng)需要變更驗(yàn)證或偵測到權(quán)杖撤銷時。 aio E2ZgYxxx Microsoft Entra ID 用來記錄權(quán)杖重複使用資料的內(nèi)部宣告。 應(yīng)該予以忽略。 appid e97e1b8c-xxx 使用權(quán)杖之用戶端的應(yīng)用程式識別碼。 應(yīng)用程式可以代表自身或代表使用者執(zhí)行。 應(yīng)用程式識別碼通常代表應(yīng)用程式物件,但也可以代表 Microsoft Entra ID 中的服務(wù)主體物件。 appidacr 1 指出客戶端的驗(yàn)證方式。 針對公用用戶端,值為 0。 如果使用用戶端識別碼和客戶端密碼,則值為 1。 如果客戶端憑證用於驗(yàn)證,則值為 2。 idp https://sts.windows.net/{tenantid}/ 記錄對權(quán)杖主體進(jìn)行驗(yàn)證的識別提供者。 除非使用者帳戶不在與簽發(fā)者相同的租用戶中 (例如來賓),否則此值與 Issuer 宣告的值相同。 如果未出現(xiàn)此宣告,表示可以改用 iss 的值。 若在組織內(nèi)容中使用個人帳戶 (例如邀請至 Microsoft Entra 租用戶的個人帳戶),idp 宣告可能為「live.com」或包含 Microsoft 帳戶租用戶 9188040d-6c67-4c5b-b112-36a304b66dad 的 STS URI。 oid 例如,tenantid(租戶識別碼) Microsoft身分識別系統(tǒng)中物件的不可變標(biāo)識符,在此案例中為用戶帳戶。 此識別碼可在不同應(yīng)用程式中唯一識別使用者——兩個不同的應(yīng)用程式登入相同的使用者時,會在 oid 聲明中收到相同的值。 Microsoft Graph 會傳回此標(biāo)識碼作為指定用戶帳戶的 ID 屬性。 由於 oid 可讓多個應(yīng)用程式關(guān)聯(lián)使用者,因此需要 profile 範(fàn)圍才能接收此宣告。 注意:如果單一使用者存在於多個租使用者中,則使用者在每個租使用者中包含不同的物件識別碼,即使使用者以相同的認(rèn)證登入每個帳戶,也會被視為不同的帳戶。 rh 0.ARoxxx Azure 用來重新驗(yàn)證權(quán)杖的內(nèi)部宣告。 應(yīng)該忽略它。 sub 例如,tenantid(租戶識別碼) 權(quán)杖所宣告資訊的主體,例如應(yīng)用程式的使用者。 這個值是不可變的,無法重新指派或重複使用。 主體是一個配對識別碼 - 它對於特定應(yīng)用程式識別碼是唯一的。 因此,如果單一使用者使用兩個不同的用戶端標(biāo)識元登入兩個不同的應(yīng)用程式,則這些應(yīng)用程式會收到兩個不同的主旨宣告值。 根據(jù)架構(gòu)和隱私權(quán)需求,您可能不希望此結(jié)果。 tid 例如,tenantid(租戶識別碼) 用於識別用戶所屬 Microsoft Entra 租戶的 GUID。 針對公司與學(xué)校帳戶,GUID 是使用者所屬組織的不可變租戶識別碼。 針對個人帳戶,值為 9188040d-6c67-4c5b-b112-36a304b66dad。 需要 profile 範(fàn)圍才能接收此宣告。 uti bY5glsxxx Azure 用來重新驗(yàn)證權(quán)杖的內(nèi)部宣告。 應(yīng)該忽略它。 ver 1 表示令牌的版本。 <p><strong>存取令牌預(yù)設(shè)為有效的一小時。 您可以在令牌過期之前,先取得新的令牌,或使用刷新令牌進(jìn)行更新。</strong></p> <p>若要取得存取令牌,您可以在 Visual Studio Code、PowerShell、CLI、curl 和 Microsoft Entra 驗(yàn)證連結(jié)庫中使用 REST 用戶端延伸模組等工具。</p> <p>當(dāng)您建立 Azure Health Data Services 的新服務(wù)時,您的數(shù)據(jù)預(yù)設(shè)會使用 <strong>Microsoft管理的密鑰</strong> 來加密。</p> 當(dāng)資料持續(xù)儲存在資料存放區(qū)時,F(xiàn)HIR 服務(wù)會提供待用資料加密。 DICOM 服務(wù)提供靜止資料的加密,當(dāng)影像數(shù)據(jù),包括內(nèi)嵌元數(shù)據(jù),被保存於數(shù)據(jù)存放區(qū)時。 在 FHIR 服務(wù)中擷取並保存元數(shù)據(jù)時,它會自動加密。 <p> 使用 Azure 入口網(wǎng)站 部署 Azure Health Data Services 工作區(qū)</p> <p> 使用 Azure Active Directory B2C 將 FHIR 服務(wù)的存取權(quán)授與</p> <p> 注意</p> <p>FHIR? 是 HL7 的註冊商標(biāo),可經(jīng) HL7 許可使用。</p> <p> DICOM? 是國家電氣製造商協(xié)會對於其與醫(yī)療資訊數(shù)位通訊相關(guān)的標(biāo)準(zhǔn)出版物的註冊商標(biāo)。</p><p style=相關(guān)知識

Azure Health Data Services 入門
The future is on FHIR for SAS and Microsoft Azure
Public Health and Social Services
Consumer Health Data Privacy Policy
Swisscom Health verlagert Patienten
安全使用指南|如何挑選高品質(zhì)純正精油?8個有機(jī)驗(yàn)證精油品牌
Azure AI Language の Text Analytics for health とは?
黑巧克力新魔力 能提高免疫力和認(rèn)知能力?
Sharing Your Garmin Connect Data With Apple Health
Health Data Science 正式創(chuàng)刊!

網(wǎng)址: Azure Health Data Services 中的驗(yàn)證和授權(quán) http://m.gysdgmq.cn/newsview1911813.html

推薦資訊