Erste Schritte mit OIDC für AWS HealthImaging - AWS HealthImaging
Ressourcen für OIDC einrichtenEinrichtungsschritte

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erste Schritte mit OIDC für AWS HealthImaging

In den folgenden Themen werden die ersten Schritte mit OpenID Connect (OIDC) für AWS beschrieben. HealthImaging Dazu gehören die Ressourcen, die Sie in Ihrem AWS-Konto bereitstellen müssen, die Erstellung eines OIDC-fähigen HealthImaging Datenspeichers und ein Beispiel dafür, wie eine DICOMweb Client-Anwendung mit einem Identitätsanbieter (IdP) interagiert und. HealthImaging

  • Erforderliche AWS-Kontoressourcen

  • Einen OIDC-fähigen Datenspeicher erstellen

  • DICOMweb Kundeninteraktionen mit Identitätsanbietern

Ressourcen für OIDC einrichten

Die folgenden Elemente arbeiten in einem Workflow zusammen, um eine DICOMweb OIDC-authentifizierte Anfrage zu stellen:

  • Endbenutzer — Eine Person, die einen DICOMweb Viewer verwendet (z. B. OHIF, SLIM, MONAI).

  • Client-Anwendung (Relying Party) — Der Betrachter, der Tokens und Aufrufe anfordert. HealthImaging DICOMweb APIs

  • OpenID Provider (IdP) — Ein OIDC/OAuth 2.0-kompatibler Server (z. B. Amazon Cognito, Okta, Auth0), der Benutzer authentifiziert und JWT-Zugriffstoken ausgibt.

  • HealthImaging Datenspeicher — Ein Datenspeicher, der von einem vom Kunden verwalteten Lambda-Autorisierer, der aufruft, für OIDC konfiguriert wurde. HealthImaging

Anmerkung

Wir empfehlen, diese Aufgaben abzuschließen, bevor Sie Ihren OIDC-fähigen Datenspeicher erstellen: HealthImaging

  • Richten Sie den IdP ein und definieren scopes/claims Sie den, den Sie verwenden möchten

  • Erstellen Sie den Lambda-Autorisierer (wenn Sie die Lambda-Option verwenden)

Sie müssen den LambdaAuthorizerArn bei der Erstellung des Datenspeichers haben. Um einen Lambda-Autorisierer für einen vorhandenen Datenspeicher zu aktivieren, öffnen Sie einen AWS-Supportfall.

Sie müssen JSON Web Tokens (JWTs) als Teil der OpenID Connect (OIDC) - und OAuth 2.0-Frameworks verwenden, um den Client-Zugriff auf Ihre zu beschränken. APIs

Einrichtungsschritte

  1. Richten Sie einen Autorisierungsserver (IdP) ein

    Konfigurieren Sie einen OIDC-kompatiblen IdP, um Benutzer zu authentifizieren und OAuth 2.0-Bearer-Token (JWTs) auszustellen, an die Ihre Client-Anwendung sendet. HealthImaging

  2. Definieren Sie Bereiche auf dem IdP, um den Zugriff zu kontrollieren DICOMweb

    Verwenden Sie OAuth 2.0-Bereiche (z. B. für Ihren Viewer geeignete read/search/write Gruppierungen), um den Zugriff mit den geringsten Rechten auf Ihren Datenspeicher über Operationen zu implementieren. DICOMweb Sie ordnen Benutzer oder Gruppen IAM-Rollen zu, in denen diese Berechtigungen erzwungen werden. HealthImaging

  3. Erstellen Sie einen Pfad zur Token-Validierung

    Kundenverwalteter Lambda-Autorisierer — Erstellen Sie eine Lambda-Funktion, die JWTs von Ihrem IdP aus validiert und die erforderlichen Anträge sowie einen ARN für die IAM-Rolle zurückgibt, der für die Anfrage übernommen werden soll. Stellen Sie sicher, dass das Lambda über eine ressourcenbasierte Richtlinie verfügt, die den Aufruf von ermöglicht HealthImaging und dass es innerhalb von ≤ 1 Sekunde zurückkehrt.

  4. Erstellen Sie einen OIDC-fähigen Datenspeicher HealthImaging

    Erstellen Sie den Datenspeicher und geben Sie den Parameter an. LambdaAuthorizerArn

Nach der Erstellung kann Ihr Client DICOMweb APIs mit Authorization: Bearer <token> statt mit SigV4 aufrufen. (SigV4 wird weiterhin unterstützt und bleibt unverändert.)