HealthLake Authentifizierungsanforderungen für SMART auf FHIR - AWS HealthLake
Erforderliche Autorisierungsserver-ElementeErforderliche Ansprüche

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

HealthLake Authentifizierungsanforderungen für SMART auf FHIR

Um auf FHIR-Ressourcen in einem SMART-on-FHIR-fähigen HealthLake Datenspeicher zuzugreifen, muss eine Client-Anwendung von einem OAuth 2.0-kompatiblen Autorisierungsserver autorisiert werden und ein OAuth Bearer-Token als Teil einer FHIR-REST-API-Anforderung vorlegen. Um den Endpunkt des Autorisierungsservers zu finden, verwenden Sie das HealthLake SMART on FHIR Discovery-Dokument über einen Uniform Resource Identifier. Well-Known Weitere Informationen zu diesem Prozess finden Sie unter Das SMART on FHIR Discovery-Dokument wird abgerufen.

Wenn Sie einen HealthLake SMART-on-FHIR-Datenspeicher erstellen, müssen Sie den Endpunkt des Autorisierungsservers und den Token-Endpunkt im metadata Element der CreateFHIRDatastore Anfrage definieren. Weitere Informationen zur Definition des metadata Elements finden Sie unterEinen HealthLake Datenspeicher erstellen.

Mithilfe der Endpunkte des Autorisierungsservers authentifiziert die Client-Anwendung einen Benutzer beim Autorisierungsdienst. Nach der Autorisierung und Authentifizierung wird ein JSON Web Token (JWT) vom Autorisierungsdienst generiert und an die Client-Anwendung übergeben. Dieses Token enthält FHIR-Ressourcenbereiche, die die Client-Anwendung verwenden darf, was wiederum einschränkt, auf welche Daten der Benutzer zugreifen kann. Wenn der Startbereich angegeben wurde, enthält die Antwort optional diese Details. Weitere Informationen zu den SMART on FHIR-Bereichen, die von unterstützt werden HealthLake, finden Sie unter. SMART auf FHIR OAuth 2.0-Bereichen, unterstützt von HealthLake

Mithilfe des vom Autorisierungsserver gewährten JWT führt eine Client-Anwendung FHIR-REST-API-Aufrufe an einen SMART on FHIR-fähigen Datenspeicher durch. HealthLake Um das JWT zu validieren und zu dekodieren, müssen Sie eine Lambda-Funktion erstellen. HealthLake ruft diese Lambda-Funktion in Ihrem Namen auf, wenn eine FHIR-REST-API-Anfrage empfangen wird. Ein Beispiel für eine Lambda-Starterfunktion finden Sie unterToken-Validierung mit AWS Lambda.

Elemente des Autorisierungsservers, die zum Erstellen eines SMART on FHIR-fähigen HealthLake Datenspeichers erforderlich sind

In der CreateFHIRDatastore Anfrage müssen Sie den Autorisierungsendpunkt und den Token-Endpunkt als Teil des metadata Elements im IdentityProviderConfiguration Objekt angeben. Sowohl der Autorisierungsendpunkt als auch der Token-Endpunkt sind erforderlich. Ein Beispiel dafür, wie dies in einer CreateFHIRDatastore Anfrage angegeben wird, finden Sie unterEinen HealthLake Datenspeicher erstellen.

Erforderliche Ansprüche, um eine FHIR-REST-API-Anfrage in einem SMART on FHIR-fähigen Datenspeicher abzuschließen HealthLake

Ihre AWS Lambda Funktion muss die folgenden Behauptungen enthalten, damit es sich um eine gültige FHIR-REST-API-Anfrage in einem SMART on FHIR-fähigen Datenspeicher handelt. HealthLake

  • nbf: Anspruch (nicht vorher) — Der Anspruch „nbf“ (nicht vorher) gibt den Zeitpunkt an, bis zu dem das JWT NICHT zur Bearbeitung akzeptiert werden DARF. Die Bearbeitung des Antrags mit der Angabe „Nbf“ setzt voraus, dass der aktuelle Wert hinter dem im date/time Antrag „Nbf“ date/time genannten Wert liegt oder diesem entspricht. Die von uns bereitgestellte Lambda-Beispielfunktion konvertiert iat von der Serverantwort innbf.

  • exp: (Ablaufzeit) -Anspruch — Der Anspruch „exp“ (Ablaufzeit) gibt die Ablaufzeit an oder nach der das JWT nicht zur Bearbeitung akzeptiert werden darf.

  • isAuthorized: Ein boolescher Wert, der auf gesetzt ist. True Zeigt an, dass die Anfrage auf dem Autorisierungsserver autorisiert wurde.

  • aud: (Zielgruppenanspruch) — Der Anspruch „aud“ (Zielgruppe) identifiziert die Empfänger, für die das JWT bestimmt ist. Dies muss ein SMART on FHIR-fähiger HealthLake Datenspeicher-Endpunkt sein.

  • scope: Dies muss mindestens ein Bereich sein, der sich auf FHIR-Ressourcen bezieht. Dieser Bereich ist auf Ihrem Autorisierungsserver definiert. Weitere Informationen zu den von akzeptierten Bereichen im Zusammenhang mit FHIR-Ressourcen finden Sie unter HealthLake. Die Ressourcen von SMART auf FHIR umfassen folgende Bereiche HealthLake