Introducción a OIDC para AWS HealthImaging - AWS HealthImaging
Configuración de los recursos para el OIDCPasos de configuración

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Introducción a OIDC para AWS HealthImaging

En los siguientes temas se describe cómo empezar a utilizar OpenID Connect (OIDC) para AWS. HealthImaging Incluyen los recursos que debe aprovisionar en su cuenta de AWS, la creación de un HealthImaging almacén de datos habilitado para OIDC y un ejemplo de cómo una aplicación DICOMweb cliente interactúa con un proveedor de identidades (IdP) y. HealthImaging

  • Recursos de cuentas de AWS necesarios

  • Crear un almacén de datos compatible con OIDC

  • DICOMweb interacciones de los clientes con los proveedores de identidad

Configuración de los recursos para el OIDC

Los siguientes elementos funcionan juntos en un flujo de trabajo para realizar una solicitud autenticada por el DICOMweb OIDC:

  • Usuario final: persona que utiliza un DICOMweb visor (por ejemplo, OHIF, SLIM o MONAI).

  • Aplicación cliente (parte que depende): el espectador que solicita fichas y llamadas. HealthImaging DICOMweb APIs

  • OpenID Provider (IdP): servidor OIDC/OAuth compatible con la versión 2.0 (por ejemplo, Amazon Cognito, Okta, Auth0) que autentica a los usuarios y emite tokens de acceso JWT.

  • HealthImaging almacén de datos: almacén de datos configurado para OIDC por un autorizador Lambda administrado por el cliente que invoca. HealthImaging

nota

Le recomendamos que complete estas tareas antes de crear un almacén de datos compatible con OIDC: HealthImaging

  • Configure el IdP y defina el scopes/claims que planea usar

  • Cree el autorizador Lambda (si utiliza la opción Lambda)

Debe disponer del almacén de datos LambdaAuthorizerArn en el momento de la creación del almacén de datos. Para habilitar un autorizador Lambda en un almacén de datos existente, abra un caso de AWS Support.

Debe utilizar los JSON Web Tokens (JWTs) como parte de los marcos OpenID Connect (OIDC) y OAuth 2.0 para restringir el acceso de los clientes a sus servidores. APIs

Pasos de configuración

  1. Configurar un servidor de autorización (IdP)

    Configure un IDP compatible con OIDC para autenticar a los usuarios y OAuth emitir 2.0 Bearer tokens JWTs () a los que se enviará la aplicación cliente. HealthImaging

  2. Defina los ámbitos en el IdP para controlar el acceso DICOMweb

    Utilice ámbitos OAuth 2.0 (por ejemplo, read/search/write agrupaciones adecuadas para su espectador) para implementar el acceso con los privilegios mínimos a su almacén de datos mediante operaciones. DICOMweb Asignará usuarios o grupos a las funciones de IAM en las que se apliquen estos permisos. HealthImaging

  3. Cree una ruta de validación de tokens

    Autorizador Lambda administrado por el cliente: cree una función Lambda que valide desde JWTs su IdP y devuelva las notificaciones requeridas y un ARN de rol de IAM que asuma en la solicitud. Asegúrese de que Lambda tenga una política basada en recursos que permita la invocación HealthImaging y que se devuelva en ≤ 1 segundo.

  4. Cree un almacén de datos compatible con OIDC HealthImaging

    Cree el almacén de datos y proporcione el parámetro. LambdaAuthorizerArn

Tras la creación, el cliente puede llamar DICOMweb APIs con SigV4 Authorization: Bearer <token> en lugar de hacerlo. (SiGv4 sigue siendo compatible y no ha cambiado).