HealthLake requisitos de autenticación para SMART en FHIR - AWS HealthLake
Elementos del servidor de autorización necesariosSolicitudes obligatorias

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

HealthLake requisitos de autenticación para SMART en FHIR

Para acceder a los recursos del FHIR en un almacén de HealthLake datos compatible con SMART o FHIR, una aplicación cliente debe estar autorizada por un servidor de autorización OAuth compatible con la versión 2.0 y presentar un token de OAuth portador como parte de una solicitud de la API REST del FHIR. Para encontrar el punto final del servidor de autorización, utilice el documento de descubrimiento HealthLake SMART on FHIR mediante un identificador de recursos uniforme. Well-Known Para obtener más información sobre este proceso, consulte Obtención del documento de descubrimiento SMART on FHIR.

Al crear un banco de HealthLake datos SMART en el FHIR, debe definir el punto final del servidor de autorización y el punto final del token en el metadata elemento de la CreateFHIRDatastore solicitud. Para obtener más información sobre la definición del metadata elemento, consulteCreación de un almacén HealthLake de datos.

Mediante los puntos finales del servidor de autorización, la aplicación cliente autenticará a un usuario con el servicio de autorización. Una vez autorizado y autenticado, el servicio de autorización genera un token web JSON (JWT) y lo pasa a la aplicación cliente. Este token contiene los ámbitos de recursos del FHIR que la aplicación cliente puede utilizar, lo que a su vez restringe los datos a los que puede acceder el usuario. Opcionalmente, si se proporcionó el alcance del lanzamiento, la respuesta contendrá esos detalles. Para obtener más información sobre los osciloscopios SMART on FHIR compatibles HealthLake, consulte. Los osciloscopios SMART on FHIR OAuth 2.0 son compatibles con HealthLake

Con el JWT otorgado por el servidor de autorización, una aplicación cliente realiza llamadas a la API REST del FHIR a un almacén de datos SMART que esté habilitado para el FHIR. HealthLake Para validar y decodificar el JWT, debe crear una función Lambda. HealthLake invoca esta función Lambda en su nombre cuando se recibe una solicitud de la API REST del FHIR. Para ver un ejemplo de función Lambda de inicio, consulte. Validación de token mediante AWS Lambda

Elementos del servidor de autorización necesarios para crear un almacén de datos compatible HealthLake con SMART on FHIR

En la CreateFHIRDatastore solicitud, debes proporcionar el punto final de autorización y el punto final del token como parte del metadata elemento del IdentityProviderConfiguration objeto. Se requieren tanto el punto final de autorización como el punto final del token. Para ver un ejemplo de cómo se especifica esto en CreateFHIRDatastore una solicitud, consulteCreación de un almacén HealthLake de datos.

Reclamaciones obligatorias para completar una solicitud de API REST del FHIR en un almacén de datos habilitado para SMART o FHIR HealthLake

Su AWS Lambda función debe contener las siguientes afirmaciones para que sea una solicitud de API REST del FHIR válida en un almacén de datos compatible con SMART on FHIR. HealthLake

  • nbf: Reclamación (no anterior): la afirmación «nbf» (no anterior) identifica el momento antes del cual NO SE DEBE aceptar el procesamiento del JWT. La tramitación de la reclamación «nbf» requiere que la actual date/time DEBE ser igual o igual a la cifra no date/time indicada anteriormente en la reclamación «nbf». La función Lambda de ejemplo que proporcionamos convierte la respuesta iat del servidor en. nbf

  • exp: (fecha de caducidad): la afirmación «exp» (fecha de caducidad) identifica la fecha de caducidad a partir de la cual no se debe aceptar el JWT para su procesamiento.

  • isAuthorized: Un booleano establecido en. True Indica que la solicitud se ha autorizado en el servidor de autorización.

  • audAfirmación: (audiencia): la afirmación «aud» (audiencia) identifica a los destinatarios a los que está destinado el JWT. Debe ser un terminal de almacenamiento de HealthLake datos compatible con SMART on FHIR.

  • scope: Debe ser al menos un ámbito relacionado con los recursos del FHIR. Este ámbito se define en su servidor de autorización. Para obtener más información sobre los ámbitos relacionados con los recursos del FHIR aceptados por HealthLake, consulte. Los alcances de los recursos de SMART on FHIR son: HealthLake