Commencer à utiliser OIDC pour AWS HealthImaging - AWS HealthImaging
Configuration des ressources pour l'OIDCÉtapes de configuration

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Commencer à utiliser OIDC pour AWS HealthImaging

Les rubriques suivantes décrivent comment démarrer avec OpenID Connect (OIDC) pour AWS. HealthImaging Ils incluent les ressources que vous devez fournir dans votre compte AWS, la création d'une HealthImaging banque de données compatible OIDC et un exemple de la manière dont une application DICOMweb cliente interagit avec un fournisseur d'identité (IdP) et. HealthImaging

  • Ressources de compte AWS requises

  • Création d'une banque de données compatible OIDC

  • DICOMweb interactions entre les clients et les fournisseurs d'identité

Configuration des ressources pour l'OIDC

Les éléments suivants fonctionnent ensemble dans un flux de travail pour effectuer une demande authentifiée par l'OIDC DICOMweb  :

  • Utilisateur final : personne utilisant un DICOMweb visualiseur (par exemple, OHIF, SLIM, MONAI).

  • Application cliente (Reying Party) — Le visualiseur qui demande des jetons et des appels HealthImaging DICOMweb APIs.

  • Fournisseur OpenID (IdP) : serveur OIDC/OAuth conforme à la version 2.0 (par exemple, Amazon Cognito, Okta, Auth0) qui authentifie les utilisateurs et émet des jetons d'accès JWT.

  • HealthImaging banque de données — Une banque de données configurée pour OIDC par un autorisateur Lambda géré par le client qui invoque. HealthImaging

Note

Nous vous recommandons d'effectuer les tâches suivantes avant de créer votre banque de données compatible OIDC HealthImaging  :

  • Configurez l'IdP et définissez celui scopes/claims que vous comptez utiliser

  • Créez l'autorisateur Lambda (si vous utilisez l'option Lambda)

Vous devez en disposer LambdaAuthorizerArn au moment de la création de la banque de données. Pour activer un autorisateur Lambda sur une banque de données existante, ouvrez un dossier AWS Support.

Vous devez utiliser des jetons Web JSON (JWTs) dans le cadre des frameworks OpenID Connect (OIDC) et OAuth 2.0 pour restreindre l'accès des clients à votre. APIs

Étapes de configuration

  1. Configuration d'un serveur d'autorisation (IdP)

    Configurez un IdP conforme à l'OIDC pour authentifier les utilisateurs et émettre des jetons OAuth 2.0 Bearer (JWTs) auxquels votre application cliente enverra. HealthImaging

  2. Définissez des étendues sur l'IdP pour contrôler l'accès DICOMweb

    Utilisez des étendues OAuth 2.0 (par exemple, des read/search/write regroupements adaptés à votre utilisateur) pour implémenter un accès avec le moindre privilège à votre banque de données via des opérations. DICOMweb Vous allez mapper les utilisateurs ou les groupes aux rôles IAM qui appliquent ces autorisations dans HealthImaging.

  3. Création d'un chemin de validation des jetons

    Autorisateur Lambda géré par le client : créez une fonction Lambda qui valide à partir de JWTs votre IdP et renvoie les demandes requises ainsi qu'un ARN de rôle IAM à assumer pour la demande. Assurez-vous que le Lambda dispose d'une politique basée sur les ressources qui autorise l'invocation par HealthImaging et qu'il revient dans un délai inférieur ou égal à 1 seconde.

  4. Création d'une banque de données compatible OIDC HealthImaging

    Créez la banque de données et fournissez le LambdaAuthorizerArn paramètre.

Après la création, votre client peut appeler DICOMweb APIs au Authorization: Bearer <token> lieu de SigV4. (Le SigV4 reste pris en charge et inchangé.)