HealthLake exigences d'authentification pour SMART sur FHIR - AWS HealthLake
Éléments du serveur d'autorisation requisDemandes requises

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

HealthLake exigences d'authentification pour SMART sur FHIR

Pour accéder aux ressources FHIR dans un magasin de HealthLake données compatible SMART sur FHIR, une application cliente doit être autorisée par un serveur d'autorisation OAuth compatible 2.0 et présenter un jeton OAuth Bearer dans le cadre d'une demande d'API REST FHIR. Pour trouver le point de terminaison du serveur d'autorisation, utilisez le document HealthLake SMART on FHIR Discovery via un identifiant de ressource Well-Known uniforme. Pour en savoir plus sur ce processus, consultez Récupération du document SMART sur FHIR Discovery.

Lorsque vous créez un magasin de HealthLake données SMART on FHIR, vous devez définir le point de terminaison du serveur d'autorisation et le point de terminaison du jeton dans l'metadataélément de la CreateFHIRDatastore demande. Pour en savoir plus sur la définition de l'metadataélément, voirCréation d'un magasin HealthLake de données.

À l'aide des points de terminaison du serveur d'autorisation, l'application cliente authentifie un utilisateur auprès du service d'autorisation. Une fois autorisé et authentifié, un jeton Web JSON (JWT) est généré par le service d'autorisation et transmis à l'application cliente. Ce jeton contient des étendues de ressources FHIR que l'application cliente est autorisée à utiliser, ce qui limite les données auxquelles l'utilisateur peut accéder. Facultativement, si le périmètre de lancement a été fourni, la réponse contiendra ces détails. Pour en savoir plus sur les oscilloscopes SMART on FHIR pris en charge par HealthLake, voir. SMART sur les oscilloscopes FHIR OAuth 2.0 pris en charge par HealthLake

À l'aide du JWT accordé par le serveur d'autorisation, une application cliente effectue des appels d'API REST FHIR à un magasin de données compatible HealthLake SMART sur FHIR. Pour valider et décoder le JWT, vous devez créer une fonction Lambda. HealthLake invoque cette fonction Lambda en votre nom lorsqu'une demande d'API REST FHIR est reçue. Pour voir un exemple de fonction Lambda de démarrage, reportez-vous à. Validation des jetons en utilisant AWS Lambda

Éléments du serveur d'autorisation requis pour créer un magasin de HealthLake données compatible SMART on FHIR

Dans la CreateFHIRDatastore demande, vous devez fournir le point de terminaison d'autorisation et le point de terminaison du jeton dans le cadre de l'metadataélément de l'IdentityProviderConfigurationobjet. Le point de terminaison d'autorisation et le point de terminaison jeton sont tous deux requis. Pour voir un exemple de la manière dont cela est spécifié dans la CreateFHIRDatastore demande, voirCréation d'un magasin HealthLake de données.

Réclamations requises pour compléter une demande d'API REST FHIR sur un magasin de données compatible HealthLake SMART on FHIR

Votre AWS Lambda fonction doit contenir les affirmations suivantes pour qu'il s'agisse d'une demande d'API REST FHIR valide sur un magasin de HealthLake données compatible SMART on FHIR.

  • nbf: (Pas avant) Réclamation — La réclamation « nbf » (pas avant) indique le délai avant lequel le JWT NE DOIT PAS être accepté pour traitement. Le traitement de la réclamation « nbf » nécessite que le courant date/time DOIT être supérieur ou égal à celui date/time indiqué dans la réclamation « nbf ». L'exemple de fonction Lambda que nous fournissons convertit la réponse iat du serveur en. nbf

  • exp: (Date d'expiration) Réclamation — La demande « exp » (délai d'expiration) identifie le délai d'expiration à partir duquel ou après lequel le JWT ne doit pas être accepté pour traitement.

  • isAuthorized: un booléen défini sur. True Indique que la demande a été autorisée sur le serveur d'autorisation.

  • aud: Réclamation (audience) — La réclamation « aud » (audience) identifie les destinataires auxquels le JWT est destiné. Il doit s'agir d'un point de terminaison de banque de HealthLake données compatible SMART on FHIR.

  • scope: Il doit s'agir d'au moins une étendue liée à une ressource FHIR. Cette étendue est définie sur votre serveur d'autorisation. Pour en savoir plus sur les champs d'application liés aux ressources FHIR acceptés par HealthLake, voir. SMART sur les champs de ressources FHIR pour HealthLake