Guida introduttiva a OIDC per AWS HealthImaging - AWS HealthImaging
Configurazione delle risorse per OIDCPassaggi di impostazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Guida introduttiva a OIDC per AWS HealthImaging

I seguenti argomenti descrivono come iniziare a usare OpenID Connect (OIDC) per AWS. HealthImaging Includono le risorse che devi fornire nel tuo account AWS, la creazione di un HealthImaging datastore compatibile con OIDC e un esempio di come un'applicazione DICOMweb client interagisce con un provider di identità (IdP) e. HealthImaging

  • Risorse richieste per l'account AWS

  • Creazione di un datastore abilitato per OIDC

  • DICOMweb interazioni tra clienti e provider di identità

Configurazione delle risorse per OIDC

I seguenti elementi interagiscono in un flusso di lavoro per effettuare una richiesta autenticata da OIDC: DICOMweb

  • Utente finale: una persona che utilizza un DICOMweb visualizzatore (ad esempio, OHIF, SLIM, MONAI).

  • Applicazione client (Relying Party): il visualizzatore che richiede token e chiamate. HealthImaging DICOMweb APIs

  • OpenID Provider (IdP): un server OIDC/OAuth conforme alla versione 2.0 (ad esempio Amazon Cognito, Okta, Auth0) che autentica gli utenti ed emette token di accesso JWT.

  • HealthImaging datastore: un datastore configurato per OIDC da un autorizzatore Lambda gestito dal cliente che richiama. HealthImaging

Nota

Ti consigliamo di completare queste attività prima di creare il tuo HealthImaging datastore abilitato per OIDC:

  • Configura l'IdP e definisci scopes/claims quello che intendi utilizzare

  • Crea l'autorizzatore Lambda (se usi l'opzione Lambda)

È necessario disporre dell'ora di creazione del LambdaAuthorizerArn datastore. Per abilitare un sistema di autorizzazione Lambda su un datastore esistente, apri un caso AWS Support.

È necessario utilizzare JSON Web Tokens (JWTs) come parte dei framework OpenID Connect (OIDC) e OAuth 2.0 per limitare l'accesso dei client al proprio. APIs

Passaggi di impostazione

  1. Configurare un server di autorizzazione (IdP)

    Configura un IdP conforme a OIDC per autenticare gli utenti ed OAuth emettere 2.0 Bearer tokens JWTs () a cui verrà inviata l'applicazione client. HealthImaging

  2. Definisci gli ambiti sull'IdP per controllare l'accesso DICOMweb

    Utilizza gli ambiti OAuth 2.0 (ad esempio, i read/search/write raggruppamenti appropriati per il tuo spettatore) per implementare l'accesso con privilegi minimi al tuo datastore tramite operazioni. DICOMweb Mapparai utenti o gruppi ai ruoli IAM che applicano queste autorizzazioni in. HealthImaging

  3. Crea un percorso di convalida dei token

    Autorizzatore Lambda gestito dal cliente: crea una funzione Lambda che esegua la convalida dal JWTs tuo IdP e restituisca le attestazioni richieste e un ruolo IAM ARN da assumere per la richiesta. Assicurati che Lambda disponga di una politica basata sulle risorse che consenta l'invocazione HealthImaging e la restituzione in ≤ 1 secondo.

  4. Crea HealthImaging un datastore compatibile con OIDC

    Crea il datastore e fornisci il parametro. LambdaAuthorizerArn

Dopo la creazione, il client può chiamare DICOMweb APIs con Authorization: Bearer <token> invece di SigV4. (SigV4 rimane supportato e invariato.)