OIDC for AWS HealthImaging の開始方法 - AWS HealthImaging
OIDC のリソースのセットアップセットアップステップ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

OIDC for AWS HealthImaging の開始方法

以下のトピックでは、AWS HealthImaging の OpenID Connect (OIDC) の使用を開始する方法について説明します。これには、AWS アカウントでプロビジョニングする必要があるリソース、OIDC 対応の HealthImaging データストアの作成、DICOMweb クライアントアプリケーションが ID プロバイダー (IdP) や HealthImaging とやり取りする方法の例が含まれます。

  • 必要な AWS アカウントリソース

  • OIDC 対応データストアの作成

  • DICOMweb クライアントと ID プロバイダーとのやり取り

OIDC のリソースのセットアップ

以下の要素は、ワークフロー内で連携して OIDC 認証 DICOMweb リクエストを行います。

  • エンドユーザー – DICOMweb ビューワーを使用するユーザー (OHIF、SLIM、MONAI など)。

  • クライアントアプリケーション (証明書利用者) – トークンをリクエストし、HealthImaging DICOMweb APIs呼び出すビューワー。

  • OpenID プロバイダー (IdP) – ユーザーを認証し、JWT アクセストークンを発行する OIDC/OAuth 2.0 準拠サーバー (Amazon Cognito、Okta、Auth0 など)。

  • HealthImaging データストア – HealthImaging が呼び出すカスタマー管理の Lambda オーソライザーによって OIDC 用に設定されたデータストア。

注記

OIDC 対応の HealthImaging データストアを作成する前に、以下のタスクを完了することをお勧めします。

  • IdP を設定し、使用するスコープ/クレームを定義する

  • Lambda オーソライザーを作成する (Lambda オプションを使用している場合)

データストアの作成時に LambdaAuthorizerArn が必要です。既存のデータストアで Lambda オーソライザーを有効にするには、AWS サポートケースを開きます。

APIs へのクライアントアクセスを制限するには、OpenID Connect (OIDC) および OAuth 2.0 フレームワークの一部として JSON ウェブトークン (JWTs) を使用する必要があります。

セットアップステップ

  1. 認可サーバー (IdP) のセットアップ

    ユーザーを認証し、クライアントアプリケーションが HealthImaging に送信する OAuth 2.0 ベアラートークン (JWTs) を発行するように OIDC 準拠の IdP を設定します。

  2. DICOMwebアクセスを制御するための IdP のスコープを定義する

    OAuth 2.0 スコープ (ビューワーに適したread/search/writeグループなど) を使用して、DICOMweb オペレーションを介してデータストアへの最小特権アクセスを実装します。ユーザーまたはグループを HealthImaging でこれらのアクセス許可を適用する IAM ロールにマッピングします。

  3. トークン検証パスを作成する

    カスタマーマネージド Lambda オーソライザー – IdP から JWTs を検証し、リクエストに対して引き受ける必要なクレームと IAM ロール ARN を返す Lambda 関数を作成します。Lambda に HealthImaging による呼び出しを許可し、≤ 1 秒で返すリソースベースのポリシーがあることを確認します。

  4. OIDC 対応の HealthImaging データストアを作成する

    データストアを作成し、LambdaAuthorizerArn パラメータを指定します。

作成後、クライアントは SigV4 Authorization: Bearer <token>の代わりに を使用して DICOMweb APIs呼び出すことができます。(SigV4 は引き続きサポートされ、変更されません)。