开始使用适用于 AWS 的 OIDC HealthImaging - AWS HealthImaging
为 OIDC 设置资源设置步骤

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

开始使用适用于 AWS 的 OIDC HealthImaging

以下主题介绍如何开始使用适用于 AWS 的 OpenID Connect (OIDC)。 HealthImaging其中包括您必须在 AWS 账户中配置的资源、创建支持 OIDC HealthImaging 的数据存储以及 DICOMweb 客户端应用程序如何与身份提供商 (IdP) 交互的示例,以及。 HealthImaging

  • 所需的 AWS 账户资源

  • 创建启用 OIDC 的数据存储库

  • DICOMweb 客户与身份提供商的互动

为 OIDC 设置资源

以下元素在工作流程中协同工作以发出 OIDC 身份验证 DICOMweb 的请求:

  • 最终用户 — 使用 DICOMweb 查看器(例如 OHIF、SLIM、MONAI)的人。

  • 客户端应用程序(信赖方)-请求令牌和呼叫的查看器 HealthImaging DICOMweb APIs。

  • OpenID 提供商 (IdP) OIDC/OAuth — 符合 2.0 标准的服务器(例如 Amazon Cognito、Okta、Auth0),用于对用户进行身份验证并发放 JWT 访问令牌。

  • HealthImaging 数据存储 — 由调用的客户管理的 Lambda 授权机构为 OIDC 配置的数据存储库。 HealthImaging

注意

我们建议在创建启用 OIDC HealthImaging 的数据存储之前完成以下任务:

  • 设置 IdP 并定义 scopes/claims 您计划使用的

  • 创建 Lambda 授权方(如果使用 Lambda 选项)

您必须在创建数据存储 LambdaAuthorizerArn 时拥有。要在现有数据存储上启用 Lambda 授权机构,请提交 AWS Support 案例。

你必须使用 JSON Web Tokens (JWTs) 作为 OpenID Connect (OIDC) 和 OAuth 2.0 框架的一部分,以限制客户端对你的访问。 APIs

设置步骤

  1. 设置授权服务器 (IdP)

    配置符合 OIDC 的 IdP 以对用户进行身份验证,并 OAuth 发放 2.0 不记名令牌 JWTs (),您的客户端应用程序将发送到该令牌 ()。 HealthImaging

  2. 在 IdP 上定义范围以控制访问权限 DICOMweb

    使用 OAuth 2.0 范围(例如,适合您的查看者的read/search/write分组)通过操作实现对数据存储的最低权限访问。 DICOMweb 您需要将用户或群组映射到在中强制执行这些权限的 IAM 角色 HealthImaging。

  3. 创建令牌验证路径

    客户托管的 Lambda 授权机构 — 创建一个 Lambda 函数,该函数可 JWTs 从您的 IdP 进行验证并返回所需的索赔和要为请求代入的 IAM 角色 ARN。确保 Lambda 具有基于资源的策略,该策略允许通过调用, HealthImaging 并且在 ≤ 1 秒后返回。

  4. 创建支持 OIDC 的数据存储库 HealthImaging

    创建数据存储并提供 LambdaAuthorizerArn 参数。

创建完成后,您的客户端可以使用Authorization: Bearer <token>而不是 Sigv4 DICOMweb APIs 进行调用。(Sigv4 仍受支持,且保持不变。)