OIDC for AWS HealthImaging 入門 - AWS HealthImaging
設定 OIDC 的資源設定步驟

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

OIDC for AWS HealthImaging 入門

下列主題說明如何開始使用適用於 AWS HealthImaging 的 OpenID Connect (OIDC)。其中包括您必須在 AWS 帳戶中佈建的資源、建立已啟用 OIDC 的 HealthImaging 資料存放區,以及 DICOMweb 用戶端應用程式如何與身分提供者 (IdP) 和 HealthImaging 互動的範例。

  • 必要的 AWS 帳戶資源

  • 建立已啟用 OIDC 的資料存放區

  • DICOMweb 用戶端與身分提供者的互動

設定 OIDC 的資源

下列元素在工作流程中一起運作,提出 OIDC 驗證的 DICOMweb 請求:

  • 最終使用者 – 使用 DICOMweb 檢視器的人員 (例如 OHIF、SLIM、MONAI)。

  • 用戶端應用程式 (依賴方) – 請求權杖和呼叫 HealthImaging DICOMweb APIs檢視器。

  • OpenID 提供者 (IdP) – 符合 OIDC/OAuth 2.0 標準的伺服器 (例如 Amazon Cognito、Okta、Auth0),可驗證使用者並發出 JWT 存取權杖。

  • HealthImaging 資料存放區 – 由 HealthImaging 調用的客戶受管 Lambda 授權方為 OIDC 設定的資料存放區。

注意

我們建議您在建立已啟用 OIDC 的 HealthImaging 資料存放區之前完成這些任務:

  • 設定 IdP 並定義您計劃使用的範圍/宣告

  • 建立 Lambda 授權方 (如果使用 Lambda 選項)

您必須在資料存放區建立時間擁有 LambdaAuthorizerArn。若要在現有資料存放區上啟用 Lambda 授權方,請開啟 AWS Support 案例。

您必須使用 JSON Web Token (JWTs) 做為 OpenID Connect (OIDC) 和 OAuth 2.0 架構的一部分,以限制用戶端存取您的 APIs。

設定步驟

  1. 設定授權伺服器 (IdP)

    設定符合 OIDC 的 IdP 來驗證使用者,並發出用戶端應用程式將傳送至 HealthImaging 的 OAuth 2.0 承載字符 (JWTs)。

  2. 在 IdP 上定義範圍以控制 DICOMweb 存取

    使用 OAuth 2.0 範圍 (例如,適合檢視器的read/search/write分組),透過 DICOMweb 操作實作對資料存放區的最低權限存取。您將將使用者或群組映射至在 HealthImaging 中強制執行這些許可的 IAM 角色。

  3. 建立權杖驗證路徑

    客戶受管 Lambda 授權方 – 建立 Lambda 函數,以驗證來自 IdP JWTs,並傳回必要的宣告和 IAM 角色 ARN,以針對請求擔任此角色。確保 Lambda 具有以資源為基礎的政策,允許 HealthImaging 調用,並在 ≤ 1 秒內傳回。

  4. 建立啟用 OIDC 的 HealthImaging 資料存放區

    建立資料存放區並提供 LambdaAuthorizerArn 參數。

建立之後,您的用戶端可以使用 呼叫 DICOMweb APIsAuthorization: Bearer <token>而不是 SigV4。(SigV4 保持支援不變。)