Anforderungen für die JWT-Autorisierung - AWS HealthImaging
OIDC-AnforderungenKonfigurieren Sie die Token-Validierung im DatenspeicherAnforderungsformat (HTTP)Erforderliche JWT-Ansprüche

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Anforderungen für die JWT-Autorisierung

OIDC-Anforderungen

Um auf DICOMweb Ressourcen in einem OIDC-fähigen HealthImaging Datenspeicher zuzugreifen, muss eine Client-Anwendung von einem OpenID OAuth Connect/2.0-Identitätsanbieter (IdP) autorisiert werden und im Authorization-Header jeder Anfrage ein OAuth 2.0-Bearer-Token (ein JWT) enthalten. HealthImaging validiert das Token mithilfe eines der Integrationspfade, die Sie im Datenspeicher konfigurieren, und autorisiert dann die Anfrage, indem es eine dem Aufrufer zugeordnete IAM-Rolle annimmt.

Anmerkung

OIDC erweitert SigV4, ersetzt es jedoch nicht. Sie können SigV4 unverändert weiter verwenden. OIDC ist nur für verfügbar. DICOMweb APIs

Konfigurieren Sie die Token-Validierung im Datenspeicher

Wählen Sie einen Validierungspfad, wenn Sie einen Datenspeicher erstellen (oder aktualisieren):

Vom Kunden verwalteter Lambda-Authorizer (JWT)

  • Stellen LambdaAuthorizerArn Sie zur Verfügung. HealthImaging ruft Ihr Lambda mit dem eingehenden Token auf; Ihre Funktion validiert es und gibt die erforderlichen Ansprüche sowie einen IAM-Rollen-ARN zurück, der übernommen werden soll.

  • Das Lambda muss innerhalb von 1 Sekunde zurückkehren.

  • Fügen Sie der Funktion eine ressourcenbasierte Richtlinie hinzu, die den Aufruf durch HealthImaging (Service Principal Medical-Imaging) ermöglicht. region.amazonaws.com) und schränkt optional Aufrufe an Ihren Datenspeicher-ARN ein.

  • Für die Aktivierung eines Lambda-Autorisierers in einem vorhandenen Datenspeicher ist ein AWS-Supportfall erforderlich.

Anforderungsformat (HTTP)

Senden Sie das Zugriffstoken im Authorization-Header:

Beispiel für die Operation Get — Get DICOMInstance

curl --request GET \
  'service endpoint/datastore/datastore/studies/studies/series/series/instances/instances?imageSetId=imageSetId' \
  --header "Authorization: Bearer access token" \
  --header 'Accept: application/dicom; transfer-syntax=1.2.840.10008.1.2.1' \
  --output 'dicom-instance.dcm' \
  --fail-with-body

Erforderliche JWT-Ansprüche

Damit eine DICOMweb Anfrage erfolgreich ist, muss die effektive token/authorization Nutzlast die folgenden Ansprüche enthalten:

  • exp— Ablauf. Die aktuelle Uhrzeit muss vor diesem Wert liegen.

  • iat- Ausgestellt am. Muss vor der aktuellen Uhrzeit in UTC liegen und darf NICHT früher als 12 Stunden vor der aktuellen Uhrzeit in UTC liegen (maximale Lebensdauer des Tokens)