Exigences relatives à l'autorisation JWT - AWS HealthImaging
Exigences de l'OIDCConfigurer la validation des jetons sur la banque de donnéesFormat de demande (HTTP)Réclamations JWT requises

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exigences relatives à l'autorisation JWT

Exigences de l'OIDC

Pour accéder aux DICOMweb ressources d'une HealthImaging banque de données compatible OIDC, une application cliente doit être autorisée par un fournisseur d'identité (IdP) OpenID Connect OAuth /2.0 et présenter OAuth un jeton porteur 2.0 (un JWT) dans l'en-tête d'autorisation de chaque demande. HealthImaging valide le jeton en utilisant l'un des chemins d'intégration que vous configurez sur la banque de données, puis autorise la demande en assumant un rôle IAM mappé à l'appelant.

Note

L'OIDC augmente mais ne remplace pas le SigV4. Vous pouvez continuer à utiliser SigV4 sans modification. OIDC est disponible DICOMweb APIs uniquement pour.

Configurer la validation des jetons sur la banque de données

Choisissez un chemin de validation lorsque vous créez (ou mettez à jour) une banque de données :

Autorisateur Lambda (JWT) géré par le client

  • Fournir LambdaAuthorizerArn. HealthImaging invoque votre Lambda avec le jeton entrant ; votre fonction le valide et renvoie les demandes requises ainsi qu'un ARN de rôle IAM à assumer.

  • Le Lambda doit revenir dans un délai d'une seconde.

  • Ajoutez une politique basée sur les ressources à la fonction qui permet l'invocation par HealthImaging (service principal d'imagerie médicale). region.amazonaws.com) et restreint éventuellement les appels à l'ARN de votre banque de données.

  • L'activation d'un autorisateur Lambda sur une banque de données existante nécessite un dossier de support AWS.

Format de demande (HTTP)

Envoyez le jeton d'accès dans l'en-tête d'autorisation :

Exemple d'opération Get - Get DICOMInstance

curl --request GET \
  'service endpoint/datastore/datastore/studies/studies/series/series/instances/instances?imageSetId=imageSetId' \
  --header "Authorization: Bearer access token" \
  --header 'Accept: application/dicom; transfer-syntax=1.2.840.10008.1.2.1' \
  --output 'dicom-instance.dcm' \
  --fail-with-body

Réclamations JWT requises

Pour qu'une DICOMweb demande aboutisse, la token/authorization charge utile effective doit contenir les revendications suivantes :

  • exp— Expiration. L'heure actuelle doit être antérieure à cette valeur.

  • iat- Délivré à. Doit être antérieure à l'heure actuelle en UTC et ne doit PAS être antérieure à 12 heures avant l'heure actuelle en UTC (durée de vie maximale du jeton)