Requisiti per l'autorizzazione JWT - AWS HealthImaging
Requisiti OIDCConfigura la convalida dei token sul DatastoreFormato di richiesta (HTTP)Reclami JWT richiesti

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Requisiti per l'autorizzazione JWT

Requisiti OIDC

Per accedere alle DICOMweb risorse su un HealthImaging datastore abilitato per OIDC, un'applicazione client deve essere autorizzata da un provider di OAuth identità OpenID Connect/2.0 (IdP) e presentare un token OAuth 2.0 Bearer (un JWT) nell'intestazione Authorization di ogni richiesta. HealthImaging convalida il token utilizzando uno dei percorsi di integrazione configurati sul datastore e quindi autorizza la richiesta assumendo un ruolo IAM mappato al chiamante.

Nota

OIDC aumenta ma non sostituisce SigV4. È possibile continuare a utilizzare SigV4 senza modifiche. OIDC è disponibile solo per. DICOMweb APIs

Configura la convalida dei token sul Datastore

Scegli un percorso di convalida quando crei (o aggiorni) un datastore:

Autorizzatore Lambda gestito dal cliente (JWT)

  • LambdaAuthorizerArnFornire. HealthImaging richiama la tua Lambda con il token in entrata; la tua funzione lo convalida e restituisce le attestazioni richieste più un ARN del ruolo IAM da assumere.

  • La Lambda deve tornare entro 1 secondo.

  • Aggiungi una politica basata sulle risorse alla funzione che consente l'invocazione da parte di (service principal medical-imaging). HealthImaging region.amazonaws.com) e, facoltativamente, limita le chiamate all'ARN del tuo datastore.

  • L'abilitazione di un'autorizzazione Lambda su un datastore esistente richiede un caso AWS Support.

Formato di richiesta (HTTP)

Invia il token di accesso nell'intestazione di autorizzazione:

Esempio di operazione Get - Get DICOMInstance

curl --request GET \
  'service endpoint/datastore/datastore/studies/studies/series/series/instances/instances?imageSetId=imageSetId' \
  --header "Authorization: Bearer access token" \
  --header 'Accept: application/dicom; transfer-syntax=1.2.840.10008.1.2.1' \
  --output 'dicom-instance.dcm' \
  --fail-with-body

Reclami JWT richiesti

Affinché una DICOMweb richiesta abbia esito positivo, il token/authorization payload effettivo deve contenere le seguenti attestazioni:

  • exp— Scadenza. L'ora corrente deve essere anteriore a questo valore.

  • iat- Rilasciato a. Deve essere antecedente all'ora corrente in UTC e NON deve essere precedente di 12 ore all'ora corrente in UTC (durata massima del token)