Requisitos do OIDC Configurar a validação de token no Datastore Formato de solicitação (HTTP)Reivindicações obrigatórias da JWT

Requisitos para autorização do JWT

Requisitos do OIDC

Para acessar DICOMweb recursos em um HealthImaging armazenamento de dados habilitado para OIDC, um aplicativo cliente deve ser autorizado por um provedor de OAuth identidade (IdP) do OpenID Connect/2.0 e apresentar um token portador 2.0 (um OAuth JWT) no cabeçalho de autorização de cada solicitação. HealthImaging valida o token usando um dos caminhos de integração que você configura no armazenamento de dados e, em seguida, autoriza a solicitação assumindo uma função do IAM mapeada para o chamador.

nota

O OIDC aumenta, mas não substitui o SigV4. Você pode continuar usando o SigV4 inalterado. O OIDC está disponível apenas para DICOMweb APIs .

Configurar a validação de token no Datastore

Escolha um caminho de validação ao criar (ou atualizar) um armazenamento de dados:

Autorizador Lambda (JWT) gerenciado pelo cliente

Forneça LambdaAuthorizerArn. HealthImaging invoca seu Lambda com o token de entrada; sua função o valida e retorna as declarações necessárias, além de um ARN de função do IAM a ser assumido.
O Lambda deve retornar em 1 segundo.
Adicione uma política baseada em recursos à função que permita a invocação pelo HealthImaging (principal do serviço) de imagens médicas. region.amazonaws.com) e, opcionalmente, restringe as chamadas para o ARN do seu armazenamento de dados.
Habilitar um autorizador Lambda em um armazenamento de dados existente requer um caso do AWS Support.

Formato de solicitação (HTTP)

Envie o token de acesso no cabeçalho de autorização:

Exemplo de operação Get - Get DICOMInstance


curl --request GET \
  'service endpoint/datastore/datastore/studies/studies/series/series/instances/instances?imageSetId=imageSetId' \
  --header "Authorization: Bearer access token" \
  --header 'Accept: application/dicom; transfer-syntax=1.2.840.10008.1.2.1' \
  --output 'dicom-instance.dcm' \
  --fail-with-body

Reivindicações obrigatórias da JWT

Para que uma DICOMweb solicitação seja bem-sucedida, a token/authorization carga útil efetiva deve conter as seguintes afirmações:

exp— Expiração. A hora atual deve ser anterior a esse valor.
iat- Emitido em. Deve ser anterior à hora atual em UTC e NÃO deve ser anterior a 12 horas antes da hora atual em UTC (vida útil máxima do token)

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Começar

Usando autorizadores do AWS Lambda