JWT 授權的要求

OIDC 要求

若要在啟用 OIDC 的 HealthImaging 資料存放區上存取 DICOMweb 資源，用戶端應用程式必須由 OpenID Connect / OAuth 2.0 身分提供者 (IdP) 授權，並在每個請求的授權標頭中顯示 OAuth 2.0 承載字符 (JWT)。HealthImaging 會使用您在資料存放區上設定的其中一個整合路徑來驗證權杖，然後擔任映射至發起人的 IAM 角色來授權請求。

注意

OIDC 會擴增但不會取代 SigV4。您可以繼續使用未變更的 SigV4。OIDC 僅適用於 DICOMweb APIs。

在資料存放區上設定權杖驗證

當您建立 （或更新） 資料存放區時，請選擇一個驗證路徑：

客戶管理的 Lambda 授權方 (JWT)

• 提供 LambdaAuthorizerArn。HealthImaging 會使用傳入權杖叫用 Lambda；您的函數會驗證它並傳回必要的宣告，加上要擔任的 IAM 角色 ARN。

• Lambda 必須在 1 秒內傳回。

• 將資源型政策新增至 函數，允許 HealthImaging 調用 （服務委託人 medical-imaging.region.amazonaws.com)，並選擇性地限制對資料存放區 ARN 的呼叫。

• 在現有資料存放區上啟用 Lambda 授權方需要 AWS Support 案例。

請求格式 (HTTP)

在授權標頭中傳送存取權杖：

Get 操作範例 - GetDICOMInstance

curl --request GET \
  'service endpoint/datastore/datastore/studies/studies/series/series/instances/instances?imageSetId=imageSetId' \
  --header "Authorization: Bearer access token" \
  --header 'Accept: application/dicom; transfer-syntax=1.2.840.10008.1.2.1' \
  --output 'dicom-instance.dcm' \
  --fail-with-body

必要的 JWT 宣告

若要讓 DICOMweb 請求成功，有效的字符/授權承載必須包含下列宣告：

• exp — 過期。目前時間必須在此值之前。

• iat - 在 發行。必須在 UTC 目前時間之前，且不得早於 UTC 目前時間之前 12 小時 （字符生命週期上限）