你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
重要
Azure API for FHIR 将于 2026 年 9 月 30 日停用。 按照迁移策略在该日期之前转换到 Azure Health Data Services FHIR® 服务。 由于 Azure API for FHIR 停用,在 2025 年 4 月 1 日开始前不会允许新的部署。 Azure Health Data Services FHIR 服务是 Azure API for FHIR 的演化版本,可让客户管理 FHIR、DICOM 和医疗技术服务,并集成到其他 Azure 服务。
设置 Azure API for FHIR 或适用于 Azure 的 FHIR Server (OSS) 时,有几个配置选项可供选择。 对于开放源代码,你需要创建自己的资源应用程序注册。 对于Azure API for FHIR,此资源应用程序会自动创建。
应用程序注册
若要使应用程序与 Microsoft Entra ID 交互,则需要注册它。 在 FHIR 服务器上下文中,有两种应用程序注册:
- 资源应用程序注册。
- 客户端应用程序注册。
资源应用程序是使用 Microsoft Entra ID 保护的 API 或资源在 Microsoft Entra ID 中的表示形式。 在这里,我们讨论 Azure API for FHIR。 当你预配服务时,系统会自动创建 Azure API for FHIR 的资源应用程序。 如果使用开源服务器,则需要在 Microsoft Entra ID 中注册一个资源应用程序。 此资源应用程序具有标识符 URI。 建议指定与 FHIR 服务器 URI 相同的 URI。 此 URI 应用作 FHIR 服务器的 Audience。 客户端应用程序在请求令牌时,可以请求访问此 FHIR 服务器。
客户端应用程序是要请求令牌的客户端的注册。 在 OAuth 2.0 中,我们会区分至少三种不同类型的应用程序:
- 机密客户端,在 Microsoft Entra ID 中也称为 Web 应用。 机密客户端是使用授权代码流,代表可提供有效凭据的已登录用户获取令牌的应用程序。 之所以将它们称作机密客户端,是因为它们能够保守机密,并在使用身份验证代码交换令牌时向 Microsoft Entra ID 提供此机密。 由于机密客户端能够使用客户端机密进行自我身份验证,因此它们的受信任程度高于公共客户端,可以获得生存期更长的令牌,且可获得刷新令牌。 阅读有关如何注册机密客户端的详细信息。 注意:必须注册回复 URL,客户端将通过此 URL 接收授权代码。
- 公共客户端。 这些是无法保守机密的客户端。 通常,它是一个移动设备应用程序或单页 JavaScript 应用程序,客户端中的机密可能会被用户发现。 公共客户端也使用授权代码流。 但在获取令牌时它们不能提供机密,另外,它们的令牌的生存期较短,并且没有刷新令牌。 阅读有关如何注册公共客户端的详细信息。
- 服务客户端。 这些客户端使用客户端凭据流代表自身(不代表用户)获取令牌。 它们通常代表以非交互方式访问 FHIR 服务器的应用程序。 例如引入进程。 使用服务客户端时,无需启动通过调用
/authorize终结点获取令牌的进程。 服务客户端可以直接进入/token终结点,并提供客户端 ID 和客户端机密来获取令牌。 阅读有关如何注册服务客户端的详细信息
后续步骤
在本概述文章中,你已查看在使用 FHIR API 时可能需要的应用程序注册类型。
请根据你自己的设置查看注册应用程序的操作指南:
注册应用程序后,可以部署 Azure API for FHIR。
注意
FHIR® 是 HL7 的注册商标,经 HL7 许可使用。