Articles et questions concernant l'authentification OAuth2.
Dans la version v2026.2 (actuellement disponible en Developer Preview), une nouvelle fonctionnalité est introduite pour améliorer l’autorisation SMART/OAuth sur les endpoints FHIR : une plus grande flexibilité native dans la validation de la valeur aud (audience).
Jusqu’à présent, la validation vérifiait uniquement que la valeur aud correspondait à l’URL de base de l’endpoint FHIR. Si ce n’était pas le cas, la requête était rejetée.
. . . vous n’êtes pas seul.
De l’aide est disponible.
Cela m’a pris un certain temps à comprendre, et je suppose que d’autres rencontrent les mêmes difficultés. J’ai parcouru toute la configuration Entra pour mettre en place un flux « client credentials » afin d’envoyer des e-mails via un compte Microsoft 365. J’ai réussi à récupérer mon token, mais je n’arrivais jamais à m’authentifier auprès du serveur SMTP avec la classe %Net.SMTP. La solution comportait deux éléments.
Une fonctionnalité très importante pour HL7 FHIR a été introduite avec la sortie de la v2026.1 : la prise en charge des scopes granulaires fins SMART on FHIR v2.
Cela vous permet d’être beaucoup plus strict et plus précis dans l’accès que vous accordez aux données de votre dépôt FHIR.
Une partie de cette nouvelle prise en charge consiste à refuser les requêtes qui ne correspondent pas aux scopes, mais une capacité encore plus intéressante est de filtrer les résultats selon les scopes fournis.
Pour générer un JWT à partir d'un certificat/clé X.509, toute opération (y compris la lecture) sur %SYS.X509Credentials requiert l'autorisation d'accès (U) à la ressource %Admin_Secure. Cette dernière est nécessaire car %SYS.X509Credentials est persistant ; cette implémentation vise à empêcher tout accès non autorisé aux clés privées.
Si la ressource n'est pas disponible lors de l'exécution, vous pouvez utiliser la solution de contournement suivante.
Lors de l'examen du code de génération des JWT, j'ai constaté que ce code utilise