Find

Question

Scott Roth · Jun 1

#Journaling #Mirroring #HealthShare #InterSystems IRIS for Health #Health Connect

I am attempting to failover my TEST environment to the Backup, and I keep getting an error stating that

06/01/25-18:47:54:516 (11864) 1 [Utility.Event] Primary startup failed, failed to read header of /archive/journal/MIRROR-IRISTEST-20250513.007 (file #63653)

however, when I go to /archive/journal/, I am not finding any record of MIRROR-IRISTEST-20250513.007 (file #63653)

to get out of this error message I have to restart what was the Primary and restart the Backup to get it back into a state that we can use it.

There is a Namespace/Database that is on the backup and not part of the mirror, which I need to get moved to being mirrored across all the instances of our TEST environment.

Any idea why it is thinking that /archive/journal/MIRROR-IRISTEST-20250513.007 (file #63653) still exists, and it needs to read from it?

1 Comment

Discussion (1)1

Announcement

Anastasia Dyubaylo · Jun 1

#Digest #Developer Community Official

Hello and welcome to the May 2025 Developer Community Recap.

General Stats

✓ 142 new posts published in May:

– 33 new articles
– 47 new announcements
– 60 new questions
– 2 new discussions

✓ 412 new members joined in May
✓ 14,991 posts published all time
✓ 16,408 members joined all time

Top posts

Technology Bonuses Results for the InterSystems FHIR and Digital Health Interoperability Contest 2025

By Evgeny Shvarov

InterSystems FHIR and Digital Health Interoperability Contest 2025

By Anastasia Dyubaylo

Hear from Our Community: Why You Should Join READY 2025

By Anastasia Dyubaylo

Hello, my name is... | Introduce Yourself!

By Admin GlobalMasters

A Dive into Debugging Embedded Python

By Shuheng Liu

How to remove special characters (Unicode Characters) from text

By Padmaja Konduru

InterSystems Platforms Update Q2-2025

By Bob Kuszewski

Time to vote in the InterSystems FHIR and Digital Health Interoperability Contest 2025

By Anastasia Dyubaylo

Do you have the InterSystems IRIS SQL Specialist certification? Beta testers needed for our upcoming InterSystems IRIS SQL Professional certification exam

By Celeste Canzano

New Point Release for IRIS 2025.1.0: Critical Interoperability Fix

By Daniel Palevski

Top authors of the month

@Scott Roth

@Ashok Kumar T

@Norman W. Freeman

@Martin Nielsen

@Celeste Canzano

Articles

#InterSystems IRIS

Ladies and Gentlemen, the amazing Iris-nator

By Kurro Lopez

Minify XML in IRIS

By Enrico Parisi

Reviews on Open Exchange - #51

By Robert Cemper

How to produce and consume RabbitMQ messages on IRIS

By Yuri Marx

How to remove special characters (Unicode Characters) from text

By Padmaja Konduru

IRIS iRacing

By sween

Long Running SQL Queries: a sample exploration

By Ben Schlanger

Creating a cross-regional DR Async with IKO

By Sam Ferguson

Building the UI by Prompting vs InterSystems IRIS Backend: Lovable, Spec First and REST API

By Evgeny Shvarov

An Overview of Database Degrade

By Neil Shah

Using %System.Monitor.LineByLine together with %SYS.MONLBL to analyze your code

By Daniel Kutac

A Dive into Debugging Embedded Python

By Shuheng Liu

A knockout of weight

By Andre Larsen Barbosa

codemonitor.MonLBL - Line-by-Line ObjectScript Code Monitoring

By Lorenzo Scalese

Creating a Document Database

By Kate Lau

Multilingual GenerativeAI Pattern Match WorkBench Utility

By Alex Woodhead

Integrate with Google Forms

By Yuri Marx

Use Mako Python template engine to generate dynamic content

By Yuri Marx

Making Sense of Blood Tests with FHIRInsight: Turning FHIR into Clarity

By Henry Pereira

How to manage in a CI/CD pipeline an InterSystems API Manager configuration ?

By Sylvain Guilbaud

hc-export-editor: Making Interface Changes to Exports Before Deploying to Prod

By Eric Fortenberry

Introducing LEAD North's CCD Data Profiling Tool

By Landon Minor

#InterSystems IRIS for Health

Creating a DICOM file and adding a JPG to it

By Keren Skubach

Creating a primitive extension in a FHIR resource

By Keren Skubach

Introducing Smart Clinical Copilot: An AI-Powered Decision Support System for Modern Healthcare

By Kunal Pandey

OMOP Odyssey - GCP Healthcare API Real Time FHIR® to OMOP Transformation ( RealTymus )

By sween

Introducing FHIRCraft: a simple synthetic FHIR resource generator

By Laura Blázquez García

IRIS For Health FHIR Repository stops responding after upgrade to 2023.6.1.809. How to fix?

By Theo Stolker

From Legacy to FHIR: Bridging Healthcare Data with IRIS-FHIR-Bridge

By Muhammad Waseem

#TrakCare

A Semantic Code Search Solution for TrakCare Using IRIS Vector Search

By Jim Liu

#Other

ISCLauncher - Get immediate access to InterSystems knowledge and support records!

By Ben Spead

CCR Client Tools UI Upgrade

By Maria-Sophia Fedyk

#Open Exchange

Reviews on Open Exchange - #52

By Robert Cemper

Announcements

#InterSystems IRIS

[Video] Using Embedded Python in the BPL and DTL Editors

By Adam Coppola

[Video] Prompt the frontend UI for InterSystems IRIS with Lovable

By Anastasia Dyubaylo

Cambridge Developer Meetup - AI Coding Assistants & MCP [May 14 2025]

By Liubov Zelenskaia

[Video] Data Fabric in Practice: Lessons Learned

By Anastasia Dyubaylo

Do you have the InterSystems IRIS SQL Specialist certification? Beta testers needed for our upcoming InterSystems IRIS SQL Professional certification exam

By Celeste Canzano

InterSystems IRIS Development Professional Exam is now LIVE!

By Celeste Canzano

Developing with InterSystems Objects and SQL – In Person June 9-13, 2025 / Registration space available

By Larry Finlayson

GitHub Action IRIS Deployer

By Cristiano Silva

Do you have any openings for InterSystems developer Job

By AYUSH Shetty

InterSystems Platforms Update Q2-2025

By Bob Kuszewski

New Point Release for IRIS 2025.1.0: Critical Interoperability Fix

By Daniel Palevski

[Webinar] Unlocking the Power of InterSystems Data Fabric Studio

By Anastasia Dyubaylo

SQL DATA LENS Now FREE for Use with InterSystems IRIS Community Edition!

By Andreas Schneider

Hebrew Webinar: Discover the All-New UI in Version 2025.1 — and More!

By Ronnie Hershkovitz

#Developer Community Official

Developer Community Recap, April 2025

By Anastasia Dyubaylo

Videos for InterSystems Developers, April 2025 Recap

By Anastasia Dyubaylo

Key Questions of the Month: April 2025

By Anastasia Dyubaylo

#Open Exchange

InterSystems Open Exchange Applications Digest, April 2025

By Anastasia Dyubaylo

#InterSystems IRIS for Health

InterSystems FHIR and Digital Health Interoperability Contest 2025

By Anastasia Dyubaylo

[Video] How Project BEST Transforms FDA Adverse Event Reporting with FHIR

By Anastasia Dyubaylo

[Video] SMART on FHIR: Introduction & FHIR Server Setup

By Anastasia Dyubaylo

CACHÉ #Job opportunity

By Coral Montero

[Video] Streamlining Electronic Prior Authorizations with FHIR

By Anastasia Dyubaylo

[Video] SMART on FHIR: OAuthServer

By Anastasia Dyubaylo

[Video] SMART on FHIR: FHIR Server - OAuth Config

By Anastasia Dyubaylo

#Summit

Winners of the Code Your Way to InterSystems READY 2025

By Anastasia Dyubaylo

Hear from Our Community: Why You Should Join READY 2025

By Anastasia Dyubaylo

InterSystems Ready 2025 sessions to sink your teeth into

By Anastasia Dyubaylo

Look what’s coming to the Tech Exchange @ InterSystems READY 2025

By Olga Zavrazhnova

#IRIS contest

Kick-off Webinar for InterSystems FHIR and Digital Health Interoperability Contest 2025

By Anastasia Dyubaylo

Technology Bonuses for the InterSystems FHIR and Digital Health Interoperability Contest 2025

By Evgeny Shvarov

Fourth Spanish Technical Article Contest – Prizes for Everyone!

By Sergio Farago

Vote for the Best Demo! The InterSystems Demo Games Are On!

By Anastasia Dyubaylo

Time to vote in the InterSystems FHIR and Digital Health Interoperability Contest 2025

By Anastasia Dyubaylo

Meet the Winners of the AI Programming Contest at InterSystems READY 2025 @ Tech Exchange!

By Anastasia Dyubaylo

Technology Bonuses Results for the InterSystems FHIR and Digital Health Interoperability Contest 2025

By Evgeny Shvarov

#HealthShare

[Video] Building Integrations: A New User Experience

By Derek Robinson

HealthShare Unified Care Record Fundamentals – Virtual June 2-6, 2025 - Registration space available

By Larry Finlayson

[Video] HealthShare Personal Community and Your Digital Front Door

By Anastasia Dyubaylo

[Video] Change Control for HealthShare

By Anastasia Dyubaylo

#Other

The technical article contest in Spanish begins on Monday

By Sergio Farago

FHIR France Meetup #13

By Irène Mykhailova

#Learning Portal

[Video] Using the FHIR Transformation Service with AWS HealthLake

By Derek Robinson

Be READY with personalized learning

By Kristina Lauer

[Video] Adding Custom Utility Functions in Health Connect Cloud

By Adam Coppola

#InterSystems Ideas Portal

InterSystems Ideas News #22

By Irène Mykhailova

#InterSystems Official

IKO 3.8 Release

By Bob Kuszewski

Questions

#InterSystems IRIS

Embedded Python query

By Touggourt

Best Practice for Existing ODBC Connection When System Becomes IRIS for HealthShare

By Fraser J. Hunter

SQLCODE: -99 when executing dynamic SQL on specific properties

By Martin Nielsen

Rule Editor Login Credentials Issue in Community Edition

By Juan Mota Sanchez

Problem exporting %Library.DynamicObject to JSON with %JSON.Adaptor

By Marcio Coelho

Task Scheduler - Output to file

By Scott Roth

InterSystems HL7 Interface Specialist certificate test

By Yuhong Snyder

Troubleshooting REST Operation

By Scott Roth

How to prevent reentrancy inside same process ?

By Norman W. Freeman

Actual Use Cases for %Stream.DynamicBinary and %Stream.DynamicCharacter

By Ashok Kumar T

How can I call $System.OBJ.Load() from a linux shell script? (Or $System.OBJ.Import, instead)

By AC Freitas

How to delete table column with its data with SQL command. I need the exact syntax of the command

By Dmitrij Vladimirov

Using assign in a routing rule using XML

By Ewan Whyte

Embedded SQL result issues inside %ZLANGC routine

By Ashok Kumar T

Age Calculator in BPL

By Saju Abraham

JSON - is key defined?

By Scott Roth

Problem deploying to a namespace

By Anthony Decorte

Error Handling Server to Client Side - Best Practices

By Michael Davidovich

ERROR #5883: Item '%Test' is mapped from a database that you do not have write permission on

By Jonathan Perry

Outbound HL7 HTTP Messaging - Unsupported Media Type

By Scott Roth

Append a string in a update query

By Jude Mukkadayil

Task manager in async mirror behavior

By Yaron Munz

Take subroutines from the Deployed Mode Routine

By Ashok Kumar T

%JSON.Adaptor compilation issues under array-of-streams and computed property types

By Geoffrey Lu

REST API Issue

By Anil Mathew

BI Analytics default key:value pair in termlist

By Dmitrij Vladimirov

%Stream files do not get purged from the /stream/ folder on the system disk

By Martin Nielsen

Poor database write performance

By Norman W. Freeman

Users in write only

By Pietro Montorfano

How to override the port used on a SOAP operation

By Ryan Hulslander

Download

By chris Janidas

Subscript indirection behaves differently in if statement

By Ashok Kumar T

CSP WebApp - IIS

By Patrik Spisak

No whens matched and no otherwise defined

By Avishek Singh

SQL Query returns with OFFSET

By Fabio Care

How to programmatically create SQL Gateway Connection?

By Jani Hurskainen

How to use EnsLib.SQL.InboundAdapter in IRIS tables

By Kurro Lopez

What is the global ^Ens.AppData and is it secure kill it?

By Yuri Marx

JSON - Field extraction using Object Script

By Scott Roth

How to reset the Web Gateway management Password

By Thembelani Mlalazi

Prompt Engineering for ollama-ai-iris

By Oliver Wilms

How can I configure InterSystems ObjectScript Source Control with a client-side workspace in VS Code?

By Ricardo Alves dos Santos

Azure OpenAI %Embedding.Config

By Henry Pereira

Production Validator - Case Study

By Satya Prasad Kalam

#InterSystems IRIS for Health

What does S $ZT="^%ETSDK" mean in MUMPS / InterSystems ObjectScript?

By Ganesh Jagtap

I am getting date as 00010101 in CCDA if we use $ZDATEH function it is giving value out of range error

By Fahima Ansari

DICOM, Mirror and StorageLocation

By Enrico Parisi

Adding an OBX segment to end of message

By MikeC

Converting an HL7 message input into a JSON string in a txt file

By TAZ.R

Business Process BPL context: objects deleted after CALL

By Laura Blázquez García

WSGI Flask application in IRIS Container - Where do packages need to be installed?

By John McBride

How to a Set a property of Custom Task to Directory selector

By Shashvati Dash

#Caché

is this possible to call routines(.mac) directly in java?

By Kim Jiyong

How to set encoding configuration when using JDBC

By Kim Jiyong

#TrakCare

IRIS Multiple Instance on a single Linux VM - status

By Phillip Wu

#Health Connect

Visual Studio Code connection failed

By Ying Zhang

Defining Schedule Specifications and "last" occurrences

By Jennifer Herrin

#HealthShare

For Healthshare - How to recover management portal _system user password ?

By Iftikhar Sharif

#Ensemble

xmlns attribute name duplicated when transforming HL7 message to XML

By Lee Butcher

Best Practice for handling timezone offsets in DTL

By Eric Tulowetzke

Discussions

#InterSystems IRIS

Exploring Cache Object Script: Tips, Tricks, and Best Practices

By Harshitha Balakrishna

#Global Masters

Hello, my name is... | Introduce Yourself!

By Admin GlobalMasters

Discussion (0)1

Article

Carlos Castro · Jun 1 18m read

#REST API #Authentication #Contest #Error Handling #OAuth2 #Security #InterSystems IRIS for Health #InterSystems IRIS

Buenas a todos,

en capítulos anteriores, vimos como "Proteger los datos: Se un mejor cerrajero", en el que explicábamos como proteger nuestros recursos aplicando un control extra al acceso mediante OAUTH2 que nos ofrece Intersystems. Y como no hay 2 sin 3, aquí tenemos un tercer articulo, en el cual vamos a explicar como "avisar a la policía" de que alguien malicioso está intentando acceder a nuestros datos.

Al finalizar el mismo, comentábamos que si quisiéramos podríamos tener un mayor control de estos accesos incorrectos y esto nos lleva a este artículo, por lo que seguiremos el siguiente índice, en el cual podréis encontrar todos los apartados en formato tutorial, de forma que siguiendo paso a paso lograreis llegar al objetivo:

1.- Introducción

1.1.- De donde venimos

2.- Configuración del "091"

2.1.- Arquitectura de las alertas

2.2.- ¿Quién es quién?

2.2.1.- Operación
2.2.2.- Proceso

2.3.- ¿Qué es un bot de telegram?

2.3.1.- Bot
2.3.2.- Grupos
2.3.3.- Configuración de la alerta

3.- Actualización de consulta de usuario

3.1.- Usuario de nuestro token por Endpoints Relacionados con Autenticación (OAUTH)

3.2.- Endpoints útiles para OAUTH

       3.3.1.- token
       3.3.2.- introspection
       3.3.3.- registration
   3.3.4.- revocation

1.- Introducción

1.1.- De donde venimos

En el articulo anterior (Proteger los datos: Se un mejor cerrajero) explicábamos como conocer el usuario ("2.1.- ¿Cómo funciona la llave (Token)?") mediante el uso de JWT extrayendo el parámetro "aud" y en base a este valor validábamos por LookUp Table su permiso de acceso a unos recursos o no. Si un usuario no esta autorizado a acceder a determinados recursos, necesitamos saber de estos intentos maliciosos de acceso para poder actuar.

En los siguientes pasos explicaremos la configuración de las alertas por mensajería push así como mejorar la obtención del usuario y mas funciones de las URLS de OAUTH2.

Estas alertas por mensajería push las realizaremos por medio de Telegram, aplicación de mensajería instantánea que nos permite recibir mensajes de texto en tiempo real. Este es el gran punto a su favor para esta situación, pues en el mismo momento que ocurra un intento indebido de acceso a nuestros recursos, lo sabremos y podremos actuar lo antes posible para proteger nuestros datos. Al mismo tiempo, al utilizar una aplicación de este tipo, podremos recibir la notificación en cualquier lugar del mundo, pues, mientras tengamos conexión a internet, esta notificación nos va a llegar.

Con todo esto, ¡VAMOS AL LIO!

2.- Configuración del "091"

2.1.- Arquitectura de las alertas

Partimos de un esquema como el mostrado, donde queremos generar un aviso a nuestro dispositivo móvil en el momento en el que detectemos que hay algún problema, en este caso, un acceso indebido a nuestros recursos.

Por lo tanto, teniendo ya montada nuestra integración, lo que vamos a hacer ahora es añadir un modulo de alertas para Telegram. Este modulo consistirá en 2 componentes principales:

Nombre del Componente	Descripción del Componente
Operaciones.Notificaciones.Telegram	Operación preconfigurada para realizar notificaciones urgentes vía Telegram desde el ESB.
Proceso.Notificaciones.Telegram	Proceso que orquestará los diferentes tipos de notificaciones REST vía Telegram.

2.2.- ¿Quién es quién?

2.2.1.- Operación
Nuestra operación de envío de alertas a Telegram realizará notificaciones REST vía Telegram. Esta operación “simulara” ser un bot en la aplicación de Telegram y desde el ESB se controlará este bot, que emitirá las notificaciones a los grupos y/o personas según los acuerdos alcanzados para cada caso. Estas notificaciones serán inmediatas pudiendo aplicar un control temporal para no saturar los dispositivos móviles de las personas notificadas.

Estas notificaciones podrán sustituir y/o complementar a las alertas ya vigentes (correo electrónico). Ya que su objetivo es que las personas responsables de cada aplicativo sean informadas lo antes posible de problemas ocurridos.

2.2.2.- Proceso
Nuestro proceso orquestará la configuración y parametrización de las notificaciones REST vía Telegram. Las diferentes casuísticas que consideremos realizarán llamadas a este proceso enviando la información solicitada para cada caso y este proceso preparará los mensajes personalizados para cada caso.

Llegados a este punto, sabemos que vamos a utilizar una operación rest para notificar vía Telegram, pero nos queda explicar lo mas importante, ¿Qué es un bot de telegram? A continuación lo explicamos.

2.3.- ¿Qué es un bot de telegram?

Para la notificación instantánea de mensajería que se pretende implantar haremos uso de una de las principales funcionalidades de código abierto que nos da la API de Telegram como es la creación y administración de bots.

2.3.1.- Bot

Un bot es una funcionalidad de Telegram, la cual consiste en la creación de un perfil de usuario de Telegram que se controla por terceros gracias a unos parámetros de configuración definidos por la API. Esta funcionalidad simula ser un usuario de Telegram, y como todo usuario, puede enviar mensajería a través de la aplicación por medio de configuraciones del bot. En el ESB configuraremos este bot para que de forma automatizada envíe notificaciones a los diversos grupos que se hayan acordado.

Para la creación de un bot que utilizaremos para enviar notificaciones vía Telegram, será necesario hacer uso de la funcionalidad ofrecida por el @botfather de Telegram.

El @botfather es una funcionalidad de Telegram para controlar a otros bots y crearlos por cuenta propia y es una de las recomendaciones de los responsables de Telegram para crear de una forma más fácil tu propio bot. Esta funcionalidad dispone de una variedad amplia de comandos para configurar nuestro bot.

Para empezar a crear nuestro bot, deberemos de seguir los siguientes pasos (7):

Spoiler

2.3.2.- Grupos
Para realizar las notificaciones se hará mediante grupos privados de Telegram, en los cuales se incluirá en cada grupo a las personas acordadas.

Para crear un grupo deberemos abrir la aplicación de Telegram y seguir los siguientes pasos:

Spoiler

2.3.2.- Configuración de la alerta

Ahora que ya tenemos nuestro bot y nuestro grupo de Telegram donde van a llegar las notificaciones, debemos orquestar en el ESB como enviarlas.

Os dejo por aquí un esqueleto de operación de envío de peticiones:

Spoiler

Class Operaciones.REST.Notificaciones.Telegram Extends EnsLib.REST.Operation
{

Parameter INVOCATION = "Queue";

Method notificar(pRequest As Mensajes.Request.Notificaciones.TelegramRequest, Output pResponse As Mensajes.Response.Notificaciones.TelegramResponse) As %Status
{
    set pResponse = ##class(Mensajes.Response.Notificaciones.TelegramResponse).%New()
    try {	
        // Preparamos la url para la petición
        set url 	= ##class(Util.TablasMaestras).getValorMaestra("BOT_TELEGRAM","url")
        // A través de una LookUp Table, guardamos el TOKEN del bot de telegram que va a enviar el mensaje
        set bot   	= ##class(Util.TablasMaestras).getValorMaestra("BOT_TELEGRAM","bot")
        // A través de una LookUp Table, guardamos el metodo de la API Telegram para envío de notificaciones
        set method 	= ##class(Util.TablasMaestras).getValorMaestra("BOT_TELEGRAM","method")
        // A través de una LookUp Table, guardamos el ID del chat de telegram donde vamos a enviar el mensaje
        set chatId  = ##class(Util.TablasMaestras).getValorMaestra("BOT_TELEGRAM",pRequest.aplicacion)
        
        set URL = url_bot_method_chatId_"&text="_pRequest.mensaje
        // LA URL resultante de consumo de la API Telegram sería con la siguiente estructura:
        // https://api.telegram.org/bot1234567890:[TOKEN]/sendMessage?chat_id=[CHATID]&text="_pRequest.mensaje
        set tSC=..Adapter.PostURL(URL,.tHttpResponse)

        Set textoError = $System.Status.GetErrorText(tSC)

        If $$$ISERR(tSC)
        {
            While (tHttpResponse.Data.AtEnd = 0) {
                 set linea = tHttpResponse.Data.Read()
                 
            }

        } else {
            While (tHttpResponse.Data.AtEnd = 0) {
                 set linea = tHttpResponse.Data.Read()
                 
            }

        }
    } catch {
        // se captura el error y se imprime
        Set tSC=$$$SystemError
        
        // se carga el resultado en el response
        Set tSC=$$$SystemError
        set textoError = $System.Status.GetErrorText(tSC)
        set pResponse.return      = "010 - "_textoError
    }
 
    Quit $$$OK
}


XData MessageMap
{
<MapItems>

  <MapItem MessageType="Mensajes.Request.Notificaciones.TelegramRequest">
    <Method>notificar</Method>
  </MapItem>

</MapItems>
}

}

En la misma podéis observar que se necesita atacar a la URL con unos parámetros determinados:

https://api.telegram.org/bot1234567890:[TOKEN]/sendMessage?chat_id=[CHATID]&text="_pRequest.mensaje

En este punto, podemos ver que hay un valor que no disponemos, que es el CHAT ID. Este valor es muy fácil de obtener, pues con reenviar un mensaje desde nuestro nuevo grupo al @userinfobot de Telegram, este nos devolverá el ID del grupo como muestro a continuación:

La producción nos debería quedar algo así:

Una vez enviamos la petición REST desde el ESB, podemos ver la notificación en el Telegram.

Esta operación nos vale para todo caso que queramos notificar, pues el Proceso anteriormente indicado, será el encargado de orquestar a que grupo llamar (CHAT ID) y que mensaje enviar (adaptado a cada caso), De forma que podamos tener N grupos y N mensajes diferenciados utilizando el mismo Bot.

A continuación os dejo un breve video explicativo del proceso completo:

Como podéis observar, siguiendo los pasos de esta guía, podréis notificar a quien queráis de cualquier cuestión que ocurra en el ESB de forma inmediata. ¡Así que espero que os sea de ayuda!

No puedo terminar este articulo sin incluir una mejora del articulo anterior, y esta es la utilización de la consulta del usuario así como el uso de algunas de las URLs que nos ofrece el servidor OAUTH2 de Intersystems. Todo esto lo explicamos a continuación.

3.- Actualización de consulta de usuario

3.1.- Usuario de nuestro token por Endpoints Relacionados con Autenticación (OAUTH)

A continuación os explico una forma mas sencilla y reutilizable de obtener este dato de forma que podamos aplicarlo para múltiples procesos.

En el primer articulo ("Como controlar el acceso a tus recursos con OAuth2") en el que explicábamos como preparar el servidor OAUTH2 de Intersystems, indicábamos que la URL del servidor era:

https://DNS/IP:57773/oauth2

Una vez creamos el servidor, en su configuración podemos ver:

Sistema > Gestión de seguridad > Cliente de OAuth 2.0 > Descripción del servidor - (Configuración de seguridad)

Spoiler

Como vemos, hay varias URLs que nos crea el servidor. Una de ellas es para consultar la información del usuario (userinfo) en OAuth 2.0, podemos utilizar la siguiente URL:

https://DNS/IP:57773/oauth2/userinfo

El procedimiento a seguir es enviar una solicitud GET al punto final UserInfo, incluyendo el token de acceso en el encabezado de la solicitud de autorización. El encabezado suele ser "Authorization: Bearer [token_de_acceso]". Para ello os muestro el paso a paso:

Obtener el Token para el usuario "bezkfeZoA3mU2g1dmABlvgv9k1AKHN78JtIgXgcdQeQ":

Spoiler

Utilizando este Token hacia la URL de UserInfo obtenemos el usuario:

Spoiler

Como podéis ver, con un simple GET a esa URL y el token que ya disponemos, nos devuelve "sub" que es el "aud" que obteníamos por el JWT. De forma que podemos montarnos una operación REST en el ESB que realice esta operación y tendremos la respuesta inmediata.

Os dejo por aquí una estructura de una operación REST para que podáis estructurar vuestras pruebas:

Spoiler

Class Operaciones.REST.OAUTH2.Gestion Extends EnsLib.REST.Operation
{

Method consultaUsuario(pRequest As Mensajes.Request.OAUTH2.consultaUsuario, Output pResponse As Mensajes.Response.OAUTH2.consultaUsuario) As %Status
{
	set pResponse = ##class(Mensajes.Response.OAUTH2.consultaUsuario).%New()
	try {	
		//preparamos la url para la petición
		set url     = "IP"
		set port    = "PUERTO"
		set method  = "/oauth2"
		set method2 = "/userinfo"
		//quedando la URL = https://IP:PUERTO/oauth2/userinfo
		set URL = "https://"_url_":"_port_method_method2
		
		
		set tSC = ..Adapter.GetURL(URL,.res)
		
		If $$$ISERR(tSC)
		{
		// Tratamiento del error si falla la llamada
		} else {
			// EXTRAEMOS EL JSON
			set linea = ""
			While (res.Data.AtEnd = 0) {
			    set linea = linea_res.Data.Read()
     		}
				
			// se transforma el objeto JSON a un objeto local
			set claseAux = ##class(%ZEN.Auxiliary.jsonProvider).%New()
			set tSC= claseAux.%ConvertJSONToObject(.linea,"Mensajes.Response.OAUTH2.consultaUsuario",.objeto,1)
			
			// TRATAMIENTO QUE QUERAMOS HACER DE LOS DATOS
		}
   	} catch {
		// Tratamiento del error
   	}
   	
 	Quit $$$OK
}


XData MessageMap
{
<MapItems>
  <MapItem MessageType="Mensajes.Request.OAUTH2.consultaUsuario">
    <Method>consultaUsuario</Method>
  </MapItem>
</MapItems>
}

}

3.2.- Endpoints útiles para OAUTH

La URL del UserInfo la podemos obtener llamando a la URL:

https://DNS/IP:PUERTO/oauth2/.well-known/openid-configuration

La cual nos entrega el siguiente JSON que os sonará:

Spoiler

{
    "issuer" : "https://DNS/IP:PUERTO/oauth2",
    "authorization_endpoint" : "https://DNS/IP:PUERTO:57776/oauth2/authorize",
    "token_endpoint" : "https://DNS/IP:PUERTO:57776/oauth2/token",
    "userinfo_endpoint" : "https://DNS/IP:PUERTO/oauth2/userinfo",
    "revocation_endpoint" : "https://DNS/IP:PUERTO/oauth2/revocation",
    "introspection_endpoint" : "https://DNS/IP:PUERTO/oauth2/introspection",
    "jwks_uri" : "https://DNS/IP:PUERTO/oauth2/jwks",
    "registration_endpoint" : "https://DNS/IP:PUERTO/oauth2/register",
    "scopes_supported" : [ "openid", "profile", "email", "address", "phone", "my/scope" ],
    "response_types_supported" : [ "code" ],
    "response_modes_supported" : [ "query", "fragment", "form_post" ],
    "grant_types_supported" : [ "authorization_code", "client_credentials", "refresh_token" ],
    "id_token_signing_alg_values_supported" : [ "HS256", "HS384", "HS512", "RS256", "RS384", "RS512" ],
    "id_token_encryption_alg_values_supported" : [ "none", "RSA1_5", "RSA-OAEP", "A128KW", "A192KW", "A256KW", "dir" ],
    "id_token_encryption_enc_values_supported" : [ "none", "A128CBC-HS256", "A192CBC-HS384", "A256CBC-HS512" ],
    "userinfo_signing_alg_values_supported" : [ "none", "HS256", "HS384", "HS512", "RS256", "RS384", "RS512" ],
    "userinfo_encryption_alg_values_supported" : [ "none", "RSA1_5", "RSA-OAEP", "A128KW", "A192KW", "A256KW", "dir" ],
    "userinfo_encryption_enc_values_supported" : [ "none", "A128CBC-HS256", "A192CBC-HS384", "A256CBC-HS512" ],
    "access_token_signing_alg_values_supported" : [ "none", "HS256", "HS384", "HS512", "RS256", "RS384", "RS512" ],
    "access_token_encryption_alg_values_supported" : [ "none", "RSA1_5", "RSA-OAEP", "A128KW", "A192KW", "A256KW", "dir" ],
    "access_token_encryption_enc_values_supported" : [ "none", "A128CBC-HS256", "A192CBC-HS384", "A256CBC-HS512" ],
    "request_object_signing_alg_values_supported" : [ "none", "HS256", "HS384", "HS512", "RS256", "RS384", "RS512" ],
    "request_object_encryption_alg_values_supported" : [ "none", "RSA1_5", "RSA-OAEP", "A128KW", "A192KW", "A256KW", "dir" ],
    "request_object_encryption_enc_values_supported" : [ "none", "A128CBC-HS256", "A192CBC-HS384", "A256CBC-HS512" ],
    "token_endpoint_auth_methods_supported" : [ "client_secret_post", "client_secret_basic", "client_secret_jwt", "private_key_jwt" ],
    "token_endpoint_auth_signing_alg_values_supported" : [ "HS256", "HS384", "HS512", "RS256", "RS384", "RS512" ],
    "claims_supported" : [ "preferred_username", "email", "email_verified", "name", "phone_number", "phone_number_verified", "iss", "sub", "aud", "exp", "auth_time", "jti" ],
    "ui_locales_supported" : [ "de", "en", "en-us", "es", "fr", "it", "ja", "ko", "nl", "pt-br", "ru", "uk", "zh-cn" ],
    "claims_parameter_supported" : true,
    "request_parameter_supported" : true,
    "request_uri_parameter_supported" : true
}

En esta lista de URLs vemos algunas interesantes como son:

"userinfo_endpoint" : "https://DNS/IP:PUERTO/oauth2/userinfo"
"token_endpoint" : "https://DNS/IP:PUERTO:57776/oauth2/token"
"introspection_endpoint" : "https://DNS/IP:PUERTO/oauth2/introspection"
"registration_endpoint" : "https://DNS/IP:PUERTO/oauth2/register"
"revocation_endpoint" : "https://DNS/IP:PUERTO/oauth2/revocation"

2.3.1.- token

La URL "userInfo" ya le hemos explicado en este articulo, por lo que a continuación vamos a explicar "token_endpoint"; pues es la que utilizamos en capítulos anteriores para obtener el token.

Para consumir la URL "https://DNS/IP:PUERTO:57776/oauth2/token" deberemos realizar un GET con los siguientes parámetros de configuración:

Spoiler

3.3.2.- introspection
La siguiente URL que vamos a explicar es "introspection_endpoint". Que es la que nos permite validar un token en el servidor de autorización para verificar su estado y obtener más detalles sobre él (como sus permisos, emisor, usuario asociado, etc.). Este endpoint normalmente se utiliza en arquitecturas donde un recurso protegido requiere verificar la validez de un token antes de otorgar acceso.

Para consumir la URL "https://DNS/IP:PUERTO:57776/oauth2/introspection" deberemos realizar un POST con los siguientes parámetros de configuración:

Spoiler

Headers

El valor del header "Authorization" se obtiene codificando en Base64 la combinación de "client_id" y "client_secret" separados por ":".

Body

En el body, selecciona la opción x-www-form-urlencoded en Postman y agrega los siguientes parámetros:

token: El token que deseas validar.
token_type_hint (opcional): Puedes indicar si el token es un access_token o un refresh_token

El resultado de la llamada será algo así:

{
    "active": true,
    "scope": "my/scope",
    "client_id": "bezkfeZoA3mU2g1dmABlvgv9k1AKHN78JtIgXgcdQeQ",
    "username": "",
    "token_type": "bearer",
    "exp": 1748778056,
    "sub": "bezkfeZoA3mU2g1dmABlvgv9k1AKHN78JtIgXgcdQeQ",
    "aud": "bezkfeZoA3mU2g1dmABlvgv9k1AKHN78JtIgXgcdQeQ",
    "iss": "https://DNS/IP:PUERTO/oauth2"
}

Explicación de los campos:

"active": true: El token es válido.
"scope": "my/scope": Permisos asociados al token.
"client_id": "bezkfeZoA3mU2g1dmABlvgv9k1AKHN78JtIgXgcdQeQ": El cliente que generó el token.
"username": "": (opcional) Usuario asociado al token.
"exp": Tiempo de expiración (en formato UNIX timestamp).
"sub": Identificador único del usuario.
"aud": Audiencias permitidas.
"iss": Emisor del token.

3.3.3.- registration

La siguiente URL que vamos a explicar es "registration_endpoint" . Este endpoint permite que las aplicaciones cliente dinámicamente se registren en el servidor de autorización sin necesidad de configurar manualmente las credenciales en el servidor.

Para consumir la URL "https://DNS/IP:PUERTO:57776/oauth2/register" deberemos realizar un POST con los siguientes parámetros de configuración:

Spoiler

Headers

Informar el campo "Content-Type" con el valor "application/json".

Body

Os dejo el JSON del body en formato texto. Importante el "client_name" para poder localizar en el portal de gestión nuestro usuario recién creado:

{
  "redirect_uris": [
    "https://client.example.com/callback",
    "https://client.example.com/auth"
  ],
  "grant_types": ["authorization_code", "refresh_token"],
  "response_types": ["code"],
  "client_name": "MiCLIENTE",
  "token_endpoint_auth_method": "client_secret_basic",
  "scope": "my/scope"
}

Tras realizar la llamada veremos la siguiente respuesta con toda la información de creación del usuario:

{
    "client_id": "8IFeFdbCiz7CAJ86Bxz4aZUX8s3W-TP3Litmpx4vqOM",
    "client_secret": "6nWT1lL4BOcM0tYz8zTvzgtSqiGpDOXyj-3-MZCa2ei9QMWxoTMKM49LdWrk8XlQYXaZpsVxuTnzv924L52NSw",
    "registration_access_token": "4v5mCm0w0MP6uA0YnZpSTD0ib-XFYnE4i0vlA9QWC9sas9BsSxH8Mipij5XOUvEv5yDRtXKkHmMMLhZjCd5LHw",
    "registration_client_uri": "https://DNS/IP:PUERTO/oauth2/register?client_id=8IFeFdbCiz7CAJ86Bxz4aZUX8s3W-TP3Litmpx4vqOM",
    "client_id_issued_at": 1748779129,
    "client_secret_expires_at": 0,
    "redirect_uris": [
        "https://client.example.com/callback",
        "https://client.example.com/auth"
    ],
    "response_types": [
        "code"
    ],
    "grant_types": [
        "authorization_code",
        "refresh_token"
    ],
    "application_type": "web",
    "client_name": "MiCLIENTE",
    "id_token_signed_response_alg": "RS256",
    "token_endpoint_auth_method": "client_secret_basic"
}

En el portal de gestión, podemos confirmar la creación del usuario:

Así como confirmar el valor del "clientSecret" y el "clientID" que nos ha devuelto la llamada:

Objetivo conseguido, ¡USUARIO CREADO!

3.3.4.- revocation

La siguiente URL que vamos a explicar es "revocation_endpoint". Que es el endpoint definido en el estándar OAuth 2.0 que permite revocar tokens emitidos previamente por un servidor de autorización

Para consumir la URL "https://DNS/IP:PUERTO:57776/oauth2/revocation" deberemos realizar un POST con los siguientes parámetros de configuración:

Spoiler

Con esta revocación del token termina este articulo. Espero que les sea de utilidad y les sirva para ponerse al día en cuanto a aplicación de seguridad en nuestras plataformas, pues todo esto lo podemos gestionar desde nuestro portal de gestión de Intersystems.

Finalmente, espero que se conviertan ¡en el mejor equipo de seguridad posible!

Muchas gracias por el tiempo que han dedicado a esta lectura.

1 new Comment

Discussion (4)3

Article

Chi Nguyen-Rettig · Jun 1 3m read

Open Exchange

#API #Development Environment #FHIR #Interoperability #JSON #Mapping #XML #HealthShare #InterSystems IRIS #InterSystems IRIS for Health

IRIS supports CCDA and FHIR transformations out-of-the-box, yet the ability to access and view those features requires considerable setup time and product knowledge. The IRIS Interop DevTools application was designed to bridge that gap, allowing implementers to immediately jump in and view the built-in transformation capabilities of the product.

In addition to the IRIS XML, XPath, and CCDA Transformation environment, the Interop DevTools package now provides:

FHIR-SDA Transformation setup
SDA-FHIR Transformation setup
Bubbling up of FHIR validation errors
Loading of required context for FHIR transforms

The look and feel of the dashboard has been updated to be more intuitive and user-friendly. Execution occurs within IRIS in order to leverage the environment, while the UI allows visibility, repeatability, and the ability to isolate modifications and modules for testing.

There are five utilities:

1. XPath Evaluator: Evaluates an XPath against an input CCD and returns result

2. CCDA to SDA Transform: Runs an input CCD through the selected base XSL transform and displays SDA result.

3. XSL Template Tester: Applies a single XSL template against an input CCD and displays the resulting CCD.

4. FHIR to SDA Transform: Runs the standard FHIR to SDA transform on an input FHIR resource or bundle and displays SDA result or FHIR validation error response.

5. SDA to FHIR Transform: Runs the standard SDA to FHIR transform on an input SDA message and displays FHIR Bundle result.

Getting Started:

1. IRIS Interop DevTools is available for download on the Open Exchange.

2. Once installed, the UI runs in a Docker container. Follow the instructions in the README to build and start docker. (Additional instructions are included in the README for MacOS users).

3. Open the UI at: http://localhost:4000

For local installation

The application is built to run on Docker on an IRIS for Health community image, however the solution only requires a Foundation namespace and is compatible with HealthConnect, IRIS for Health, or HealthShare UCR.

1. The backend IRIS web application and REST APIs is available for installation via IPM.

From IRIS terminal:

zpm "install iris-ccd-devtools"

2. The front-end application can be installed locally by changing directories to the "frontend/CCD-Tools-Frontend" folder and then running the following commands:

npm install
npm rundev

3. Open the UI at: http://localhost:4000

Sample Data

There is anonymized sample data loaded in the testing folder. There are also two Postman collections for testing the backend APIs. The interop-devtools-ccd-fhir.postman_collection.json contains the updated FHIR-SDA APIs.

Running The Toolset

Upload or paste the contents from the appropriate sample file in order to test each tool.

Example for the FHIR to SDA transform tester:

Let us know what you think. Is a toolset like this useful for what you do? What features would be useful in the future? We look forward to continuing to enhance the toolset in our Innovations group.

Discussion (0)1