Freigeben über


Новый Azure RMS

Спешу поделиться: готовится к выходу в свет обновлённый сервис Azure RMS (Rights Management Services) . Соответствующее описание (white paper) на английском можно скачать здесь. Сейчас доступна версия в предварительном тестировании, официальный выход продукта ожидается в октябре 2013.

Среди основных новшеств:

  • поддержка файлов любых типов (а не только office);
  • возможность работы с защищёнными файлами пользователей шести платформ (ОС) через соответствующие SDK/мобильные приложения;
  • возможность передачи защищённых файлов за пределы своей организации (т.н. “business to business” или “business to labour” file sharing) – внешние пользователи смогут открывать эти файлы (бесплатно).

Полезные ссылки:

Не нужно путать Azure RMS и локальный AD RMS. Azure RMS базируется на облачных сервисах Windows Azure. Важно понимать, что при всех действиях по защите документа или его предоставлению в общее пользование сам контент никак не передаётся на сторону Облака (для процессинга защиты). Всё выполняется на стороне пользователя.

Для работы с защищённым документом пользователь должен пройти аутентификацию (пока в on-prem AD либо Azure AD, в будущем планируется добавить возможность проверки подлинности с LiveID и Google ID). После аутентификации защищённый файл открывается.

Если открывающий RMS-документ не является бизнес-пользователем (не зарегистрирован в Azure, не имеет поддержки RMS), ему предоставляется возможность бесплатно зарегистрироваться на специальном портале (RMS Vidal Portal, см. ссылку выше). При регистрации пользователь указывает свой емейл. Он проверяется на наличие тенанта Azure для данного домена, и наличия учётки с данным емейлом в нём. Если таковых нет – внимание – в Windows Azure создаётся новый тенант для данной компании (с доменом соответствующим емейл-домену), в нём создаётся учётка для пользователя, и активируется сервис Azure RMS. Сам тенант в данном случае не будет иметь администратора, управлять им возможности не будет. Понятно, что если организация впоследствии захочет использовать этот тенант как подписку, такая возможность ей всегда доступна (через стандартную проверку DNS – верификация txt-записью). Это уже будет означать необходимость платить за сервис Azure.

Теперь вам должно быть ясно, почему все общеупотребимые публичные емейл-домены типа mail.ru нельзя использовать для регистрации на портале RMS Vidal Portal.

После регистрации индивидуальный пользователь должен установить себе RMS-приложение. При открытии защищённого файла нужно будет вписать логин-емейл и пароль для аутентификации, и файл откроется. Важно, что он сможет не только открывать защищённые файлы, но и защищать свои.

Файлы с расширениями, отличными от офисных (DOC, DOCX, XLS, XLSX, PPT, PPTX) или PDF, при применении RMS меняют расширение. К расширениям TXT, XML, JPG, JPEG, TIFF, GIF, BMP спереди добавляется буква P (protected). Файлы с другими расширениями пакуются в файл *.PFILE.

Ещё следует сказать, что Azure RMS предусматривает подробное журналирование всех действий.

Теперь пример (из whitepaper).

Пользователь устанавливает на свой ПК соответствующее приложение RMS App. Далее работая, к примеру, в Ворде, хочет защитить файл и поделиться им с кем-то. Он нажимает на кнопку с амбарным замком:

image 

Активируется окно приложения RMS:

image

Задав все нужные настройки, пользователь нажимает кнопку Send. Формируется e-mail (текст можно править до отправки):

image

Если файл (или несколько) уже готовы, то можно защитить их не открывая. Right-кликом по файлу (или выделению нескольких файлов) и далее выбрав одну из опций:

  • protect in-place: защищается оригинальный файл.
  • share protected: оригинальный файл остаётся нетронутым, копия файла защищается и передаётся по почте куда нужно.

image

На стороне приёма другой пользователь с установленным RMS App открывает приаттаченный файл. После проверки подлинности стартует соответствующее приложение (Office/Foxit PDF Reader/RMS App).

image

Есть три варианта использования RMS: только Azure RMS, только локальный AD RMS, и так называемый RMS Connector, позволяющий локальным инфраструктурным сервисам типа Exchange или SharePoint работать с облачным RMS как с локальным AD RMS. Коннектор можно развернуть на одной или нескольких (для надёжности) виртуалках.

На всякий случай напомню, что Azure RMS имеет определённые ограничения относительно AD RMS.

Кто заинтересовался – ищите подробности в Сети.