Schnellstart: Schutz mithilfe von Active Directory Rights Management Services (AD RMS)
In diesem Schnellstart erfahren Sie, wie Sie eine Unterstützung für Active Directory Rights Management Services (AD RMS) mithilfe des MIP SDK implementieren.
Hinweis
Die in diesem Schnellstart beschriebenen Schritte gelten nur für das File SDK für C# oder C++ sowie für das Protection SDK für C++.
Voraussetzungen
Falls noch nicht geschehen, sorgen Sie für Folgendes:
- Schließen Sie zuerst den Schnellstart: Initialisieren von Clientanwendungen (C++) ab, in dem eine Starterprojektmappe für Visual Studio erstellt wird.
- Schließen Sie den Schnellstart: Auflisten von Vertraulichkeitsbezeichnungen (C++) oder den Schnellstart: Auflisten von Vertraulichkeitsbezeichnungen (C#) ab.
- Stellen Sie AD RMS mit einer Erweiterung für mobile Geräte bereit.
- Stellen Sie optional sicher, dass der DNS-SRV-Datensatz für AD RMS-MDE veröffentlicht wurde.
Dienstsuche
Das SDK führt eine Dienstermittlung basierend auf der über FileEngineSettings
oder ProtectionEngineSettings
bereitgestellten mip::Identity
und mit dem UPN oder dem E-Mail-Adresssuffix aus. Zuerst wird die Domänenhierarchie nach dem _rmsdisco-Eintrag für MDE durchsucht. Weitere Informationen zu diesem Vorgang finden Sie unter Festlegen der DNS-SRV-Datensätze für die AD RMS-Erweiterung für mobile Geräte. Wenn dieser DNS-SRV-Datensatz nicht gefunden wird, wird der Azure Information Protection-Dienst als Standarddienstidentifizierung festgelegt.
Konfigurieren des File SDK in C# zum Verwenden von AD RMS
Zwei kleinere Änderungen sind erforderlich, wenn Ihre Anwendung die Active Directory-Authentifizierungsbibliothek (ADAL) und das File SDK für C# verwendet. Das FileEngineSettings
-Objekt und der AuthenticationContext
-Konstruktor müssen aktualisiert werden, um mit AD RMS und den Active Directory-Verbunddiensten (AD FS) zu funktionieren.
Wenn Sie den DNS-SRV-Datensatz mit der Erweiterung für mobile Geräte bereitgestellt haben und einen Benutzerprinzipalnamen oder eine E-Mail-Adresse übergeben möchten, befolgen Sie die Anweisungen zum Verwenden einer Identität.
Aktualisieren der Einstellungen für die File-Engine zum Verwenden von AD RMS mit einer Identität
Wenn der DNS-SRV-Datensatz für MDE veröffentlicht wurde und Microsoft.InformationProtection.Identity
als Teil der Engine-Einstellungen bereitgestellt wurde, ist die einzige erforderliche Codeänderung das Festlegen von FileEngineSettings.ProtectionOnlyEngine = true
. Diese Eigenschaft muss so festgelegt werden, dass Bezeichnungsvorgänge (Richtlinienvorgänge) für AD RMS-Schutzendpunkte nicht unterstützt werden.
// Configure FileEngineSettings as protection only engine.
var engineSettings = new FileEngineSettings("", authDelegate, "", "en-US")
{
// Provide the identity for service discovery.
Identity = identity,
// Set ProtectionOnlyEngine to true for AD RMS as labeling isn't supported
ProtectionOnlyEngine = true
};
Aktualisieren des Authentifizierungsdelegaten
Wenn Sie in Ihrer .NET-Anwendung die ADAL verwenden, müssen Sie eine Änderung an der Microsoft.InformationProtection.AuthDelegate
-Implementierung vornehmen, um die Autoritätsüberprüfung zu deaktivieren. Sie deaktivieren die Autoritätsüberprüfung, indem Sie validateAuthority
im AuthenticationContext
-Konstruktor auf false festlegen.
AuthenticationContext authContext = new AuthenticationContext(authority, false, tokenCache);
Konfigurieren des File SDK in C++ zum Verwenden von AD RMS
Wenn Sie den DNS-SRV-Datensatz mit der Erweiterung für mobile Geräte bereitgestellt haben und einen Benutzerprinzipalnamen oder eine E-Mail-Adresse übergeben möchten, befolgen Sie die Anweisungen zum Verwenden einer Identität.
Aktualisieren von „FileEngine::Settings“ zum Verwenden von AD RMS mit einer Identität
Wenn der DNS-SRV-Datensatz für MDE veröffentlicht wurde und mip::Identity
in den FileEngine::Settings
bereitgestellt wurde, müssen Sie die Engine nur als reine Engine für den Schutz festlegen.
FileEngine::Settings engineSettings(mip::Identity(mUsername), "");
engineSettings.SetProtectionOnlyEngine = true;
Konfigurieren des Protection SDK in C++ zum Verwenden von AD RMS
Wenn Sie den DNS-SRV-Datensatz mit der Erweiterung für mobile Geräte bereitgestellt haben und einen Benutzerprinzipalnamen oder eine E-Mail-Adresse übergeben möchten, befolgen Sie die Anweisungen zum Verwenden einer Identität.
Festlegen von „ProtectionEngine::Settings“ zum Verwenden von AD RMS mit einer Identität
Wenn der DNS-SRV-Datensatz für die Erweiterung für mobile Geräte veröffentlicht wurde und eine Identität in den ProtectionEngine::Settings
bereitgestellt wurde, sind zum Verwenden von AD RMS keine weiteren Codeänderungen erforderlich. Die Dienstermittlung findet den AD RMS-Endpunkt und verwendet ihn für Schutzvorgänge.
ProtectionEngine::Settings engineSettings(mip::Identity(mUsername), authDelegate, "");
Entfernen oder Auskommentieren von Bezeichnungsverweisen
Wenn Sie die Anwendung mithilfe eines der Schnellstarts erstellen, verfügt Ihre Anwendung über Verweise auf Bezeichnungen, die wie fileEngine.SensitivityLabels
oder engine->ListSensitivityLabels();
aussehen. Da die Anwendung für den reinen Schutz festgelegt wurde, müssen diese Codeblöcke auskommentiert oder entfernt werden. Wenn Sie sie ausführen, führt das zu einer Ausnahme.
Nächste Schritte
Nachdem Sie die Änderungen zum Unterstützen von AD RMS durchgeführt haben, kann Ihre Anwendung alle Vorgänge zum reinen Schutz ausführen, indem sie den AD RMS-Dienst als Schutzanbieter verwendet.