Szybki start: ochrona programu Active Directory Rights Management Server (AD RMS)

W tym przewodniku Szybki start pokazano, jak zaimplementować obsługę programu Active Directory Rights Management Server (AD RMS) przy użyciu zestawu MIP SDK.

Uwaga

Kroki opisane w tym przewodniku Szybki start dotyczą tylko zestawu SDK plików dla języka C# lub C++ i zestawu SDK ochrony tylko dla języka C++.

Wymagania wstępne

Jeśli jeszcze tego nie zrobiono, upewnij się, że:

• Ukończ szybki start: najpierw inicjowanie aplikacji klienckich (C++), które tworzy początkowe rozwiązanie programu Visual Studio.
• Ukończ szybki start: wyświetlanie listy etykiet poufności (C++) lub Szybki start: wyświetlanie listy etykiet poufności (C#)
• Wdrażanie usług AD RMS przy użyciu rozszerzenia urządzenia przenośnego.
• Opcjonalnie upewnij się, że rekord SRV DNS dla usługi AD RMS MDE został opublikowany.

Odnajdywanie usług

Zestaw SDK wykonuje odnajdywanie usługi na podstawie podanej mip::Identity metody za pośrednictwem FileEngineSettings lub ProtectionEngineSettings przy użyciu sufiksu nazwy UPN lub adresu e-mail. Najpierw przeszukuje hierarchię domeny dla rekordu _rmsdisco dla rozwiązania MDE. Aby uzyskać więcej informacji na temat tego procesu, zobacz Określanie rekordów SRV DNS dla rozszerzenia urządzenia przenośnego usługi AD RMS. Jeśli ten rekord SRV SYSTEMU DNS nie zostanie znaleziony, zostanie on domyślnie ustawiony na usługę Azure Information Protection jako lokalizację usługi.

Konfigurowanie zestawu SDK plików w języku C# do korzystania z usług AD RMS

Jeśli aplikacja używa biblioteki Active Directory Authentication Library (ADAL) i zestawu SDK plików w języku C#, wymagane są dwie drobne zmiany. Obiekt FileEngineSettings i AuthenticationContext konstruktor należy zaktualizować, aby działał przy użyciu usług AD RMS i Active Directory Federations Services (ADFS).

Jeśli wdrożono rekord SRV rozszerzenia urządzenia przenośnego i planujesz przekazać główną nazwę użytkownika lub adres e-mail, postępuj zgodnie z instrukcjami dotyczącymi używania tożsamości.

Aktualizowanie aparatu plików Ustawienia do korzystania z usług AD RMS za pomocą tożsamości

Jeśli rekord SRV SYSTEMU DNS dla rozwiązania MDE został opublikowany i Microsoft.InformationProtection.Identity został podany jako część ustawień aparatu, jedyną wymaganą zmianą kodu jest ustawienie .FileEngineSettings.ProtectionOnlyEngine = true Ta właściwość musi być ustawiona jako operacje etykietowania (zasad) nie są obsługiwane w przypadku punktów końcowych ochrony usług AD RMS.

// Configure FileEngineSettings as protection only engine.
var engineSettings = new FileEngineSettings("", authDelegate, "", "en-US")
{
     // Provide the identity for service discovery.
     Identity = identity,
     // Set ProtectionOnlyEngine to true for AD RMS as labeling isn't supported
     ProtectionOnlyEngine = true
};

Aktualizowanie delegata uwierzytelniania

Jeśli używasz biblioteki ADAL w aplikacji .NET, musisz wprowadzić zmianę Microsoft.InformationProtection.AuthDelegate w implementacji, aby wyłączyć walidację urzędu. Wyłącz walidację urzędu, ustawiając w konstruktorze AuthenticationContextwartość validateAuthority false.

AuthenticationContext authContext = new AuthenticationContext(authority, false, tokenCache);

Konfigurowanie zestawu SDK plików w języku C++ do korzystania z usług AD RMS

Jeśli wdrożono rekord SRV rozszerzenia urządzenia przenośnego i planujesz przekazać główną nazwę użytkownika lub adres e-mail, postępuj zgodnie z instrukcjami dotyczącymi używania tożsamości.

Aktualizowanie pliku FileEngine::Ustawienia do używania usług AD RMS za pomocą tożsamości

Jeśli rekord SRV SYSTEMU DNS dla rozwiązania MDE został opublikowany i mip::Identity jest podany w elemecie FileEngine::Settings, jedyną akcją jest ustawienie aparatu na aparat tylko do ochrony.

FileEngine::Settings engineSettings(mip::Identity(mUsername), "");
engineSettings.SetProtectionOnlyEngine = true;

Konfigurowanie zestawu SDK ochrony w języku C++ do korzystania z usług AD RMS

Jeśli wdrożono rekord SRV rozszerzenia urządzenia przenośnego i planujesz przekazać główną nazwę użytkownika lub adres e-mail, postępuj zgodnie z instrukcjami dotyczącymi używania tożsamości.

Ustaw właściwość ProtectionEngine::Ustawienia, aby używać usług AD RMS z tożsamością

Jeśli rekord SRV SYSTEMU DNS dla rozszerzenia urządzenia przenośnego został opublikowany, a tożsamość podana w elemecie ProtectionEngine::Settings, do korzystania z usług AD RMS nie są wymagane żadne dodatkowe zmiany kodu. Odnajdywanie usługi znajdzie punkt końcowy usług AD RMS i użyje go do wykonywania operacji ochrony.

ProtectionEngine::Settings engineSettings(mip::Identity(mUsername), authDelegate, "");

Usuwanie odwołań etykiet lub komentarzy

Jeśli skompilujesz aplikację z jednego z przewodników Szybki start, przekonasz się, że aplikacja zawiera odwołania do etykiet w postaci fileEngine.SensitivityLabels lub engine->ListSensitivityLabels();. Ponieważ aplikacja została ustawiona na ochronę tylko, te bloki kodu muszą być oznaczane jako komentarz lub usuwane, ponieważ ich uruchomienie spowoduje wyjątek.

Następne kroki

Po wprowadzeniu zmian w celu obsługi usług AD RMS aplikacja może wykonywać dowolne operacje tylko do ochrony przy użyciu usługi AD RMS jako dostawcy ochrony.