Início Rápido: proteção do AD RMS (Active Directory Rights Management Server)
Este início rápido mostra como implementar o suporte para o AD RMS (Active Directory Rights Management Server) usando SDK da PIM.
Observação
As etapas descritas neste início rápido se aplicam apenas ao SDK de arquivo C# ou C++ e ao SDK de proteção somente para C++.
Pré-requisitos
Caso ainda não tenha feito, faça o seguinte:
- Conclua primeiro o Guia de início rápido: inicialização de aplicativo cliente (C++), que compila uma solução inicial do Visual Studio.
- Conclua o Início Rápido: listar rótulos de confidencialidade (C++) ou o Início Rápido: listar rótulos de confidencialidade (C#)
- Implante o AD RMS com a Extensão de Dispositivo Móvel.
- Opcionalmente, verifique se o registro SRV do DNS do MDE do AD RMS foi publicado.
Descoberta de Serviços
O SDK faz a descoberta de serviço com base no mip::Identity fornecido por meio de FileEngineSettings ou ProtectionEngineSettings usando o UPN ou o sufixo de endereço de email. Primeiro, ele pesquisa o registro _rmsdisco do MDE na hierarquia de domínio. Para saber mais detalhes sobre esse processo, examine Como especificar os registros SRV do DNS para a extensão de dispositivo móvel do AD RMS. Se esse registro SRV do DNS não for encontrado, será usado o padrão do serviço Proteção de Informações do Azure como a localização do serviço.
Como configurar o SDK de arquivo C# para usar o AD RMS
Duas alterações pequenas serão necessárias se o aplicativo estiver usando a ADAL (Biblioteca de Autenticação do Active Directory) e o SDK de arquivo em C#. O objeto FileEngineSettings e o construtor AuthenticationContext precisam ser atualizados para funcionar com o AD RMS e o ADFS (Active Directory Federations Services).
Se você implantou o registro SRV do DNS de extensão de dispositivo móvel e planeja passar um nome UPN ou um endereço de email, siga as instruções para usar uma identidade.
Atualizar as configurações de mecanismo de arquivo usar o AD RMS com uma identidade
Se o registro SRV do DNS do MDE foi publicado e o Microsoft.InformationProtection.Identity fornecido nas configurações do mecanismo, a única alteração de código necessária será definir FileEngineSettings.ProtectionOnlyEngine = true. Essa propriedade precisa ser definida porque as operações de rotulagem (política) não são compatíveis com os pontos de extremidade de proteção do AD RMS.
// Configure FileEngineSettings as protection only engine.
var engineSettings = new FileEngineSettings("", authDelegate, "", "en-US")
{
// Provide the identity for service discovery.
Identity = identity,
// Set ProtectionOnlyEngine to true for AD RMS as labeling isn't supported
ProtectionOnlyEngine = true
};
Atualizar o representante de autenticação
Se você está usando a ADAL no aplicativo .NET, faça uma alteração na implementação de Microsoft.InformationProtection.AuthDelegate para desabilitar a validação de autoridade. Desabilite a validação de autoridade definindo validateAuthority no construtor AuthenticationContext como false.
AuthenticationContext authContext = new AuthenticationContext(authority, false, tokenCache);
Como configurar o SDK de arquivo em C++ para usar o AD RMS
Se você implantou o registro SRV do DNS de extensão de dispositivo móvel e planeja passar um nome UPN ou um endereço de email, siga as instruções para usar uma identidade.
Atualizar FileEngine::Settings para usar o AD RMS com uma identidade
Se o registro SRV do DNS do MDE foi publicado e o mip::Identity fornecido no FileEngine::Settings, a única ação será definir o mecanismo como um mecanismo somente de proteção.
FileEngine::Settings engineSettings(mip::Identity(mUsername), "");
engineSettings.SetProtectionOnlyEngine = true;
Como configurar o SDK de Proteção em C++ para usar o AD RMS
Se você implantou o registro SRV do DNS de extensão de dispositivo móvel e planeja passar um nome UPN ou um endereço de email, siga as instruções para usar uma identidade.
Definir ProtectionEngine::Settings para usar o AD RMS com uma identidade
Se o registro SRV do DNS da extensão de dispositivo móvel foi publicado e uma identidade foi fornecida no ProtectionEngine::Settings, não será necessária nenhuma alteração de código adicional para usar o AD RMS. A descoberta de serviço encontrará o ponto de extremidade do AD RMS e o usará para operações de proteção.
ProtectionEngine::Settings engineSettings(mip::Identity(mUsername), authDelegate, "");
Remover ou comentar referências de rótulo
Se você criar o aplicativo por meio de um dos inícios rápidos, verá que o aplicativo tem referências a rótulos na forma de fileEngine.SensitivityLabels ou engine->ListSensitivityLabels();. Como o aplicativo foi definido apenas como proteção, esses blocos de código precisam ser comentados ou removidos, pois a execução deles causará uma exceção.
Próximas etapas
Agora que você fez as alterações para dar suporte ao AD RMS, o aplicativo pode executar qualquer operação somente de proteção usando o serviço AD RMS como provedor de proteção.