Краткое руководство. Защита с помощью служб Active Directory Rights Management (AD RMS)

В этом кратком руководстве показано, как реализовать поддержку служб Active Directory Rights Management (AD RMS) с помощью пакета SDK для Microsoft Information Protection.

Примечание.

Приведенные в этом кратком руководстве действия относятся только к пакету SDK для файлов в C# или C++, а также к пакету SDK для защиты в C++.

Необходимые компоненты

Обязательно сделайте следующее, если еще этого не сделали:

• Сначала изучите статью Краткое руководство. Инициализация клиентских приложений (C++), в которой показано, как создать начальное решение в Visual Studio.
• Изучите Краткое руководство. Получение списка меток конфиденциальности (C++) или Краткое руководство. Получение списка меток конфиденциальности (C#).
• Разверните AD RMS с расширением для мобильных устройств.
• При необходимости проверьте публикацию записи DNS SRV расширения для мобильных устройств в AD RMS.

Обнаружение служб

Пакет SDK выполняет обнаружение службы на основе удостоверения mip::Identity, предоставляемого в FileEngineSettings или ProtectionEngineSettings посредством имени субъекта-пользователя или суффикса адреса электронной почты. Сначала выполняется поиск записи _rmsdisco расширения для мобильных устройств в иерархии доменов. Подробнее об этой процедуре см. в разделе Указание записей DNS SRV расширения для мобильных устройств в AD RMS. Если запись DNS SRV не найдена, в качестве расположения по умолчанию выбирается служба Azure Information Protection.

Настройка использования AD RMS в SDK для файлов в C#

Если ваше приложение использует Библиотеку проверки подлинности Active Directory (ADAL) и пакет SDK для файлов в C#, требуется внести два небольших изменения. Необходимо изменить объект FileEngineSettings и конструктор AuthenticationContext для работы с AD RMS и службами федерации Active Directory (AD FS).

Если вы развернули запись DNS SRV расширения для мобильных устройств и планируете передавать имя субъекта-пользователя или адрес электронной почты, следуйте инструкциям по использованию удостоверения.

Изменение параметров подсистемы файлов для использования AD RMS с удостоверением

Если запись DNS SRV расширения для мобильных устройств опубликована и в параметрах подсистемы предоставлено удостоверение Microsoft.InformationProtection.Identity, то единственное необходимое изменение кода — задать FileEngineSettings.ProtectionOnlyEngine = true. Задать это свойство необходимо, так как для конечных точек защиты AD RMS не поддерживаются операции (политики) маркировки.

// Configure FileEngineSettings as protection only engine.
var engineSettings = new FileEngineSettings("", authDelegate, "", "en-US")
{
     // Provide the identity for service discovery.
     Identity = identity,
     // Set ProtectionOnlyEngine to true for AD RMS as labeling isn't supported
     ProtectionOnlyEngine = true
};

Обновление делегата проверки подлинности

Если в вашем приложении .NET используется библиотека ADAL, необходимо изменить реализацию Microsoft.InformationProtection.AuthDelegate и отключить проверку центра сертификации. Для отключения проверки центра сертификации задайте параметру validateAuthority в конструкторе AuthenticationContext значение false.

AuthenticationContext authContext = new AuthenticationContext(authority, false, tokenCache);

Настройка использования AD RMS в SDK для файлов в C++

Если вы развернули запись DNS SRV расширения для мобильных устройств и планируете передавать имя субъекта-пользователя или адрес электронной почты, следуйте инструкциям по использованию удостоверения.

Изменение FileEngine::Settings для использования AD RMS с удостоверением

Если запись DNS SRV расширения для мобильных устройств опубликована и в FileEngine::Settings предоставлено удостоверение mip::Identity, то единственное необходимое действие — задать подсистему только для защиты.

FileEngine::Settings engineSettings(mip::Identity(mUsername), "");
engineSettings.SetProtectionOnlyEngine = true;

Настройка использования AD RMS в SDK для защиты в C++

Если вы развернули запись DNS SRV расширения для мобильных устройств и планируете передавать имя субъекта-пользователя или адрес электронной почты, следуйте инструкциям по использованию удостоверения.

Задание использования AD RMS с удостоверением в ProtectionEngine::Settings

Если запись DNS SRV расширения для мобильных устройств опубликована и в ProtectionEngine::Settings предоставлено удостоверение, никаких изменений кода для использования AD RMS не требуется. Обнаружение службы найдет конечную точку AD RMS и будет использовать ее для операций защиты.

ProtectionEngine::Settings engineSettings(mip::Identity(mUsername), authDelegate, "");

Удаление ссылок на метки или помещение их под комментарий

При создании приложения согласно каким-то из кратких руководств вы обнаружите в нем ссылки на метки в форме fileEngine.SensitivityLabels или engine->ListSensitivityLabels();. Поскольку для приложения задана только защита, необходимо удалить или закомментировать эти блоки кода, так как при их выполнении будет выдано исключение.

Дальнейшие действия

Итак, вы внесли необходимые изменения для поддержки AD RMS, и теперь ваше приложение может выполнять любые операции, связанные исключительно с защитой, используя в качестве поставщика защиты службу AD RMS.