Inicio rápido: Protección de Active Directory Rights Management Server (AD RMS)
Este inicio rápido le mostrará cómo implementar el soporte técnico para Active Directory Rights Management Server (AD RMS) con el SDK de MIP.
Nota:
Los pasos descritos en este inicio rápido solo se aplican al SDK de archivos para C# o C++, y el SDK de protección solo para C++.
Requisitos previos
Si aún no lo ha hecho:
- Complete primero el Inicio rápido: Inicialización de aplicaciones cliente (C++), que compila una solución de inicio de Visual Studio.
- Complete Inicio rápido: Enumeración de etiquetas de confidencialidad (C++) o Inicio rápido: Enumeración de etiquetas de confidencialidad (C#)
- Implemente la extensión para dispositivos móviles de AD RMS.
- Opcionalmente, asegúrese de que se publique el registro SRV DNS para MDE de AD RMS.
Detección de servicios
El SDK realiza la detección de servicios en función del elemento mip::Identity proporcionado a través de FileEngineSettings o ProtectionEngineSettings mediante el sufijo UPN o la dirección de correo. Primero busca en la jerarquía de dominios el registro _rmsdisco de MDE. Para más información sobre el proceso, revise Especificación de los registros de servidor DNS para la extensión para dispositivos móviles de AD RMS. Si no se encuentra ese registro SRV de DNS, el servicio Azure Information Protection se usa de forma predeterminada como ubicación del servicio.
Configuración del SDK de archivos en C# para usar AD RMS
Se necesitan dos cambios menores si la aplicación usa la Biblioteca de autenticación de Active Directory (ADAL) y el SDK de archivos en C#. El objeto FileEngineSettings y el constructor AuthenticationContext se deben actualizar para que funcionen con AD RMS y Active Directory Federations Services (ADFS).
Si ha implementado el registro SRV de DNS de la extensión para dispositivos móviles y tiene previsto pasar un nombre principal de usuario o una dirección de correo electrónico, siga las instrucciones para usar una identidad.
Actualización de la configuración del motor de archivos para usar AD RMS con una identidad
Si el registro SRV de DNS para MDE se ha publicado y se ha proporcionado Microsoft.InformationProtection.Identity como parte de la configuración del motor, el único cambio de código necesario consiste en establecer FileEngineSettings.ProtectionOnlyEngine = true. Es obligatorio establecer esta propiedad, ya que las operaciones de etiquetado (directiva) no son compatibles con los puntos de conexión de protección de AD RMS.
// Configure FileEngineSettings as protection only engine.
var engineSettings = new FileEngineSettings("", authDelegate, "", "en-US")
{
// Provide the identity for service discovery.
Identity = identity,
// Set ProtectionOnlyEngine to true for AD RMS as labeling isn't supported
ProtectionOnlyEngine = true
};
Actualización del delegado de autenticación
Si usa ADAL en la aplicación .NET, tendrá que realizar un cambio en la implementación de Microsoft.InformationProtection.AuthDelegate para deshabilitar la validación de autoridades. Para deshabilitar la validación de autoridades, establezca validateAuthority en el constructor de AuthenticationContext en false.
AuthenticationContext authContext = new AuthenticationContext(authority, false, tokenCache);
Configuración del SDK de archivos en C++ para usar AD RMS
Si ha implementado el registro SRV de DNS de la extensión para dispositivos móviles y tiene previsto pasar un nombre principal de usuario o una dirección de correo electrónico, siga las instrucciones para usar una identidad.
Actualización de la configuración del motor de archivos para usar AD RMS con una identidad
Si el registro SRV de DNS para MDE se ha publicado y se ha proporcionado mip::Identity en FileEngine::Settings, la única acción consiste en establecer el motor en uno de solo protección.
FileEngine::Settings engineSettings(mip::Identity(mUsername), "");
engineSettings.SetProtectionOnlyEngine = true;
Configuración del SDK de protección en C++ para usar AD RMS
Si ha implementado el registro SRV de DNS de la extensión para dispositivos móviles y tiene previsto pasar un nombre principal de usuario o una dirección de correo electrónico, siga las instrucciones para usar una identidad.
Establecimiento de la configuración del motor de protección para usar AD RMS con una identidad
Si se ha publicado el registro SRV de DNS para la extensión de dispositivos móviles y se proporciona una identidad en ProtectionEngine::Settings, no se necesitan cambios de código adicionales para usar AD RMS. La detección de servicios encontrará el punto de conexión de AD RMS y lo usará para las operaciones de protección.
ProtectionEngine::Settings engineSettings(mip::Identity(mUsername), authDelegate, "");
Eliminación o conversión en comentario de las referencias de etiqueta
Si compila la aplicación a partir de una de las guías de inicio rápido, comprobará que tiene referencias a etiquetas con el formato fileEngine.SensitivityLabels o engine->ListSensitivityLabels();. Como la aplicación se ha establecido solo en protección, estos bloques de código se deben convertir en comentarios o quitarse, ya que ejecutarlos iniciará una excepción.
Pasos siguientes
Ahora que ha realizado los cambios para admitir AD RMS, la aplicación puede realizar cualquier operación de solo protección con el servicio AD RMS como proveedor de protección.