Démarrage rapide : Protection AD RMS (Active Directory Rights Management Server)
Ce démarrage rapide vous montre comment implémenter la prise en charge d’AD RMS (Active Directory Rights Management Server) avec le SDK MIP.
Remarque
Les étapes décrites dans ce démarrage rapide s’appliquent uniquement au SDK File pour C# ou C++ et au SDK Protection pour C++.
Prérequis
Si ce n’est déjà fait, veillez à :
- Suivez d’abord Démarrage rapide : initialisation des applications clientes (C++), pour créer une solution Visual Studio de démarrage.
- Suivre Démarrage rapide : Lister les étiquettes de confidentialité (C++) ou Démarrage rapide : Lister les étiquettes de confidentialité (C#)
- Déployer AD RMS avec l’extension Appareils mobiles.
- Éventuellement vérifier que l’enregistrement DNS SRV pour l’extension Mobile Device AD RMS est publié.
Découverte de service
Le SDK procède à la découverte de services en se basant sur le mip::Identity
fourni via FileEngineSettings
ou ProtectionEngineSettings
en utilisant le suffixe de l’UPN ou de l’adresse e-mail. Il commence par rechercher la hiérarchie de domaine de l’enregistrement _rmsdisco pour l’extension Applications mobiles. Pour plus de détails sur ce processus, consultez Spécification des enregistrements SRV DNS pour l’extension Appareils mobiles AD RMS. Si cet enregistrement SRV DNS est introuvable, il est défini par défaut sur le service Azure Information Protection en tant qu’emplacement de service.
Configuration du SDK File dans C# pour utiliser AD RMS
Deux modifications mineures sont requises si votre application utilise la bibliothèque d’authentification Active Directory (ADAL) et le SDK File sur C#. L’objet FileEngineSettings
et le constructeur AuthenticationContext
doivent être mis à jour pour fonctionner avec AD RMS et AD FS (Active Directory Federations Services).
Si vous avez déployé l’enregistrement DNS SRV de l’extension Appareils mobiles et prévoyez de le transmettre à un nom d’utilisateur principal ou une adresse e-mail, suivez les instructions d’utilisation d’une identité.
Mettre à jour les paramètres du moteur de fichiers pour utiliser AD RMS avec une identité
Si l’enregistrement DNS SRV pour l’extension Appareils Mobiles a été publié et que Microsoft.InformationProtection.Identity
a été fourni dans le cadre des paramètres du moteur, la seule modification de code requise est de définir FileEngineSettings.ProtectionOnlyEngine = true
. Cette propriété doit être définie comme opérations d’étiquetage (stratégie) qui ne sont pas prises en charge pour les points de terminaison de protection AD RMS.
// Configure FileEngineSettings as protection only engine.
var engineSettings = new FileEngineSettings("", authDelegate, "", "en-US")
{
// Provide the identity for service discovery.
Identity = identity,
// Set ProtectionOnlyEngine to true for AD RMS as labeling isn't supported
ProtectionOnlyEngine = true
};
Mettre à jour le délégué d’authentification
Si vous utilisez la bibliothèque ADAL dans votre application .NET, vous devez apporter une modification à l’implémentation Microsoft.InformationProtection.AuthDelegate
afin de désactiver la validation de l’autorité. Désactivez la validation de l’autorité en définissant validateAuthority
dans le constructeur AuthenticationContext
sur false.
AuthenticationContext authContext = new AuthenticationContext(authority, false, tokenCache);
Configuration du SDK File dans C++ pour utiliser AD RMS
Si vous avez déployé l’enregistrement DNS SRV de l’extension Appareils mobiles et prévoyez de le transmettre à un nom d’utilisateur principal ou une adresse e-mail, suivez les instructions d’utilisation d’une identité.
Mettre à jour FileEngine::Settings pour utiliser AD RMS avec une identité
Si l’enregistrement DNS SRV pour l’extension Appareils Mobiles a été publié et que mip::Identity
est fourni dans FileEngine::Settings
, la seule action à entreprendre est de définir le moteur sur un moteur de protection seule.
FileEngine::Settings engineSettings(mip::Identity(mUsername), "");
engineSettings.SetProtectionOnlyEngine = true;
Configuration du SDK Protection dans C++ pour utiliser AD RMS
Si vous avez déployé l’enregistrement DNS SRV de l’extension Appareils mobiles et prévoyez de le transmettre à un nom d’utilisateur principal ou une adresse e-mail, suivez les instructions d’utilisation d’une identité.
Définir ProtectionEngine::Settings pour utiliser AD RMS avec une identité
Si l’enregistrement DNS SRV pour l’extension Appareils Mobiles a été publié et qu’une identité a été fournie dans ProtectionEngine::Settings
, aucune autre modification du code n’est requise pour utiliser AD RMS. La découverte de services recherche le point de terminaison AD RMS et l’utilise pour les opérations de protection.
ProtectionEngine::Settings engineSettings(mip::Identity(mUsername), authDelegate, "");
Supprimer ou commenter les références d’étiquette
Si vous créez l’application à partir de l’un des guides de démarrage rapide, vous découvrirez que votre application a des références à des étiquettes sous la forme fileEngine.SensitivityLabels
ou engine->ListSensitivityLabels();
. Étant donné que l’application a été définie sur Protection seule, ces blocs de code doivent être commentés ou supprimés, car leur exécution entraîne une exception.
Étapes suivantes
Maintenant que vous avez apporté les modifications pour prendre en charge AD RMS, votre application peut effectuer des opérations de protection seule en utilisant le service AD RMS comme fournisseur de protection.