Guida introduttiva: Protezione di Active Directory Rights Management Server (AD RMS)

Questa guida introduttiva illustra come implementare il supporto per Active Directory Rights Management Server (AD RMS) con MIP SDK.

Nota

I passaggi descritti in questa guida introduttiva si applicano solo a File SDK per C# o C++ e Protection SDK per C++.

Prerequisiti

Se non è già stato fatto, assicurarsi di:

• Completare l'avvio rapido: Inizializzazione dell'applicazione client (C++), che compila prima una soluzione visual Studio iniziale.
• Completare Avvio rapido: Elencare le etichette di riservatezza (C++) o Avvio rapido: Elencare le etichette di riservatezza (C#)
• Distribuire AD RMS con l'estensione per dispositivi mobili.
• Facoltativamente, verificare che il record SRV DNS per AD RMS MDE sia pubblicato.

Individuazione del servizio

L'SDK esegue l'individuazione dei servizi in base all'oggetto mip::Identity fornito tramite FileEngineSettings o ProtectionEngineSettings usando il suffisso UPN o indirizzo di posta elettronica. Cerca prima di tutto nella gerarchia di dominio il record _rmsdisco per MDE. Per altre informazioni su questo processo, vedere Specifica dei record SRV DNS per l'estensione del dispositivo mobile AD RMS. Se il record SRV DNS non viene trovato, per impostazione predefinita viene impostato sul servizio Azure Information Protection come percorso del servizio.

Configurazione di File SDK in C# per l'uso di AD RMS

Se l'applicazione usa Active Directory Authentication Library (ADAL) e File SDK in C#, sono necessarie due modifiche secondarie. L'oggetto e AuthenticationContext il FileEngineSettings costruttore devono essere aggiornati per funzionare con AD RMS e Active Directory Federations Services (ADFS).

Se è stato distribuito il record SRV DNS dell'estensione del dispositivo mobile e si prevede di passare un nome dell'entità utente o un indirizzo di posta elettronica, seguire le istruzioni per l'uso di un'identità.

Aggiornare il Impostazioni del motore di file per usare AD RMS con un'identità

Se il record SRV DNS per MDE è stato pubblicato ed Microsoft.InformationProtection.Identity è stato fornito come parte delle impostazioni del motore, l'unica modifica del codice necessaria consiste nell'impostare FileEngineSettings.ProtectionOnlyEngine = true. Questa proprietà deve essere impostata come operazioni di etichettatura (criteri) non sono supportate per gli endpoint di protezione DI AD RMS.

// Configure FileEngineSettings as protection only engine.
var engineSettings = new FileEngineSettings("", authDelegate, "", "en-US")
{
     // Provide the identity for service discovery.
     Identity = identity,
     // Set ProtectionOnlyEngine to true for AD RMS as labeling isn't supported
     ProtectionOnlyEngine = true
};

Aggiornare il delegato di autenticazione

Se si usa ADAL nell'applicazione .NET, è necessario apportare una modifica all'implementazione per disabilitare la Microsoft.InformationProtection.AuthDelegate convalida dell'autorità. Disabilitare la convalida dell'autorità impostando validateAuthority nel AuthenticationContext costruttore su false.

AuthenticationContext authContext = new AuthenticationContext(authority, false, tokenCache);

Configurazione di File SDK in C++ per l'uso di AD RMS

Se è stato distribuito il record SRV DNS dell'estensione del dispositivo mobile e si prevede di passare un nome dell'entità utente o un indirizzo di posta elettronica, seguire le istruzioni per l'uso di un'identità.

Aggiornare FileEngine::Impostazioni per usare AD RMS con un'identità

Se il record SRV DNS per MDE è stato pubblicato e mip::Identity viene fornito in , l'unica azione consiste nell'impostare FileEngine::Settingsil motore su un motore di sola protezione.

FileEngine::Settings engineSettings(mip::Identity(mUsername), "");
engineSettings.SetProtectionOnlyEngine = true;

Configurazione di Protection SDK in C++ per l'uso di AD RMS

Se è stato distribuito il record SRV DNS dell'estensione del dispositivo mobile e si prevede di passare un nome dell'entità utente o un indirizzo di posta elettronica, seguire le istruzioni per l'uso di un'identità.

Impostare ProtectionEngine::Impostazioni per usare AD RMS con un'identità

Se il record SRV DNS per l'estensione del dispositivo mobile è stato pubblicato e un'identità fornita in ProtectionEngine::Settings, non sono necessarie modifiche aggiuntive al codice per l'uso di AD RMS. L'individuazione dei servizi troverà l'endpoint AD RMS e lo userà per le operazioni di protezione.

ProtectionEngine::Settings engineSettings(mip::Identity(mUsername), authDelegate, "");

Rimuovere o commentare i riferimenti alle etichette

Se si compila l'applicazione da una delle guide di avvio rapido, si scoprirà che l'applicazione include riferimenti alle etichette sotto forma di fileEngine.SensitivityLabels o engine->ListSensitivityLabels();. Poiché l'applicazione è stata impostata solo per la protezione, questi blocchi di codice devono essere commentati o rimossi perché vengono eseguiti causeranno un'eccezione.

Passaggi successivi

Dopo aver apportato le modifiche per supportare AD RMS, l'applicazione può eseguire qualsiasi operazione di sola protezione usando il servizio AD RMS come provider di protezione.