빠른 시작: AD RMS(Active Directory Rights Management Server) 보호

  • 아티클

이 빠른 시작에서는 MIP SDK를 사용하여 AD RMS(Active Directory Rights Management Server)에 대한 지원을 구현하는 방법을 보여 줍니다.

참고 항목

이 빠른 시작에 설명된 단계는 C# 또는 C++용 파일 SDK 및 C++용 보호 SDK에만 적용할 수 있습니다.

필수 조건

아직 없는 경우 다음을 확인해야 합니다.

서비스 검색

SDK는 UPN 또는 메일 주소 접미사를 사용하여 FileEngineSettings 또는 ProtectionEngineSettings를 통해 제공된 mip::Identity를 기반으로 서비스 검색을 수행합니다. 먼저 MDE에 대한 _rmsdisco 레코드의 도메인 계층 구조를 검색합니다. 이 프로세스에 대한 자세한 내용은 AD RMS 모바일 디바이스 확장에 대한 DNS SRV 레코드 지정을 검토하세요. 해당 DNS SRV 레코드를 찾을 수 없는 경우 기본적으로 Azure Information Protection 서비스를 서비스 위치로 지정합니다.

AD RMS를 사용하는 C#에서 파일 SDK 구성

애플리케이션이 ADAL(Active Directory 인증 라이브러리)과 C#의 파일 SDK를 사용하는 경우 두 가지 작은 변경이 필요합니다. AD RMS 및 ADFS(Active Directory Federations Services)를 사용하여 작동하려면 FileEngineSettings 개체 및 AuthenticationContext 생성자를 업데이트해야 합니다.

모바일 디바이스 확장 DNS SRV 레코드를 배포하고 사용자 계정 이름 또는 이메일 주소를 전달할 계획인 경우 ID 사용 지침을 따릅니다.

ID로 AD RMS를 사용하는 파일 엔진 설정 업데이트

MDE에 대한 DNS SRV 레코드가 게시되고 Microsoft.InformationProtection.Identity가 엔진 설정의 일부로 제공된 경우 유일한 필수 코드 변경은 FileEngineSettings.ProtectionOnlyEngine = true를 설정하는 것입니다. AD RMS 보호 엔드포인트에 대해 레이블 지정(정책) 작업이 지원되지 않으므로 이 속성을 설정해야 합니다.

// Configure FileEngineSettings as protection only engine.
var engineSettings = new FileEngineSettings("", authDelegate, "", "en-US")
{
     // Provide the identity for service discovery.
     Identity = identity,
     // Set ProtectionOnlyEngine to true for AD RMS as labeling isn't supported
     ProtectionOnlyEngine = true
};

인증 대리자 업데이트

.NET 애플리케이션에서 ADAL을 사용하는 경우 권한 유효성 검사를 사용하지 않도록 Microsoft.InformationProtection.AuthDelegate 구현을 변경해야 합니다. AuthenticationContext 생성자에서 validateAuthorityfalse로 설정하여 권한 유효성 검사를 사용하지 않도록 설정합니다.

AuthenticationContext authContext = new AuthenticationContext(authority, false, tokenCache);

AD RMS를 사용하는 C++에서 파일 SDK 구성

모바일 디바이스 확장 DNS SRV 레코드를 배포하고 사용자 계정 이름 또는 이메일 주소를 전달할 계획인 경우 ID 사용 지침을 따릅니다.

ID로 AD RMS를 사용하는 FileEngine::Settings 업데이트

MDE에 대한 DNS SRV 레코드가 게시되고 FileEngine::Settingsmip::Identity가 제공된 경우 유일한 작업은 엔진을 보호 전용 엔진으로 설정하는 것입니다.

FileEngine::Settings engineSettings(mip::Identity(mUsername), "");
engineSettings.SetProtectionOnlyEngine = true;

AD RMS를 사용하는 C++에서 보호 SDK 구성

모바일 디바이스 확장 DNS SRV 레코드를 배포하고 사용자 계정 이름 또는 이메일 주소를 전달할 계획인 경우 ID 사용 지침을 따릅니다.

ID로 AD RMS를 사용하는 ProtectionEngine::Settings 설정

모바일 디바이스 확장에 대한 DNS SRV 레코드가 게시되고 ProtectionEngine::Settings에 제공된 ID인 경우 AD RMS를 사용하는 데 추가 코드 변경이 필요하지 않습니다. 서비스 검색은 AD RMS 엔드포인트를 찾아 보호 작업에 사용할 수 있습니다.

ProtectionEngine::Settings engineSettings(mip::Identity(mUsername), authDelegate, "");

레이블 참조 제거 또는 주석

빠른 시작 가이드 중 하나에서 애플리케이션을 빌드하는 경우 애플리케이션에 fileEngine.SensitivityLabels 또는 engine->ListSensitivityLabels(); 형식의 레이블에 대한 참조가 있습니다. 애플리케이션이 보호로만 설정되어 있기 때문에 이러한 코드 블록을 실행하면 예외가 발생하므로 이를 주석 처리하거나 제거해야 합니다.

다음 단계

이제 AD RMS를 지원하도록 변경되었으므로 애플리케이션은 AD RMS 서비스를 보호 공급자로 사용하여 모든 보호 전용 작업을 수행할 수 있습니다.