Quickstart: Ad RMS-beveiliging (Active Directory Rights Management Server)
In deze quickstart ziet u hoe u ondersteuning voor Active Directory Rights Management Server (AD RMS) implementeert met behulp van DE MIP SDK.
Notitie
De stappen die in deze quickstart worden beschreven, zijn alleen van toepassing op bestands-SDK voor C# of C++ en beveiligings-SDK voor C++ alleen.
Als u dat nog niet hebt gedaan, moet u het volgende doen:
- Volledige quickstart: Initialisatie van clienttoepassingen (C++) eerst, waarmee een eenvoudige Visual Studio-oplossing wordt gebouwd.
- Volledige quickstart: Vertrouwelijkheidslabels (C++) of quickstart: Vertrouwelijkheidslabels vermelden (C#)
- AD RMS implementeren met de extensie voor mobiele apparaten.
- Zorg er desgewenst voor dat de DNS SRV-record voor AD RMS MDE wordt gepubliceerd.
De SDK voert servicedetectie uit op basis van de mip::Identity opgegeven via FileEngineSettings of ProtectionEngineSettings met behulp van het UPN- of e-mailadresachtervoegsel. Eerst wordt in de domeinhiërarchie gezocht naar de _rmsdisco record voor MDE. Raadpleeg voor meer informatie over dit proces het opgeven van de DNS SRV-records voor de extensie voor mobiele AD RMS-apparaten. Als deze DNS SRV-record niet wordt gevonden, wordt deze standaard ingesteld op de Azure Information Protection-service als de servicelocatie.
Er zijn twee kleine wijzigingen vereist als uw toepassing Gebruikmaakt van Active Directory Authentication Library (ADAL) en de File SDK op C#. Het FileEngineSettings object en AuthenticationContext de constructor moeten worden bijgewerkt om te kunnen functioneren met AD RMS en Active Directory Federations Services (ADFS).
Als u de DNS SRV-record voor de extensie voor mobiele apparaten hebt geïmplementeerd en een user principal name of e-mailadres wilt doorgeven, volgt u de instructies voor het gebruik van een identiteit.
Als de DNS SRV-record voor MDE is gepubliceerd en Microsoft.InformationProtection.Identity is opgegeven als onderdeel van de engine-instellingen, is de enige vereiste codewijziging ingesteld FileEngineSettings.ProtectionOnlyEngine = true. Deze eigenschap moet worden ingesteld als labelbewerkingen (beleid) worden niet ondersteund voor AD RMS-beveiligingseindpunten.
// Configure FileEngineSettings as protection only engine.
var engineSettings = new FileEngineSettings("", authDelegate, "", "en-US")
{
// Provide the identity for service discovery.
Identity = identity,
// Set ProtectionOnlyEngine to true for AD RMS as labeling isn't supported
ProtectionOnlyEngine = true
};
Als u de ADAL in uw .NET-toepassing gebruikt, moet u een wijziging aanbrengen in de Microsoft.InformationProtection.AuthDelegate implementatie om autorisatievalidatie uit te schakelen. Schakel autorisatievalidatie uit door in de constructor in AuthenticationContext te stellen validateAuthority op false.
AuthenticationContext authContext = new AuthenticationContext(authority, false, tokenCache);
Als u de DNS SRV-record voor de extensie voor mobiele apparaten hebt geïmplementeerd en een user principal name of e-mailadres wilt doorgeven, volgt u de instructies voor het gebruik van een identiteit.
Als de DNS SRV-record voor MDE is gepubliceerd en mip::Identity is opgegeven in de FileEngine::Settings, dan is de enige actie het instellen van de engine op een alleen-beveiliging engine.
FileEngine::Settings engineSettings(mip::Identity(mUsername), "");
engineSettings.SetProtectionOnlyEngine = true;
Als u de DNS SRV-record voor de extensie voor mobiele apparaten hebt geïmplementeerd en een user principal name of e-mailadres wilt doorgeven, volgt u de instructies voor het gebruik van een identiteit.
Als de DNS SRV-record voor de extensie voor mobiele apparaten is gepubliceerd en er een identiteit is opgegeven in de ProtectionEngine::Settings, zijn er geen extra codewijzigingen vereist voor het gebruik van AD RMS. Servicedetectie vindt het AD RMS-eindpunt en gebruikt dit voor beveiligingsbewerkingen.
ProtectionEngine::Settings engineSettings(mip::Identity(mUsername), authDelegate, "");
Als u de toepassing bouwt vanuit een van de quickstartgidsen, zult u merken dat uw toepassing verwijzingen heeft naar labels in de vorm van fileEngine.SensitivityLabels of engine->ListSensitivityLabels();. Omdat de toepassing alleen is ingesteld op beveiliging, moeten deze codeblokken worden uitgeschakeld of verwijderd omdat deze worden uitgevoerd, een uitzondering veroorzaken.
Nu u de wijzigingen hebt aangebracht ter ondersteuning van AD RMS, kunt u met uw toepassing alle bewerkingen met alleen beveiliging uitvoeren met behulp van de AD RMS-service als beveiligingsprovider.