U kunt een vertrouwensbeleid toevoegen aan AD RMS, zodat licentieaanvragen kunnen worden verwerkt voor inhoud die met rechten is beveiligd door een ander AD RMS-cluster. U kunt als volgt een vertrouwensbeleid definiëren:
-
Vertrouwde gebruikersdomeinen. Door een vertrouwd gebruikersdomein toe te voegen kan het AD RMS-hoofdcluster aanvragen verwerken voor clientlicentiecertificaten of licenties gebruiken van gebruikers wiens rechtenaccountcertificaten (RAC's) werden uitgegeven door een ander AD RMS-hoofdcluster. U voegt een vertrouwd gebruikersdomein toe door het serverlicentiecertificaat te importeren van het AD RMS-cluster dat moet worden vertrouwd.
-
Vertrouwde uitgiftedomeinen. Door een vertrouwd uitgiftedomein toe te voegen kan een bepaald AD RMS-cluster gebruikslicenties verlenen voor uitgiftelicenties die zijn verleend door een ander AD RMS-cluster. U voegt een vertrouwd uitgiftedomein toe door het serverlicentiecertificaat en de persoonlijke sleutel te importeren van de server die moet worden vertrouwd.
-
Windows Live ID. Door een vertrouwensrelatie in te stellen met de online-RMS-service van Microsoft kan een AD RMS-gebruiker met rechten beveiligde inhoud verzenden naar een gebruiker met een Windows Live ID. De Windows Live ID-gebruiker kan met rechten beveiligde inhoud gebruiken van het AD RMS-cluster dat een vertrouwensrelatie heeft met de online-RMS-service van Microsoft, maar de Windows Live ID-gebruiker kan geen inhoud maken die met rechten wordt beveiligd door het AD RMS-cluster.
-
Federatieve vertrouwensrelatie. U kunt een federatieve vertrouwensrelatie tussen twee forests instellen door Active Directory Federation Services te gebruiken. Dit is handig als AD RMS niet is geïnstalleerd in het ene forest, maar de gebruikers ervan met rechten beveiligde inhoud uit het andere forest moeten gebruiken. Zie Instellingen voor de ondersteuning van federatieve identiteiten configureren voor meer informatie over het instellen van federatieve ondersteuning in AD RMS.
-
Microsoft Federation Gateway. Door het instellen van een vertrouwen via Microsoft Federation Gateway kan een AD RMS-cluster verzoeken om certificering en licentieverlening van externe organisaties accepteren door verificatietokens op basis van claims te accepteren van Microsoft Federation Gateway. Microsoft Federation Gateway fungeert in feite als een vertrouwde broker tussen de twee organisaties door de identiteit te verifiëren van de twee organisaties in de transactie. Bij het instellen van een vertrouwensrelatie via Microsoft Federation Gateway is in tegenstelling tot een federatief vertrouwen geen forest in de ene organisatie nodig om expliciet te kunnen communiceren met een forest in de andere organisatie. In plaats daarvan kunt u met filterlijsten bepalen welke domeinen certificaten of licenties van het AD RMS-cluster mogen ontvangen.
Microsoft© Exchange Server 2010 bijvoorbeeld kan van deze mogelijkheid gebruikmaken door berichten die worden beveiligd door AD RMS, te verzenden tussen organisaties die niet de infrastructuur van Active Directory Domain Services delen. Exchange Server 2010 bevat een aantal functies voor ondersteuning van veilige berichten met behulp van AD RMS. Dat zijn onder andere de volgende functies die vertrouwen op Microsoft Federation Gateway:
-
De mogelijkheid om door AD RMS beveiligde e-mailberichten te verzenden naar iemand buiten de organisatie van de afzender. De ontvanger kan vervolgens het bericht open in Exchange Server 2010 Outlook Web Access (OWA) of in Microsoft Outlook.
-
De mogelijkheid om als afzender een ontvangende organisatie waar Exchange Server 2010 wordt gebruikt, toestemming te verlenen om inhoud voor zaken zoals dagboeken en scannen op malware te decoderen.
-
De mogelijkheid om door AD RMS beveiligde e-mailberichten te verzenden naar iemand buiten de organisatie van de afzender. De ontvanger kan vervolgens het bericht open in Exchange Server 2010 Outlook Web Access (OWA) of in Microsoft Outlook.