Quando activado, o Suporte de Identidade Federada permite que as contas de utilizador usem credenciais estabelecidas por uma relação de fidedignidade federada através dos Serviços de Federação do Active Directory (AD FS) como base para obter um Certificado de conta de direitos (RAC - Rights Account Certificate) de um cluster de AD RMS. Isto constitui uma alternativa à configuração de domínios de publicação fidedignos ou domínios de utilizadores fidedignos entre entidades que tenham estabelecido anteriormente infra-estruturas de fidedignidade, dado que na maioria dos casos o cluster suporta utilizadores internos à organização e utilizadores de uma organização de parceiros.

Quando são emitidos certificados de conta de direitos (RACs) por uma identidade federada, o prazo de validade do certificado de conta de direitos padrão não se aplica. Em vez disso, o prazo de validade do RAC é especificado na definição Suporte de Identidade Federada. Os utilizadores com identidades federadas não utilizam certificados de conta de direitos temporários.

Por predefinição, as relações de fidedignidade federada não são transitórias. Quando uma relação de fidedignidade federada é estabelecida entre duas organizações, quaisquer domínios de utilizadores fidedignos do AD RMS que sejam estabelecidos em qualquer das organizações não são automaticamente considerados fidedignos pela outra organização. No entanto, quando importar um Domínio de Utilizadores Fidedigno, existe a opção de considerar fidedignos utilizadores federados do domínio importado.

A permissão de endereços proxy através de uma relação de fidedignidade federada deverá ser feita com muita precaução. Se permitir endereços proxy através de uma federação, um utilizador malicioso poderá falsificar as credenciais de um utilizador autorizado e aceder ao conteúdo protegido por direitos desse utilizador. Se endereços proxy através de federação forem um requisito da organização, deve implementar um módulo de transformação de afirmações que examinará um endereço proxy de um utilizador federado e garantirá que corresponde à floresta em que o pedido teve origem. A opção de permitir um endereço proxy de um utilizador federado está desactivada por predefinição na consola Serviços de Gestão de Direitos do Active Directory.

Ser membro do grupo local de Administradores da empresa AD RMS, ou equivalente, é o requisito mínimo para concluir este procedimento.

Para activar e configurar definições de suporte de identidade federada
  1. Abra a consola Serviços de Gestão de Direitos do Active Directory e expanda o cluster de AD RMS.

  2. Na árvore da consola, expanda Políticas de Fidedignidade e clique em Suporte de Identidade Federada.

  3. No painel Acções, clique em Activar Suporte de Identidade Federada para activar o Suporte de Identidade Federada.

  4. No painel Acções, clique em Propriedades.

  5. No separador Políticas do Serviço de Federação do Active Directory, em Período de validade do Certificado de Identidade Federada, escreva o número de dias que os certificados de conta de direitos federada serão válidos.

  6. Em URL do Serviço de Certificados de Identidade Federada, forneça a localização do cluster de raiz que fornecerá RACs a utilizadores externos. Se for seleccionada a predefinição, os utilizadores tentarão obter um RAC do cluster de AD RMS que publicou o conteúdo.

  7. Clique em OK.

Considerações adicionais

Referências adicionais

Sumário