Po povolení podpory federovaných identit mohou uživatelské účty používat pověření vytvořená federovaným vztahem důvěryhodnosti prostřednictvím služby AD FS (Active Directory Federation Services) jako základ pro získání certifikátu certifikát RAC od clusteru služby AD RMS. Toto je alternativní postup k nastavení důvěryhodných domén pro publikování nebo důvěryhodných uživatelských domén mezi entitami, které již dříve vytvořily infrastrukturu důvěryhodnosti, takže cluster ve většině případů podporuje uživatele v rámci organizace a uživatele z partnerské organizace.

Pokud jsou certifikáty certifikáty RAC vydány federovanou identitou, neplatí období platnosti standardního certifikátu účtu práv. Období platnosti certifikátu RAC je zadáno v nastavení Podpora federovaných identit. Uživatelé s federovanými identitami nepoužívají dočasné certifikáty účtů práv.

Ve výchozím nastavení nejsou federované vztahy důvěryhodnosti přenosné. Pokud je mezi dvěma organizacemi vytvořen federovaný vztah důvěryhodnosti, nejsou všechny důvěryhodné uživatelské domény služby AD RMS vytvořené v jedné z organizací označeny automaticky jako důvěryhodné také v druhé organizaci. Pokud však importujete důvěryhodnou uživatelskou doménu, je možné důvěřovat federovaným uživatelům v importované doméně.

Při povolení adres proxy prostřednictvím federovaného vztahu důvěryhodnosti je nutná velká opatrnost. Pokud povolíte proxy adresy prostřednictvím federace, je možné, aby uživatel se zlými úmysly zneužil pověření uživatele a získal přístup k obsahu chráněnému na základě oprávnění uživatele. Jestliže jsou adresy proxy prostřednictvím federace požadavkem vaší organizace, měli byste implementovat modul převodu deklarací, který zkontroluje adresu proxy od federovaného uživatele a ověří, že odpovídá doménové struktuře, ze které požadavek pochází. Ve výchozím nastavení je možnost povolení adresy proxy od federovaného uživatele v konzole služby Active Directory Rights Management Services vypnuta.

Členství v místní skupině AD RMS Enterprise Administratorsči ekvivalentních skupinách je minimálním předpokladem pro dokončení tohoto postupu.

Povolení a konfigurace nastavení podpory federované identity
  1. Spusťte konzolu služby Active Directory Rights Management Services a rozbalte cluster služby AD RMS.

  2. Ve stromu konzoly rozbalte položku Zásady důvěryhodnosti a potom klikněte na položku Podpora federovaných identit.

  3. V podokně Akce klikněte na možnost Povolit podporu federovaných identit, tím zapnete podporu federovaných identit.

  4. V podokně Akce klikněte na možnost Vlastnosti.

  5. Na kartě Zásady služby AD FS (Active Directory Federation Services) zadejte do pole Období platnosti federovaných certifikátů identit (dny) počet dní, po které mají být federované certifikáty účtu práv platné.

  6. Do pole Použít výchozí adresu URL služby federovaných certifikátů identit zadejte umístění kořenového clusteru, který bude poskytovat certifikáty RAC externím uživatelům. Pokud je vybrána výchozí hodnota, budou uživatelé požadovat certifikát RAC od clusteru služby AD RMS, který obsah publikoval.

  7. Klikněte na tlačítko OK.

Další informace

Další informace

Obsah