Se pueden agregar directivas de confianza para que AD RMS procese las solicitudes de licencia relativas al contenido que un clúster de AD RMS distinto ha protegido con derechos. Las directivas de confianza se pueden definir del siguiente modo:
-
Dominios de usuario de confianza. La adición de un dominio de usuario de confianza permite que el clúster raíz de AD RMS procese solicitudes de certificados de emisor de licencias o licencias de uso procedentes de usuarios cuyos certificados de cuenta de derechos (RAC) ha emitido un clúster raíz de AD RMS distinto. Un dominio de usuario de confianza se agrega importando el certificado de emisor de licencias de servidor del clúster de AD RMS en el que se va a confiar.
-
Dominios de publicación de confianza. La adición de un dominio de publicación de confianza permite que un clúster de AD RMS emita licencias de uso en licencias de publicación que ha emitido un clúster de AD RMS distinto. Un dominio de publicación de confianza se agrega importando el certificado de emisor de licencias de servidor y la clave privada del servidor en el que se va a confiar.
-
Windows Live ID. La configuración de una confianza con el servicio RMS en línea de Microsoft permite que un usuario de AD RMS envíe contenido protegido por derechos a un usuario con Windows Live ID. De este modo, el usuario de Windows Live ID podrá usar el contenido protegido por derechos del clúster de AD RMS que cuente con el servicio RMS en línea de Microsoft de confianza, si bien el usuario de Windows Live ID no podrá crear contenido que el clúster de AD RMS haya protegido con derechos.
-
Confianza federada. El establecimiento de una confianza federada entre dos bosques se lleva a cabo usando los Servicios de federación de Active Directory. Esto resulta útil en caso de que un bosque no tenga AD RMS instalado, pero sus usuarios necesiten consumir contenido protegido por derechos de otro bosque. Para obtener información acerca de la configuración de la compatibilidad de federación en AD RMS, vea Establecimiento de la configuración de la Compatibilidad con identidad federada.
-
Microsoft Federation Gateway. Al establecer una relación de confianza mediante Microsoft Federation Gateway, un clúster de AD RMS puede aceptar las solicitudes de certificación y licencia de organizaciones externas al aceptar los tokens de autenticación basada en notificaciones de Microsoft Federation Gateway. De hecho, Microsoft Federation Gateway actúa como agente de confianza entre las dos organizaciones al comprobar la identidad de las mismas en la transacción. A diferencia de una confianza federada, al establecer una relación de confianza mediante Microsoft Federation Gateway no es necesario que un bosque de una organización se federe de forma explícita con un bosque de la otra. En lugar de eso, puede usar listas de filtros para determinar qué dominios pueden recibir certificados o licencias del clúster de AD RMS.
Por ejemplo, Microsoft© Exchange Server 2010 está diseñado para aprovechar esta capacidad permitiendo que los mensajes protegidos por AD RMS se envíen entre organizaciones que no compartan una infraestructura de Servicios de dominio de Active Directory. Exchange Server 2010 incluye una serie de características para admitir la mensajería segura mediante AD RMS. Entre esas características se incluyen las siguientes que se basan en Microsoft Federation Gateway:
-
La capacidad de enviar mensajes de correo electrónico protegidos por AD RMS a un destinatario de una organización fuera de la organización del remitente. Posteriormente, el destinatario puede tener acceso al mensaje mediante Exchange Server 2010 Outlook Web Access (OWA) o Microsoft Outlook.
-
La capacidad de un remitente de conceder a una organización de destino que use Exchange Server 2010 permiso para descifrar contenido con fines como el registro en diario o la detección de malware.
-
La capacidad de enviar mensajes de correo electrónico protegidos por AD RMS a un destinatario de una organización fuera de la organización del remitente. Posteriormente, el destinatario puede tener acceso al mensaje mediante Exchange Server 2010 Outlook Web Access (OWA) o Microsoft Outlook.