È possibile aggiungere criteri di attendibilità in modo che RMS di AD sia in grado di elaborare le richieste di licenze per il contenuto protetto con RMS in precedenza da un cluster RMS di AD diverso. È possibile definire i criteri di attendibilità nel modo seguente:
-
Domini utente trusted. L'aggiunta di un dominio utente trusted consente al cluster RMS di AD radice di elaborare richieste per certificati concessori di licenze client o licenze d'uso di utenti i cui Certificati per account con diritti (RAC) sono stati rilasciati da un cluster RMS di AD radice. L'aggiunta di un dominio utente trusted viene eseguita importando il certificato concessore di licenze server del cluster RMS di AD da considerare attendibile.
-
Domini di pubblicazione trusted. L'aggiunta di un dominio di pubblicazione trusted consente a un cluster RMS di AD di rilasciare licenze d'uso per licenze di pubblicazione rilasciate in precedenza da un cluster RMS di AD diverso. L'aggiunta di un dominio di pubblicazione trusted viene eseguita importando il certificato concessore di licenze server e la chiave privata del server da considerare attendibile.
-
Windows Live ID. L'impostazione di un trust con il servizio RMS online di Microsoft consente a un utente di RMS di AD di inviare contenuto protetto con RMS a un utente che dispone di Windows Live ID. L'utente di Windows Live ID sarà in grado di utilizzare il contenuto protetto con RMS del cluster RMS di AD che ha considerato attendibile il servizio RMS online di Microsoft, ma l'utente di Windows Live ID non sarà in grado di creare contenuto protetto con RMS dal cluster RMS di AD.
-
Relazione di trust federativa. Una relazione di trust federativa tra due foreste viene creata tramite Active Directory Federation Services. Ciò si rivela utile se in una foresta non è installato RMS di AD e i relativi utenti hanno la necessità di utilizzare il contenuto protetto con RMS di un'altra foresta. Per ulteriori informazioni sull'impostazione del supporto federativo in RMS di AD, vedere Configurare le impostazioni di Supporto identità federativa.
-
Microsoft Federation Gateway. Stabilendo un trust tramite Microsoft Federation Gateway, un cluster RMS di AD può accettare richieste di certificazione e gestione licenze da organizzazioni esterne accettando token di autenticazione basate su attestazioni da Microsoft Federation Gateway. In effetti, Microsoft Federation Gateway agisce da broker attendibile tra due organizzazioni verificando l'identità delle due organizzazioni nelle transazioni. Diversamente da un trust federativo, stabilendo una relazione di trust tramite Microsoft Federation Gateway non è necessaria una foresta nell'organizzazione per creare esplicitamente una federazione con una foresta nell'organizzazione. Al contrario, è possibile utilizzare elenchi di filtri per determinare i domini che possono ricevere certificati o licenze dal cluster RMS di AD.
Ad esempio, Microsoft© Exchange Server 2010 è progettato per sfruttare questa caratteristica consentendo l'invio di messaggi protetti da RMS di AD tra organizzazioni che non condividono un'infrastruttura Servizi dei domini Active Directory. Exchange Server 2010 è dotato di diverse funzionalità per supportare la messaggistica protetta utilizzando RMS di AD. Tra le funzionalità sono incluse le seguenti basate su Microsoft Federation Gateway:
-
La capacità di inviare messaggi di posta elettronica protetti con RMS di AD a un destinatario in un'organizzazione esterna all'organizzazione del mittente. Il destinatario può accedere al messaggio utilizzando Outlook Web Access (OWA) di Exchange Server 2010 o Microsoft Outlook.
-
La capacità di un mittente di concedere all'organizzazione di un destinatario che utilizza Exchange Server 2010 l'autorizzazione di decrittografare il contenuto per scopi come l'inserimento nel journal e la ricerca di malware.
-
La capacità di inviare messaggi di posta elettronica protetti con RMS di AD a un destinatario in un'organizzazione esterna all'organizzazione del mittente. Il destinatario può accedere al messaggio utilizzando Outlook Web Access (OWA) di Exchange Server 2010 o Microsoft Outlook.