Als de ondersteuning voor federatieve identiteiten eenmaal is ingesteld, kunnen gebruikersaccounts referenties gebruiken die zijn opgesteld door een federatieve vertrouwensrelatie via Active Directory Federation Services (AD FS), als basis voor het verkrijgen van een Rights Account Certificate (RAC) van een AD RMS-cluster. Dit is een alternatief voor het instellen van vertrouwde uitgiftedomeinen of vertrouwde gebruikersdomeinen tussen entiteiten die eerder vertrouwde infrastructuren opzetten, waardoor het cluster in de meeste gevallen zowel gebruikers binnen de organisatie als gebruikers van een partnerorganisatie ondersteunt.
Als er rechtenaccountcertificaten (RAC's) worden uitgegeven van een federatieve identiteit, is de standaardgeldigheidsperiode voor accountcertificaten niet van toepassing. In plaats daarvan wordt de geldigheidsperiode van RAC opgegeven met behulp van de instelling Ondersteuning voor federatieve identiteiten. Gebruikers met federatieve identiteiten gebruiken geen tijdelijke rechtenaccountcertificaten.
Federatieve vertrouwensrelaties zijn standaard niet overdraagbaar. Als er een federatieve vertrouwensrelatie bestaat tussen twee organisaties, kunnen eventuele vertrouwde AD RMS-gebruikersdomeinen die in een van de organisaties zijn opgezet niet automatisch worden vertrouwd door de andere organisatie. Als u echter een vertrouwd gebruikersdomein importeert, is er een mogelijkheid federatieve gebruikers van het geïmporteerde domein te vertrouwen.
Wees uitermate voorzichtig met het toestaan van proxyadressen via een federatieve vertrouwensrelatie. Als u proxyadressen via federatie toestaat, kan een kwaadwillende gebruiker de referenties van een bevoegde gebruiker vervalsen en toegang krijgen tot de met rechten beveiligde inhoud van deze gebruiker. Als proxyadressen via federatie een vereiste zijn binnen uw organisatie, moet u een claimtransformatiemodule implementeren die een proxyadres van een federatieve gebruiker onderzoekt en controleert of het overeenkomt met het forest waaruit de aanvraag afkomstig is. De optie om een proxyadres van een federatieve gebruiker toe te staan, is standaard uitgeschakeld in de Active Directory Rights Management Services-console.
Lidmaatschap van de lokale groep AD RMS Enterprise Administrators, of daaraan gelijk, is minimaal vereist om deze procedure te voltooien.
 | Instellingen voor de ondersteuning van federatieve identiteiten inschakelen en configureren |
Open de Active Directory Rights Management Services-console en vouw het AD RMS-cluster uit.
Vouw Vertrouwensbeleid uit in de consolestructuur en klik op Ondersteuning voor federatieve identiteiten.
Klik in het deelvenster Acties op Ondersteuning voor federatieve identiteiten inschakelen om de ondersteuning van federatieve identiteiten in te schakelen.
Klik in het deelvenster Acties op Eigenschappen.
Typ op het tabblad Active Directory Federation Service-beleid in Geldigheidsperiode van het federatieve identiteitscertificaat het aantal dagen dat federatieve rechtenaccountcertificaten geldig moeten zijn.
Geef bij URL van federatieve identiteitscertificaatservice de locatie op van het basiscluster dat RAC's moet leveren aan externe gebruikers. Als de standaardwaarde geselecteerd is, proberen gebruikers een RAC te verkrijgen van het AD RMS-cluster dat de inhoud heeft gepubliceerd.
Klik op OK.
Aanvullende overwegingen
- U kunt de taak die in deze procedure wordt beschreven, ook uitvoeren met Windows PowerShell. Zie