Włączona obsługa tożsamości federacyjnych umożliwia kontom użytkowników używanie poświadczeń ustanowionych przez federacyjną relację zaufania za pośrednictwem programu Active Directory Federation Services (AD FS) jako podstawy, która pozwala uzyskać Certyfikat kont praw dostępu (RAC) z klastra aplikacji Usługi AD RMS. Jest to rozwiązanie alternatywne w stosunku do konfigurowania zaufanych domen publikacji lub zaufanych domen użytkowników między jednostkami, które wcześniej ustanowiły infrastruktury zaufania. W przypadku tego rozwiązania w większości sytuacji klaster obsługuje zarówno użytkowników znajdujących się wewnątrz organizacji, jak i użytkowników z organizacji partnera.

Gdy są wystawiane Certyfikaty kont praw dostępu (RAC) z tożsamości federacyjnej, standardowy okres ważności certyfikatu konta praw nie obowiązuje. Zamiast Certyfikat RAC ma okres ważności określony w ustawieniu Obsługa tożsamości federacyjnych. Użytkownicy z tożsamościami federacyjnymi nie używają tymczasowych certyfikatów konta praw.

Domyślnie federacyjne relacje zaufania nie są przechodnie. Po ustanowieniu federacyjnej relacji zaufania miedzy dwiema organizacjami żadne zaufane domeny użytkowników aplikacji Usługi AD RMS ustanowione w jednej organizacji nie są automatycznie określane jako zaufane przez drugą organizację. Jeśli jednak użytkownik importuje zaufaną domenę użytkownika, ma dostępną opcję pozwalającą określić użytkowników federacyjnych importowanej domeny jako zaufanych.

Zezwalając na adresy serwerów proxy za pośrednictwem federacyjnego zaufania, należy zachować wyjątkową ostrożność. Jeśli adresy serwerów proxy za pośrednictwem federacji są dozwolone, istnieje możliwość, że złośliwy użytkownik sfałszuje poświadczenia autoryzowanego użytkownika i uzyska dostęp do jego zawartości chronionej prawami. Jeśli adresy serwerów proxy za pośrednictwem federacji są wymaganiem organizacji, należy zaimplementować moduł transformacji oświadczeń, który będzie badał adres serwera proxy od użytkownika federacyjnego i gwarantował, że jest on zgodny z lasem, z którego wyszło żądanie. Opcja zezwalająca na adres serwera proxy od użytkownika federacyjnego jest domyślnie wyłączona w konsoli Usługi zarządzania prawami dostępu w usłudze Active Directory.

Do wykonania tej procedury wymagana jest przynależność użytkownika do lokalnej grupy Administratorzy usług AD RMS Enterprise albo do grupy równoważnej.

Aby włączyć i skonfigurować ustawienia obsługi tożsamości federacyjnych
  1. Otwórz konsolę Usługi zarządzania prawami dostępu w usłudze Active Directory i rozwiń klaster aplikacji Usługi AD RMS.

  2. W drzewie konsoli rozwiń węzeł Zasady zaufania, a następnie kliknij pozycję Obsługa tożsamości federacyjnych.

  3. W okienku Akcje kliknij pozycję Włącz obsługę tożsamości federacyjnych, aby włączyć obsługę tożsamości federacyjnych.

  4. W okienku Akcje kliknij pozycję Właściwości.

  5. Na karcie Program Active Directory Federation Services - zasady w polu Okres ważności certyfikatu tożsamości federacyjnej wpisz liczbę dni ważności federacyjnych certyfikatów konta praw.

  6. W polu Adres URL usługi certyfikatu tożsamości federacyjnej podaj lokalizację głównego klastra, który będzie udostępniał Certyfikat RAC użytkownikom zewnętrznym. Jeśli jest wybrana lokalizacja domyślna, użytkownicy będą próbowali uzyskać Certyfikat RAC z klastra aplikacji Usługi AD RMS, który opublikował zawartość.

  7. Kliknij przycisk OK.

Uwagi dodatkowe

  • Zadanie opisane w niniejszej procedurze można wykonać również przy użyciu programu Windows PowerShell. Aby uzyskać więcej informacji o programie Windows PowerShell dla usług AD RMS, zobacz stronę https://go.microsoft.com/fwlink/?LinkId=136806 (strona może zostać wyświetlona w języku angielskim).

Dodatkowe informacje

Spis treści