Você pode adicionar diretivas de segurança para que o AD RMS possa processar solicitações de licenciamento para conteúdo com direitos protegidos por outro cluster AD RMS. Para definir diretivas de segurança, faça o seguinte:

  • Domínios de usuário confiáveis. Quando um domínio de usuário confiável é adicionado, o cluster raiz do AD RMS pode processar solicitações para certificados de licenciante do cliente ou usar licenças de usuários cujos RACs (certificados de direitos de contas) tenham sido emitidos por outro cluster raiz do AD RMS. Para adicionar um domínio de usuário confiável, importe o certificado de licenciante para servidor do cluster AD RMS a ser definido como confiável.

  • Domínios de publicação confiáveis. Quando um domínio de publicação confiável é adicionado, um cluster AD RMS pode emitir licenças de uso para as licenças de publicação que foram emitidas por outro cluster AD RMS. Para adicionar um domínio de publicação confiável, importe o certificado de licenciante para servidor e a chave privada do servidor que deseja definir como confiável.

  • Windows Live ID. Configurar a confiança com o serviço RMS online da Microsoft permite que um usuário do AD RMS envie conteúdo protegido por direitos para um usuário com um Windows Live ID. O usuário do Windows Live ID poderá consumir o conteúdo protegido por direitos do cluster AD RMS que confiou no serviço RMS online da Microsoft, mas o usuário do Windows Live ID não poderá criar conteúdo protegido por direitos pelo cluster AD RMS.

  • Confiança federada. Para estabelecer uma confiança federada entre duas florestas, use os Serviços de Federação do Active Directory. Isso pode ser útil caso o AD RMS não esteja instalado em uma floresta e os usuários dessa floresta precisem consumir conteúdo protegido por direitos de outra floresta. Para obter mais informações sobre como configurar o suporte de federação no AD RMS, consulte Definir configurações de suporte à identidade federada.

  • Microsoft Federation Gateway. Estabelecer confiança por meio do Microsoft Federation Gateway permite que um cluster AD RMS possa receber solicitações de certificação e licenciamento de organizações externas aceitando tokens de autenticação baseados em declarações do Microsoft Federation Gateway. Na verdade, o Microsoft Federation Gateway atua como um agente confiável entre as organizações, pois verifica a identidade das duas organizações que participam da transação. Ao contrário do que ocorre em uma confiança federada, o estabelecimento de uma relação de confiança por meio do Microsoft Federation Gateway não requer que a floresta de uma organização seja explicitamente federada com a floresta da outra organização. Em vez disso, você pode usar listas de filtros para determinar quais domínios poderão receber certificados ou licenças do cluster AD RMS.

    Por exemplo, o Microsoft© Exchange Server 2010 aproveita esse recurso permitindo que mensagens protegidas pelo AD RMS sejam enviadas entre organizações que não compartilham uma infraestrutura do Serviços de Domínio do Active Directory. O Exchange Server 2010 incorpora vários recursos para oferecer suporte ao sistema de mensagens seguro usando o AD RMS. Estes são alguns dos recursos de confiança no Microsoft Federation Gateway:

    • A capacidade de enviar mensagens de email protegidas pelo AD RMS a um destinatário em uma organização que não é a organização do remetente. O destinatário pode acessar a mensagem usando o Exchange Server 2010 Outlook Web Access (OWA) ou o Microsoft Outlook.

    • A capacidade de o remetente conceder a uma organização destinatária que use o Exchange Server 2010 permissão para descriptografar conteúdo com a finalidade de registro no diário e verificação de malware.

    Como esses recursos exigem que duas organizações possam estabelecer uma relação de confiança, o Suporte ao Microsoft Federation Gateway desempenha um papel fundamental na implantação desses recursos.

Sumário