När det aktiverats kan användaren med hjälp av Stöd för federerade identiteter använda autentiseringsuppgifter som upprättats av en federerad förtroenderelation via Active Directory Federation Services (AD FS) som grund för att erhålla rights account certificate (RAC) från AD RMS-kluster. Detta är ett alternativ till att konfigurera betrodda publiceringsdomäner eller betrodda användardomäner mellan enheter som tidigare har upprättat infrastrukturer för förtroenden, så att i flertalet fall stöder klustret både användare som är inom organisationen och användare från en partnerorganisation.

När rights account certificates (RAC:er) utfärdas från en federerad identitet gäller inte standardgiltighetsperioden för rättighetskontocertifikat. Istället anges giltighetsperioden för RAC i inställningen Stöd för federerade identiteter. Användare med federerade identiteter använder inte temporärara rättighetskontocertifikat.

Standard är att federerade förtroenderelationer inte är transitiva. När en federerad förtroenderelation upprättas mellan två organisationer gäller att eventuella AD RMS-betrodda användardomäner som är upprättade i endera organisation inte automatiskt litas på av den andra organisationen. När du importerar en betrodd användardomän gäller dock att det finns ett alternativ om att lita på federerade användare i den importerade domänen.

Du ska vara mycket försiktig när du tillåter proxyadresser genom ett federerat förtroende. Om proxyadresser genom federering tillåts är det möjligt för en illasinnad användare att förfalska en auktoriserad användares autentiseringsuppgifter och komma åt användarens rättighetsskyddade innehåll. Om proxyadresser genom federering är ett krav för din organisation ska du implementera en modul för anspråkstransformering som kommer att undersöka en proxyadress från en federerad användare och se till att den matchar den skog där begäran har sitt ursprung. Alternativet att tillåta en proxyadress från en federerad användare är avstängt som standard i Active Directory-konsolen Rights Management Services (RMS).

Medlemskap i den lokala gruppen AD RMS Enterprise-administratörereller liknande är minimikravet för att kunna slutföra den här proceduren.

Så här aktiverar och konfigurerar du inställningar för stöd av federerade identiteter
  1. Öppna konsolen Active Directory Rights Management Services och expandera AD RMS-klustret.

  2. Expandera Förtroendeprinciper i konsolträdet och klicka sedan på Stöd för federerade identiteter.

  3. Klicka på Aktivera stöd för federerade identiteter i fönstret Åtgärder för att aktivera Stöd för federerade identiteter.

  4. Klicka på Egenskaper i fönstret Åtgärder.

  5. På fliken Active Directory Federation Service-principer, i Giltighetsperiod för federerat identitetscertifikat, ange antalet dagar som federerade rättighetskontocertifikat ska vara giltiga.

  6. I Tjänst-URL för certifikat för federerade identiteter anger du platsen för det rotkluster som ska förse externa användare med RAC. Om standard markeras försöker användare erhålla RAC från det AD RMS-kluster som publicerade innehållet.

  7. Klicka på OK.

Ytterligare överväganden

Ytterligare referenser

Innehåll