可以添加信任策略,这样 AD RMS 可以处理由不同的 AD RMS 群集进行权限保护的内容的授权请求。可以按如下方式定义信任策略:
-
受信任的用户域。如果用户的 权限帐户证书 (RAC) 是由不同的 AD RMS 根群集颁发的,则通过添加可信用户域,AD RMS 根群集可以处理这些用户的客户端许可方证书或使用许可证请求。通过导入要信任的 AD RMS 群集的服务器许可方证书,可添加可信用户域。
-
可信发布域。通过添加可信发布域,一个 AD RMS 群集可以根据由不同的 AD RMS 群集颁发的发布许可证来颁发使用许可证。通过导入要信任的服务器的服务器许可方证书和私钥,可添加可信发布域。
-
Windows Live ID。通过设置与 Microsoft 的联机 RMS 服务的信任关系,AD RMS 用户可以将受权限保护的内容发送到具有 Windows Live ID 的用户。Windows Live ID 用户将能够使用来自已信任 Microsoft 的联机 RMS 服务的 AD RMS 群集的受权限保护内容,但是 Windows Live ID 用户不能创建由 AD RMS 群集进行权限保护的内容。
-
联合信任。使用 Active Directory 联合身份验证服务,可以在两个林之间建立联合信任。当一个林没有安装 AD RMS,但它的用户需要使用另一个林的受权限保护的内容时,这将非常有用。有关在 AD RMS 中设置联合身份验证支持的详细信息,请参阅配置联合身份支持设置。
-
Microsoft Federation Gateway。通过 Microsoft 联合身份验证网关建立信任可使 AD RMS 群集通过接受来自 Microsoft 联合身份验证网关的基于声明的身份验证令牌而接受来自外部组织的认证和授权请求。实际上,Microsoft 联合身份验证网关通过验证事务中两个组织的身份而充当了两组织间的受信代理。与联合信任不同的是,通过 Microsoft 联合身份验证网关建立信任关系不要求一个组织中的林明确地与另一个组织中的林联合。您可以使用筛选器列表来指定哪些域可以接收来自 AD RMS 群集的证书或许可证。
例如,Microsoft Exchange Server 2010 的设计主旨正是使用此功能 - 使受 AD RMS 保护的消息在未共享 Active Directory 域服务 基础结构的组织之间发送。Exchange Server 2010 并入了一些功能,以支持使用 AD RMS 的安全消息。这些功能包括以下依赖于 Microsoft 联合身份验证网关的功能:
-
将受 AD RMS 保护的电子邮件发送到发件人组织外部某组织中收件人之功能。这样,收件人就可以通过使用 Exchange Server 2010 Outlook Web Access (OWA) 或使用 Microsoft Outlook 来访问该邮件。
-
发件人向使用 Exchange Server 2010 的收件人组织授予出于日记和恶意软件扫描等目的对内容进行解密的权限之功能。
-
将受 AD RMS 保护的电子邮件发送到发件人组织外部某组织中收件人之功能。这样,收件人就可以通过使用 Exchange Server 2010 Outlook Web Access (OWA) 或使用 Microsoft Outlook 来访问该邮件。