您可以新增信任原則,讓 AD RMS 能夠處理由另一個 AD RMS 叢集以權限保護之內容的授權要求。您可以定義信任原則,如下所示:

  • 信任的使用者網域。新增信任的使用者網域允許 AD RMS 根叢集處理用戶端授權人憑證的要求,或者使用權限帳戶憑證 (RAC) 是由另一個 AD RMS 根叢集發行之使用者的授權。您可以透過匯入要信任之 AD RMS 叢集的伺服器授權人憑證,以新增信任的使用者網域。

  • 信任的發佈網域。新增信任的發佈網域可以讓某個 AD RMS 叢集針對另一個 AD RMS 叢集發佈的發佈授權,發佈使用授權。您可以透過匯入要信任之伺服器的伺服器授權人憑證和私密金鑰,以新增信任的發佈網域。

  • Windows Live ID。設定與 Microsoft 線上 RMS 服務之間的信任關係,可讓 AD RMS 使用者利用 Windows Live ID 將受權限保護的內容傳送給使用者。Windows Live ID 使用者將可以使用已信任 Microsoft 線上 RMS 服務之 AD RMS 叢集的受權限保護內容,但是 Windows Live ID 使用者將無法建立由 AD RMS 叢集進行權限保護的內容。

  • 同盟信任。兩個樹系之間的同盟信任,是使用 Active Directory Federation Services 建立。如果某個樹系並沒有安裝 AD RMS,但是它的使用者必須使用另一個樹系中的受權限保護內容,同盟信任很有用。如需在 AD RMS 中設定同盟支援的詳細資訊,請參閱設定同盟識別身分支援設定

  • Microsoft Federation Gateway。透過 Microsoft Federation Gateway 建立信任關係,可讓 AD RMS 叢集接受來自外部組織的憑證與授權要求 (透過接受來自 Microsoft Federation Gateway 的宣告型驗證權杖)。實務上,Microsoft Federation Gateway 是做為兩個組織之間的信任代理人,它會驗證交易中兩個組織的識別身分。與同盟信任不同的是,透過 Microsoft Federation Gateway 建立信任關係不需要某個組織中的樹系明確地與另一個組織中的樹系建立同盟關係。您可以改為使用篩選器清單來判斷哪個網域可接受來自 AD RMS 叢集的憑證或授權。

    例如,Microsoft© Exchange Server 2010 的設計可利用此功能,方式是讓受 AD RMS 保護的訊息可在未共用 Active Directory 網域服務基礎結構的組織之間傳送。Exchange Server 2010 整合數種功能,以支援使用 AD RMS 來保護訊息的安全。其中包含下列依賴於 Microsoft Federation Gateway 的功能:

    • 將受 AD RMS 保護的電子郵件訊息傳送給寄件者組織外部之組織的收件者。收件者可使用 Exchange Server 2010 Outlook Web Access (OWA) 或 Microsoft Outlook 來存取該訊息。

    • 寄件者可以將權限授與使用 Exchange Server 2010 權限的收件者組織,以解密內容並執行諸如記錄或惡意程式碼掃描之類的處理。

    因為這些功能需要兩個組織建立信任關係的能力,Microsoft Federation Gateway 支援 在其部署中扮演關鍵角色。

目錄