Если поддержка федеративного удостоверения включена, учетным записям пользователей разрешено использовать учетные данные, созданные федеративным отношением доверия в службах федерации Active Directory, в качестве основания для получения сертификат учетной записи управления правами из кластера AD RMS. Это альтернатива настройке доверенных доменов публикации или доверенных доменов пользователя между субъектами, которые ранее создали инфраструктуры доверия, поскольку в большинстве случаев кластер поддерживает и пользователей внутри организации, и пользователей из партнерской организации.
Если Сертификаты учетной записи управления правами выданы по федеративному удостоверению, стандартный срок действия сертификата учетной записи службы управления правами не применяется. Вместо этого срок действия Сертификат учетной записи управления правами задается путем настройки параметра Поддержка федеративного удостоверения. Пользователи, имеющие федеративные удостоверения, не используют временные сертификаты учетной записи службы управления правами.
По умолчанию федеративные отношения доверия нетранзитивны. Если между двумя организациями создается федеративное отношение доверия, доверенные домены пользователя AD RMS, установленные в любой из организаций, не получают доверия другой организации автоматически. Однако при импорте доверенного домена пользователя можно установить доверие к федеративным пользователям импортированного домена.
Будьте особенно осторожны, разрешая адресам прокси-серверов проходить через доверие федерации. В этом случае злоумышленники могут подделать учетные данные полномочного пользователя и получить доступ к его защищенному содержимому. Если же прохождение адресов прокси-серверов через федерацию является требованием организации, необходимо создать модуль преобразования заявок, который будет проверять адреса прокси-серверов федеративных пользователей и сопоставлять их с лесом, в котором был создан запрос. По умолчанию в консоли службы управления правами Active Directory параметр, разрешающий адреса прокси-серверов федеративных пользователей, отключен.
Членство в локальной группе "Администраторы предприятия AD RMS"(или аналогичной) является минимальным необходимым условием для выполнения этой процедуры.
Включение и настройка параметров поддержки федеративного удостоверения
-
Откройте консоль Службы управления правами Active Directory и разверните узел кластера AD RMS.
-
В дереве консоли разверните узел Политики доверия и щелкните Поддержка федеративного удостоверения.
-
На панели Действия щелкните Включить поддержку федеративного удостоверения, чтобы включить поддержку федеративного удостоверения.
-
На панели Действия щелкните Свойства.
-
На вкладке Политики службы федерации Active Directory в поле Срок действия сертификата федеративного удостоверения введите количество дней, в течение которых будут действовать сертификаты учетной записи службы управления правами федерации.
-
В поле URL-адрес службы сертификата федеративного удостоверения укажите размещение корневого кластера, который будет предоставлять Сертификат учетной записи управления правами внешним пользователям. Если выбрано значение по умолчанию, пользователи будут пытаться получить Сертификат учетной записи управления правами в кластере AD RMS, который опубликовал содержимое.
-
Нажмите кнопку ОК.
Дополнительная информация
- Выполнить задачу, описанную в этой процедуре,
можно с помощью Windows PowerShell. Дополнительные сведения о
Windows PowerShell для службы управления правами Active Directory
см. на следующем веб-сайте корпорации Майкрософт http://go.microsoft.com/fwlink/?LinkId=136806.