Чтобы служба AD RMS могла обрабатывать запросы на лицензирование содержимого, защищенного правами другим кластером AD RMS, можно добавить политики доверия. Политики доверия можно определить описанными ниже способами.
- Доверенные домены пользователей.
Добавление доверенного домена пользователя позволяет корневому
кластеру AD RMS обрабатывать запросы на получение сертификатов
лицензиара клиента или лицензий на использование, полученные от
пользователей, чьи Сертификаты учетной записи управления правами
были выданы другим корневым кластером AD RMS. Доверенный домен
пользователя можно добавить, импортировав сертификат лицензиара
сервера доверенного кластера AD RMS.
- Доверенные домены публикации.
Добавление доверенного домена публикации позволяет одному кластеру
AD RMS выдавать лицензии на использование на основе лицензий
на публикацию, выданных другим кластером AD RMS. Доверенный
домен публикации можно добавить, импортировав сертификат лицензиара
сервера и закрытый ключ доверенного сервера.
- Идентификатор Windows Live ID.
Отношение доверия с веб-службой управления правами Майкрософт
позволяет пользователю AD RMS отправлять защищенное правами
содержимое другому пользователю, имеющему идентификатор Windows
Live ID. Пользователь Windows Live ID сможет работать с защищенным
правами содержимым из кластера AD RMS, который доверяет
веб-службам управления правами Майкрософт, но не сможет создавать
содержимое, защищенное правами кластером AD RMS.
- Федеративное доверие. Федеративное
доверие между двумя лесами устанавливается с помощью служб
федерации Active Directory. Это полезно, если в одном из лесов не
установлена служба AD RMS, но пользователям из него необходимо
работать с защищенным правами содержимым из другого леса.
Дополнительные сведения о настройке поддержки федерации в
AD RMS см. в разделе Настройка параметров
поддержки федеративных удостоверений.
- Шлюз Microsoft Federation Gateway.
Установление доверия с помощью Microsoft Federation Gateway
позволяет кластеру AD RMS принимать запросы на сертификацию и
лицензирование от внешних организаций благодаря получению меток
проверки подлинности на основе утверждений от Microsoft Federation
Gateway. По сути, Microsoft Federation Gateway выполняет при этом
функции доверенного посредника между двумя организациям,
подтверждая их подлинность при транзакциях. В отличие от
федеративного доверия, установление доверия с использованием
Microsoft Federation Gateway не требует, чтобы лес в одной
организации явно был связан с лесом другой организации
федеративными отношениями. Вместо этого для определения доменов,
которые могут получать сертификаты или лицензии от кластера
AD RMS, можно использовать списки фильтров.
Например, сервер Microsoft© Exchange Server 2010 использует преимущества этой функции, делая возможным обмен сообщениями, защищенными AD RMS, между организациями, не имеющими общей инфраструктуры Службы домена Active Directory. Сервер Exchange Server 2010 содержит ряд функций, обеспечивающих поддержку защищенного обмена сообщениями с использованием AD RMS. К ним относятся указанные ниже функции, основанные на Microsoft Federation Gateway.
- Возможность отправки сообщений электронной
почты, защищенных AD RMS, получателю из организации за
пределами организации отправителя. Затем получатель может получить
доступ к сообщению с помощью приложения Exchange Server 2010
Outlook Web Access (OWA) или Microsoft Outlook.
- Возможность отправителя предоставлять
организации-получателю, использующей Exchange Server 2010,
разрешение на дешифрование содержимого для его регистрации и
сканирования на наличие вредоносных программ.
- Возможность отправки сообщений электронной
почты, защищенных AD RMS, получателю из организации за
пределами организации отправителя. Затем получатель может получить
доступ к сообщению с помощью приложения Exchange Server 2010
Outlook Web Access (OWA) или Microsoft Outlook.