Inicio rápido: Protección de Active Directory Rights Management Services (AD RMS)
En este inicio rápido se muestra cómo implementar la compatibilidad con Servidor de Active Directory Rights Management Services (AD RMS) mediante el SDK de MIP.
Nota
Los pasos descritos en este inicio rápido solo se aplican SDK de archivo para C# o C++ y a SDK de protección para C++.
Requisitos previos
Si aún no lo ha hecho, asegúrese de:
- Complete primero la Guía de inicio rápido: inicialización de la aplicación cliente (C++), que compila una solución de Visual Studio inicial.
- Complete el Inicio rápido: Mostrar etiquetas de confidencialidad (C++) o el Inicio rápido: Mostrar etiquetas de confidencialidad (C#)
- Implemente AD RMS con la extensión para dispositivos móviles.
- Opcionalmente, asegúrese de que el registro de servidor DNS para MDE de AD RMS esté publicado.
Detección de servicios
El SDK detecta los servicios en función del mip::Identity proporcionado a través de FileEngineSettings o ProtectionEngineSettings mediante UPN o el sufijo de dirección de correo. En primer lugar busque el registro _rmsdisco para MDE en la jerarquía del dominio. Para más detalles sobre ese proceso, revise Especificación de los registros de servidor DNS para la extensión para dispositivos móviles de AD RMS. Si no se encuentra el registro de servidor DNS, se usa de forma predeterminada el servicio Azure Information Protection como la ubicación del servicio.
Configuración del SDK de archivo en C# para usar AD RMS
Se requieren dos cambios secundarios si la aplicación usa la Biblioteca de autenticación de Active Directory (ADAL) y el SDK de archivo en C#. El objeto FileEngineSettings y el constructor AuthenticationContext deben actualizarse para que funcionen con AD RMS y los Servicios de federación de Active Directory (ADFS).
Si ha implementado el registro de servidor DNS para la extensión para dispositivos móvil y tiene previsto pasar un nombre principal de usuario o una dirección de correo electrónico, siga las instrucciones para usar una identidad.
Actualización de la configuración del motor de archivos para usar AD RMS con una identidad
Si el registro de servidor DNS para MDE se ha publicado y Microsoft.InformationProtection.Identity se ha proporcionado como parte de la configuración del motor, el único cambio de código necesario es establecer FileEngineSettings.ProtectionOnlyEngine = true. Esta propiedad se debe establecer, ya que las operaciones de etiquetado (directiva) no se admiten para los puntos de conexión de protección de AD RMS.
// Configure FileEngineSettings as protection only engine.
var engineSettings = new FileEngineSettings("", authDelegate, "", "en-US")
{
// Provide the identity for service discovery.
Identity = identity,
// Set ProtectionOnlyEngine to true for AD RMS as labeling isn't supported
ProtectionOnlyEngine = true
};
Actualización del delegado de autenticación
Si usa ADAL en la aplicación .NET, deberá hacer un cambio en la implementación de Microsoft.InformationProtection.AuthDelegate para deshabilitar la validación de la autoridad. Deshabilite la validación de la autoridad estableciendo validateAuthority en el constructor AuthenticationContext en validateAuthority.
AuthenticationContext authContext = new AuthenticationContext(authority, false, tokenCache);
Configuración del SDK de archivo en C++ para usar AD RMS
Si ha implementado el registro de servidor DNS para la extensión para dispositivos móvil y tiene previsto pasar un nombre principal de usuario o una dirección de correo electrónico, siga las instrucciones para usar una identidad.
Actualización de FileEngine::Setting para usar AD RMS con una identidad
Si el registro de servidor DNS para MDE se ha publicado y mip::Identity se proporciona en FileEngine::Settings, la única acción es establecer el motor en un motor de solo protección.
FileEngine::Settings engineSettings(mip::Identity(mUsername), "");
engineSettings.SetProtectionOnlyEngine = true;
Configuración del SDK de protección en C++ para usar AD RMS
Si ha implementado el registro de servidor DNS para la extensión para dispositivos móvil y tiene previsto pasar un nombre principal de usuario o una dirección de correo electrónico, siga las instrucciones para usar una identidad.
Establecimiento de ProtectionEngine::Settings para usar AD RMS con una identidad
Si se ha publicado el registro de servidor DNS para la extensión para dispositivos móviles y una identidad proporcionada en ProtectionEngine::Settings, no se requieren cambios de código adicionales para usar AD RMS. La detección de servicios buscará el punto de conexión AD RMS y lo utilizará para las operaciones de protección.
ProtectionEngine::Settings engineSettings(mip::Identity(mUsername), authDelegate, "");
Eliminación de referencias de etiqueta o colocación de comentarios en estas
Si compila la aplicación desde una de las guías de inicio rápido, observará que la aplicación tiene referencias a etiquetas con el formato fileEngine.SensitivityLabels o engine->ListSensitivityLabels();. Dado que la aplicación se ha establecido en solo protección, estos bloques de código deben comentarse o eliminarse, ya su ejecución generará una excepción.
Pasos siguientes
Ahora que ha realizado los cambios necesarios para admitir AD RMS, la aplicación puede realizar cualquier operación de solo protección mediante el servicio AD RMS como el proveedor de protección.