Snabb start: skydd mot Active Directory Rights Management Server (AD RMS)Quickstart: Active Directory Rights Management Server (AD RMS) Protection

I den här snabb starten visas hur du implementerar stöd för Active Directory Rights Management Server (AD RMS) med MIP SDK.This quickstart will show you how to implement support for Active Directory Rights Management Server (AD RMS) using MIP SDK.

Anteckning

De steg som beskrivs i den här snabb starten gäller endast fil-API för C# eller C++ och skydds-API för C++.The steps outlined in this quickstart applicable to only File API for C# or C++ and Protection API for C++ only.

FörutsättningarPrerequisites

Om du inte redan har gjort det, se till att:If you haven't already, be sure to:

TjänsteidentifieringService Discovery

SDK: n hanterar tjänst identifiering baserat på den mip::Identity som tillhandahålls via FileEngineSettings eller med hjälp av ProtectionEngineSettings suffixet UPN eller e-postadress.The SDK does service discovery based on the mip::Identity provided via FileEngineSettings or ProtectionEngineSettings by using the UPN or mail address suffix. Den söker först i domänhierarkin efter den _rmsdisco posten för MDE.It first searches the domain hierarchy for the _rmsdisco record for MDE. Mer information om den här processen finns i Ange DNS SRV-poster för den AD RMS mobila enhets tillägget.For more details on that process, review Specifying the DNS SRV records for the AD RMS mobile device extension. Om DNS SRV-posten inte hittas används den Azure Information Protection tjänsten som tjänst plats.If that DNS SRV record isn't found, it defaults to the Azure Information Protection service as the service location.

Om en identitet inte är tillgänglig eller om DNS SRV-posten för MDE inte har publicerats, kan tjänst identifierings processen åsidosättas av explicita inställningar för URL: en för moln slut punkten.If an identity isn't available, or the DNS SRV record for MDE hasn't been published, the service discovery process can be overridden by explicitly settings the cloud endpoint URL.

Konfigurera fil-API i C# för att använda AD RMSConfiguring File API in C# to use AD RMS

Två mindre ändringar krävs om programmet använder Active Directory-autentiseringsbibliotek (ADAL) och fil-API: et i C#.Two minor changes are required if your application is using Active Directory Authentication Library (ADAL) and the File API on C#. FileEngineSettingsObjektet och AuthenticationContext konstruktorn måste uppdateras för att fungera med AD RMS och Active Directory Federations tjänster (ADFS).The FileEngineSettings object and AuthenticationContext constructor must be updated to function with AD RMS and Active Directory Federations Services (ADFS).

Om du har distribuerat DNS SRV-posten för mobil enhets tillägg och planerar att skicka i en User Principal Name eller e-postadress, följer du anvisningarna för att använda en identitet.If you've deployed the mobile device extension DNS SRV record and plan to pass in a user principal name or email address, follow the instructions for using an identity.

Om du inte har en DNS SRV-post för mobil enhets tillägg, eller inte har någon identitet vid körning, följer du anvisningarna för den explicita slut punkten.If you don't have the mobile device extension DNS SRV record, or won't have an identity at runtime, follow the explicit endpoint instructions.

Uppdatera fil motorns inställningar för att använda AD RMS med en identitetUpdate the File Engine Settings to use AD RMS with an Identity

Om DNS SRV-posten för MDE har publicerats och Microsoft.InformationProtection.Identity har angetts som en del av motor inställningarna, är den enda obligatoriska kod ändringen inställd FileEngineSettings.ProtectionOnlyEngine = true .If the DNS SRV record for MDE has been published and Microsoft.InformationProtection.Identity has been provided as part of the engine settings, the only required code change is to set FileEngineSettings.ProtectionOnlyEngine = true. Den här egenskapen måste anges som etikett (princip) åtgärder stöds inte för AD RMS-skydds slut punkter.This property must be set as labeling (policy) operations aren't supported for AD RMS protection endpoints.

// Configure FileEngineSettings as protection only engine.
var engineSettings = new FileEngineSettings("", authDelegate, "", "en-US")
{
     // Provide the identity for service discovery.
     Identity = identity,
     // Set ProtectionOnlyEngine to true for AD RMS as labeling isn't supported
     ProtectionOnlyEngine = true
};

Uppdatera fil motorns inställningar så att de använder AD RMS med en explicit slut punktUpdate the File Engine Settings to use AD RMS with an explicit endpoint

Om DNS SRV-posten för MDE inte har publicerats eller Microsoft.InformationProtection.Identity inte är tillgänglig för att skickas i FileEngine , finns det två nödvändiga kod ändringar.If the DNS SRV record for MDE isn't published, or Microsoft.InformationProtection.Identity isn't available to pass in when creating the FileEngine, there are two required code changes. är att ställa in FileEngineSettings.ProtectionOnlyEngine = true .is to set FileEngineSettings.ProtectionOnlyEngine = true. Den här egenskapen måste anges som etikett (princip) åtgärder stöds inte för AD RMS-skydds slut punkter.This property must be set as labeling (policy) operations aren't supported for AD RMS protection endpoints.

// Configure FileEngineSettings as protection only engine and generate a unique engine id.
var engineSettings = new FileEngineSettings("", authDelegate, "", "en-US")
{
     // Set ProtectionOnlyEngine to true for AD RMS as labeling isn't supported
     ProtectionOnlyEngine = true,
     // Provide the explicit AD RMS endpoint
     ProtectionCloudEndpointBaseUrl = "https://rms.contoso.com"
};

Uppdatera autentiserings-delegatenUpdate the authentication delegate

Om du använder ADAL i ditt .NET-program måste du göra en ändring i Microsoft.InformationProtection.AuthDelegate implementeringen för att inaktivera verifiering av utfärdare.If you're using the ADAL in your .NET application, you'll need to make a change to the Microsoft.InformationProtection.AuthDelegate implementation to disable authority validation. Inaktivera verifiering av utfärdare genom validateAuthority att ställa in i AuthenticationContext konstruktorn på falskt.Disable authority validation by setting validateAuthority in the AuthenticationContext constructor to false.

AuthenticationContext authContext = new AuthenticationContext(authority, false, tokenCache);

Konfigurera fil-API i C++ för att använda AD RMSConfiguring File API in C++ to use AD RMS

Om du har distribuerat DNS SRV-posten för mobil enhets tillägg och planerar att skicka i en User Principal Name eller e-postadress, följer du anvisningarna för att använda en identitet.If you've deployed the mobile device extension DNS SRV record and plan to pass in a user principal name or email address, follow the instructions for using an identity.

Om du inte har en DNS SRV-post för mobil enhets tillägg, eller inte har någon identitet vid körning, följer du anvisningarna för den explicita slut punkten.If you don't have the mobile device extension DNS SRV record, or won't have an identity at runtime, follow the explicit endpoint instructions.

Uppdatera FileEngine:: inställningar för att använda AD RMS med en identitetUpdate the FileEngine::Settings to use AD RMS with an Identity

Om DNS SRV-posten för MDE har publicerats och anges mip::Identity i FileEngine::Settings , är den enda åtgärden att ställa in motorn till en skydds motor.If the DNS SRV record for MDE has been published and mip::Identity is provided in the FileEngine::Settings, then the only action is to set the engine to a protection-only engine.

FileEngine::Settings engineSettings(mip::Identity(mUsername), "");
engineSettings.SetProtectionOnlyEngine = true;

Uppdatera FileEngine:: Settings för att använda AD RMS med en explicit slut punktUpdate the FileEngine::Settings to use AD RMS with an explicit endpoint

Om DNS SRV-posten för MDE inte har publicerats, eller om en identitet inte är tillgänglig för tjänst identifiering, måste-motorn anges till endast skydd och den explicita URL: en för moln slut punkten som tillhandahålls via SetProtectionCloudEndpointBaseUrl() .If the DNS SRV record for MDE isn't published, or an identity isn't available for service discovery, then the engine must be set to protection only and the explicit cloud endpoint URL provided via SetProtectionCloudEndpointBaseUrl().

FileEngine::Settings engineSettings("", authDelegate, "");
engineSettings.SetProtectionOnlyEngine = true;
engineSettings.SetProtectionCloudEndpointBaseUrl("https://rms.contoso.com");

Konfigurera skydds-API i C++ för att använda AD RMSConfiguring Protection API in C++ to use AD RMS

Om du har distribuerat DNS SRV-posten för mobil enhets tillägg och planerar att skicka i en User Principal Name eller e-postadress, följer du anvisningarna för att använda en identitet.If you've deployed the mobile device extension DNS SRV record and plan to pass in a user principal name or email address, follow the instructions for using an identity.

Om du inte har en DNS SRV-post för mobil enhets tillägg, eller inte har någon identitet vid körning, följer du anvisningarna för den explicita slut punkten.If you don't have the mobile device extension DNS SRV record, or won't have an identity at runtime, follow the explicit endpoint instructions.

Ange ProtectionEngine:: inställningar för att använda AD RMS med en identitetSet the ProtectionEngine::Settings to use AD RMS with an Identity

Om DNS SRV-posten för mobilen hets tillägget har publicerats, och en identitet som angetts i ProtectionEngine::Settings , krävs inga extra kod ändringar för att använda AD RMS.If the DNS SRV record for mobile device extension has been published, and an identity provided in the ProtectionEngine::Settings, no extra code changes are required to use AD RMS. Tjänst identifieringen hittar AD RMS slut punkten och använder den för skydds åtgärder.Service discovery will find the AD RMS endpoint and use it for protection operations.

ProtectionEngine::Settings engineSettings(mip::Identity(mUsername), authDelegate, "");

Ange inställningen ProtectionEngine:: för att använda AD RMS med en explicit slut punktSet the ProtectionEngine::Settings to use AD RMS with an explicit endpoint

Om DNS SRV-posten inte är publicerad eller om ingen identitet anges i ProtectionEngine::Settings , måste URL: en för skydds slut punkt anges explicit via SetProtectionCloudEndpointBaseUrl() .If the DNS SRV record isn't published or an identity isn't provided in the ProtectionEngine::Settings, then the protection endpoint URL must be set explicitly via SetProtectionCloudEndpointBaseUrl().

ProtectionEngine::Settings engineSettings("", authDelegate, "");
engineSettings.SetProtectionCloudEndpointBaseUrl("https://RMS.CONTOSO.COM");

Ta bort eller kommentera etikett referenserRemove or Comment Label References

Om du skapar programmet från en av snabb starts guiderna kommer du att se att ditt program har referenser till etiketter i form av fileEngine.SensitivityLabels eller engine->ListSensitivityLabels(); .If you build the application from one of the quickstart guides, you'll find that your application has references to labels in the form of fileEngine.SensitivityLabels or engine->ListSensitivityLabels();. Eftersom programmet är inställt på endast skydd måste dessa kodblock vara kommenterade eller tas bort när de körs, vilket innebär ett undantag.Because the application has been set to protection only, these blocks of code must be commented out or removed as running them will cause an exception.

Efterföljande momentNext Steps

Nu när du har gjort ändringarna för att stödja AD RMS kan ditt program utföra alla skydds åtgärder med hjälp av tjänsten AD RMS som skydds leverantör.Now that you've made the changes to support AD RMS, your application can perform any protection-only operations using the AD RMS service as the protection provider.