ws08a204 active directory rights management services
DESCRIPTION
Active Directory Rights Management ServicesTRANSCRIPT
AD {RMS} Active Directory Rights Management Services
Székács Andrá[email protected]ÁMALK Zrt.
IDA – IDentity and Access A Windows Server 2008 { beépített } komponensei:
Active Directory
Certificate Services
ADAM
Rights Management Services
Federation Services
AD DS
AD CS
AD LDS
AD RMS
AD FS
IDA – IDentity and Access
Windows Server 2008AD DS
AD CS AD {RMS} AD FS AD LDS
Access Control List
Jogosult hozzáférő
k
Nem jogosult
hozzáférők
Jogosult hozzáférő
k
Nem jogosult
hozzáférők
Engedéllyel
Hogy került hozzájuk???
"Confidental-{Read} only!" probléma
"Confidental-{Read} only!" probléma
Lehetséges megoldásokNTFS jogosultságokEFS titkosításJelszóval védett dokumentumok…
A jó-, vagy akár rosszhiszemű felhasználók
Módosítják, továbbítják, nyomtatjákAz adattartalmat vágólapon át felhasználjákVisszavonásig hozzáférnek
Elégséges a biztonság?
Az AD RMS {alkalmazása} A felhasználó (készítő) által korlátozható
A hozzáférők listájaA módosíthatóságA nyomtathatóságA vágólap használataA hozzáférés időkorlátai
Milyen környezetet alakítsunk ki?
Dokumentum Tulajdonos - Szerző
Jogosult hozzáférő
RMS Server
SQL Server
Active Directory
2 3
4
5
2. A Szerző meghatározza a használat szabályait és a hozzáférők listáját; Az RMS alkalmazás “Publishing License”-et készít és titkosítja az állományt
3. A Szerző publikálja / továbbítja az állományt
4. A hozzáférő nyitja az állományt, az applikáció kapcsolatba lép az RMS kiszolgálóval, ami ellenőrzi a felhasználó identitását és jóváhagyja a “Use License”-et.
5. Az alkalmazás hozzáférhetővé teszi az állományt a megfelelő jogosultságokkal
1. A Szerző az RMS első használatakor „Client Licensor Certificate”-et kap
1
Az AD RMS {alkalmazása}
Az AD RMS {kliens}RMS kliens oldali követelmények I.
OSWindows VistaXP vagy Windows 2000 + kiegészítés: Windows Right Management Client V1.0 SP2
RMS AlkalmazásMicrosoft Office Word, Excel, PowerPoint vagy InfoPath 2007Internet Explorer + kiegészítés: Rights Management Add-on
Az AD RMS {kliens}RMS kliens oldali követelmények II.
Microsoft Office verziókMicrosoft Office 2003 Standard (Read-only)Microsoft Office 2003 Professional (Read and create)Microsoft Office Ultimate 2007 (Read and create )Microsoft Office Professional Plus 2007 (Read and
create)Microsoft Office Enterprise 2007 (Read and create)Egyéb Microsoft Office 2007 verziók (Read-only)
Az AD RMS {kialakítása} Kliens/Szerver modellKomponensek és azok kapcsolatai
AD DCAD CS
AD RMS SQL2005IIS 7
RMS kliens A demóban Windows Vista + Office 2007 Enterprise
AD Domain
AD {RMS} demó
Az AD RMS és az AD { Federation } Services kapcsolata
Domain A Domain BAD
RMS
AD
FS-AFS-R
1RAC CLC
WebSSO
4
35
6
78
9
RAC CLC
10
UL
11
12
1. A szerző RMS dokumentumot készít,
2. majd elküldi külső partner számára3. A partner gépe felveszi a
kapcsolatot az RMS kiszolgálóval4. A Federation agent fogadja az
igényt5. RMS Kliens átirányítása az FS-R
felé „home realm” felderítése céljából
6. RMS Kliens átirányítása FS-A felé authentikáció céljából
7. RMS Kliens visszairányítása FS-R felé authentikáció céljából
8. RMS Kliens bootstrapping certificates igényt nyújt be
9. WebSSO agent fogadja a kérést, ellenőrzi az authentikációt, majd továbbítja az RMS kiszolgáló felé
10. RMS megküldi a bootsrapping tanusítványokat a partnernek
11. RMS megküldi a „use license”-et a partnernek
12. Partner megnyitja a védett állományt
Független szervezetek? ADFS!
Szerző Jogosult hozzáférőPL
2
{ Kezdés 13:25-kor }