AD {RMS} Active Directory Rights Management Services

Székács Andrásandras@edupro.huSZÁMALK Zrt.

IDA – IDentity and Access A Windows Server 2008 { beépített } komponensei:

Active Directory

Certificate Services

ADAM

Rights Management Services

Federation Services

AD DS

AD CS

AD LDS

AD RMS

AD FS

IDA – IDentity and Access

Windows Server 2008AD DS

AD CS AD {RMS} AD FS AD LDS

Access Control List

Jogosult hozzáférő

k

Nem jogosult

hozzáférők

Jogosult hozzáférő

k

Nem jogosult

hozzáférők

Engedéllyel

Hogy került hozzájuk???

"Confidental-{Read} only!" probléma

"Confidental-{Read} only!" probléma

Lehetséges megoldásokNTFS jogosultságokEFS titkosításJelszóval védett dokumentumok…

A jó-, vagy akár rosszhiszemű felhasználók

Módosítják, továbbítják, nyomtatjákAz adattartalmat vágólapon át felhasználjákVisszavonásig hozzáférnek

Elégséges a biztonság?

Az AD RMS {alkalmazása} A felhasználó (készítő) által korlátozható

A hozzáférők listájaA módosíthatóságA nyomtathatóságA vágólap használataA hozzáférés időkorlátai

Milyen környezetet alakítsunk ki?

Dokumentum Tulajdonos - Szerző

Jogosult hozzáférő

RMS Server

SQL Server

Active Directory

2 3

4

5

2. A Szerző meghatározza a használat szabályait és a hozzáférők listáját; Az RMS alkalmazás “Publishing License”-et készít és titkosítja az állományt

3. A Szerző publikálja / továbbítja az állományt

4. A hozzáférő nyitja az állományt, az applikáció kapcsolatba lép az RMS kiszolgálóval, ami ellenőrzi a felhasználó identitását és jóváhagyja a “Use License”-et.

5. Az alkalmazás hozzáférhetővé teszi az állományt a megfelelő jogosultságokkal

1. A Szerző az RMS első használatakor „Client Licensor Certificate”-et kap

1

Az AD RMS {alkalmazása}

Az AD RMS {kliens}RMS kliens oldali követelmények I.

OSWindows VistaXP vagy Windows 2000 + kiegészítés: Windows Right Management Client V1.0 SP2

RMS AlkalmazásMicrosoft Office Word, Excel, PowerPoint vagy InfoPath 2007Internet Explorer + kiegészítés: Rights Management Add-on

Az AD RMS {kliens}RMS kliens oldali követelmények II.

Microsoft Office verziókMicrosoft Office 2003 Standard (Read-only)Microsoft Office 2003 Professional (Read and create)Microsoft Office Ultimate 2007 (Read and create )Microsoft Office Professional Plus 2007 (Read and

create)Microsoft Office Enterprise 2007 (Read and create)Egyéb Microsoft Office 2007 verziók (Read-only)

Az AD RMS {kialakítása} Kliens/Szerver modellKomponensek és azok kapcsolatai

AD DCAD CS

AD RMS SQL2005IIS 7

RMS kliens A demóban Windows Vista + Office 2007 Enterprise

AD Domain

AD {RMS} demó

Az AD RMS és az AD { Federation } Services kapcsolata

Domain A Domain BAD

RMS

AD

FS-AFS-R

1RAC CLC

WebSSO

4

35

6

78

9

RAC CLC

10

UL

11

12

1. A szerző RMS dokumentumot készít,

2. majd elküldi külső partner számára3. A partner gépe felveszi a

kapcsolatot az RMS kiszolgálóval4. A Federation agent fogadja az

igényt5. RMS Kliens átirányítása az FS-R

felé „home realm” felderítése céljából

6. RMS Kliens átirányítása FS-A felé authentikáció céljából

7. RMS Kliens visszairányítása FS-R felé authentikáció céljából

8. RMS Kliens bootstrapping certificates igényt nyújt be

9. WebSSO agent fogadja a kérést, ellenőrzi az authentikációt, majd továbbítja az RMS kiszolgáló felé

10. RMS megküldi a bootsrapping tanusítványokat a partnernek

11. RMS megküldi a „use license”-et a partnernek

12. Partner megnyitja a védett állományt

Független szervezetek? ADFS!

Szerző Jogosult hozzáférőPL

2

{ Kezdés 13:25-kor }