Active Directory Rights Management Services. Часть 4.

В прошлых статьях я рассказывал о работе Active Directory Rights Management Services. У многих могло сложиться впечатление, что назначать права на документ можно только для пользователей организации и никак нельзя предоставлять доступ пользователям за пределами организации. Но это не так, можно предоставления внешним пользователям Live ID доступа к цифровой информации. Также можно настроить доступ с помощью Active Directory Federation Services. В данной статье я расскажу о том как настроить доступ пользователям из другой организации с помощью Active Directory Federation Services.

Для начала нам необходимо развернуть Active Directory Federation Services в нашей организации и настроить её для готовности настройки доверительных отношений между организацией партнером. Для того чтобы развернуть Active Directory Federation Services мы воспользуемся стандартными средствами Windows Server 2008 R2.

Когда установлен Active Directory Federation Services нам необходимо настроить его. Для начала необходимо изменить имя сервера, используя которое сервер будет представляться. Что бы это сделать необходимо зайти в оснастку Federation Service, нажать правой кнопкой мыши на Trust Policy и выбрать Properties. В открывшемся окне необходимо изменить параметр Federation Service URI, как пример можно использовать имя url:adfs:company.local, а параметр Federation Service endpoint URL на https://adfs.company.local/adfs/ls/

После этого необходимо изменить правила заявки. Для этого в оснастке Active Directory Federation Services необходимо перейти в Trust Policy -> My Organization, после чего необходимо выбрать Organization Claims, нажать правой кнопку мыши и выбрать New -> Organization Claim. В открывшемся окне необходимо назначить имя параметра Claim name, лучше всего использовать ассоциативные имена, на сайте TechNet.com рекомендуют использовать имя — ProxyAddresses. Параметр Claim name чувствителен к регистру, поэтому будьте внимательней. Тип переменной необходимо установить как Custom claim.

Следующим шагом будет добавление хранилища учетных записей. Для этого в оснастке Active Directory Federation Services необходимо перейти в Trust Policy -> My Organization нажать правой кнопкой мыши на Account Stores и выбрать New -> Account Stores. В открывшемся окне необходимо параметр Account Store Type установить как Active Directory Domain Services и нажать Next. На следующем шаге необходимо выбрать Enable this account store. После чего необходимо дважды кликнуть на E-mail, в открывшемся окне установить галочку напротив Enabled и параметр LDAP attribute задать как mail. Далее необходимо кликнуть правой кнопкой на Active Directory и выбрать New -> Custom claim extraction в открывшемся окне параметр Attribute ввести ProxyAddresses.

Теперь необходимо настроить pipeline с нашим кластером Active Directory Rights Management Services. Для этого в оснастке Active Directory Federation Services необходимо перейти в Trust Policy -> My Organization и нажать правую кнопку мыши на разделе Applications, после чего в меню выбрать New -> Application. В открывшемся окне необходимо значение параметра Application Type изменить на Claims-aware application и нажать кнопку Next. На следующем шаге задаётся название приложения и его URL, для этого заполняется параметр Application display name, а в Application URL пишем https://adrms.company.local/_wmcs/certificationexternal/. Далее на странице Accepted Identity Claims, поставте галочки напротив User principal name (UPN) и E-mail. И на следующем шаге необходимо поставить галочку возле Enable this application. По окончанию работы мастера в разделе Application появиться наше приложение, и нам необходимо в его настройках включить Custom Claim который мы назвали ProxyAddresses. После чего эти действия необходимо повторить те же действия, но необходимо поменять Application URL на другой, а именно на https://adrms.company.local/_wmcs/licensingexternal/. После чего первоначальная, и основная настройка Active Directory Federation Services закончена.

Теперь необходимо подготовить все наши сервера, которые входят кластер Active Directory Rights Management Services для работы с Active Directory Federation Services. Во первых необходимо пользователю от имени которого работает Active Directory Rights Management Services выставить привилегии на аудит. Для этого необходимо создать групповую политику в настройках безопасности компьютер перейти в User Rights Assignment, и изменить параметр Generate security audits добавив пользователя, от имени которого работает Active Directory Rights Management Services.

После этого необходимо включить Extranet cluster URL для нашего Active Directory Rights Management Services кластера. Это можно сделать, нажав на имени кластера правой кнопкой мыши и выбрать Propertiesи в открывшемся окне свойств выбрать закладку Cluster URLs. В этой вкладке необходимо поставить галочку напротив Extranet URLs и ввести значения адреса кластера лицензирования и сертификации в нашем случае это будет adrms.company.local, причем протокол должен быть HTTPS. После чего на всех серверах необходимо установить роль Identity Federation Support. Когда во время установки спросит адрес нашего Active Directory Federation Services сервера необходимо ввести adfs.company.local и нажать кнопку Validate.

Когда установлена роль Identity Federation Support для Active Directory Rights Management Services, необходимо в настройках кластера сделать еще небольшое изменение. Для этого войдем в консоль управления Active Directory Rights Management Services и включим Federated Identity Support, нажав на Enable Federated Identity Support. При необходимости, можно установить на какой срок будет выдаваться сертификат федеративному пользователю. Для этого необходимо нажать на Properties, предварительно выбрав Federated Identity Support, и в открывшемся окне изменить параметр Federated Identity Certificate validity period. После этого наш кластер Active Directory Rights Management Services полностью готов для работы с Active Directory Federation Services.

После этого осталось настроить только доверительные отношение между Active Directory Federation Services компании и партнером. Для начала приступим к настройке с Active Directory Federation Services сервера компании партнера. На уже за ранее установленном сервере в компании партнере необходимо изменить имя сервера, используя которое сервер будет представляться. Что бы это сделать необходимо зайти в оснастку Federation Service, нажать правой кнопкой мыши на Trust Policy и выбрать Properties. В открывшемся окне необходимо изменить параметр Federation Service URI, как пример можно использовать имя url:adfs:partner.local, а параметр Federation Service endpoint URL на https://adfs.partner.local/adfs/ls/

После этого необходимо изменить правила заявки. Для этого в оснастке Active Directory Federation Services необходимо перейти в Trust Policy -> My Organization, после чего необходимо выбрать Organization Claims, нажать правой кнопку мыши и выбрать New -> Organization Claim. В открывшемся окне необходимо назначить имя параметра Claim name, лучше всего использовать ассоциативные имена, на сайте TechNet.com рекомендуют использовать имя — ProxyAddresses. Параметр Claim name чувствителен к регистру, поэтому будьте внимательней. Тип переменной необходимо установить как Custom claim.

Теперь добавим в оснастке Active Directory Federation Services информацию о Active Directory Federation Services сервере компании company.local, которая необходима для работы Active Directory Federation Services компании partner.local. Для этого в оснастке Active Directory Federation Services необходимо перейти в Trust Policy -> Partner Organization, после чего необходимо выбрать Organization Claims, нажать правой кнопку мыши и выбрать New -> Resource Partner. На странице Resource Partner Details необходимо заполнить следующие данные: Display name, Federation Service URI, Federation Service endpoint URL. Federation Service URI должен быт url:adfs:company.local, Federation Service endpoint URL — https://adfs.company.local/adfs/ls/. На следующей странице мастера для параметра Federation Scenario выберите Federated Web SSO и нажмите Next. Далее установите галочки напротив UPN Claim и E-mail Claim. И на последнем шаге не забываем поставить галочку напротив Enable this resource partner. После этого на созданном resource partner необходимо кликнуть правой кнопкой мыши и выбрать New -> Outgoing Custom Claim Mapping. В открывшемся окне для параметра Outgoing custom claim name ввести ProxyAddresses.

Теперь осталось настроить доверия к компании партнеру (partner.local) на сервер Active Directory Federation Services компании company.local. Для этого в оснастке Active Directory Federation Services необходимо перейти в Trust Policy -> Partner Organization, после чего необходимо выбрать Organization Claims, нажать правой кнопку мыши и выбрать New -> Account Partner. На странце мастера Resource Partner Details необходимо задать значения для параметров Display name, Federation Service URI, Federation Service endpoint URL. Параметр Federation Service URI должен быть url:adfs:partner.local, а параметр Federation Service endpoint URL должен быть https://adfs.partner.local/adfs/ls/. На следующей страницу вам необходимо выбрать сертификат которым будут подписаны токены, его необходимо получить от партнера (импортировать с сервера компании partner.local). Далее необходимо выбрать Federated Web SSO. При выборе клеймов необходимо выбрать UPN Claim и E-mail Claim. После чего необходимо задать параметры Accepted UPN Suffixes и Accept E-mail Suffixes, их значение должно быть partner.local. На последнем шаге необходимо поставить галочку напротив Enable this account partner. После этого на созданном resource partner необходимо кликнуть правой кнопкой мыши и выбрать New -> Outgoing Custom Claim Mapping. В открывшемся окне для параметра Outgoing custom claim name ввести ProxyAddresses. После этого мы можем назначать доступ к файлом для партнеров.

Хочу обратить ваше внимание, что у пользователей компании parent.local необходимо изменить реестр. По адресу HKEY_LOCAL_MACHINEMicrosoftMSDRMFederation необходимо добавить переменную с именем FederationHomeRealm, типом String Value и значением uri:adfs:partner.local

Pin It

4 thoughts on “Active Directory Rights Management Services. Часть 4.

      Добавить комментарий

      Ваш адрес email не будет опубликован. Обязательные поля помечены *

      Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.