none
RMS и внешние пользователи. RRS feed

  • Вопрос

  • Всем доброго времени суток.

    RMS много раз ставил и пользовал в пределах одного леса, но вот появилась задача отправлять защищенные при помощи RMS письма и файлы внешним контрагентам.

     

    К сожалению как точно это работает (детальное техническое описание) не нашел. Вот по лицензированию все есть, необходимо приобрести:

    - Лицензию на 2003 сервер (external connections)

    - Лицензию RMS (external connections)

     

    Кто может поделиться ссылками или опытом?

     

    Я так понимаю есть несколько моментов:

    1. Публиковать на портале (SharePoint) для внешних контрагентов необходимую информацию. В этом случае установка RMS клиента не требуется?

    2. Для чтения почты, клиенту необходимо будет установить RMS клиент. Рабочую станцию активировать необходимо будет на Microsoft .Net Passport (я так понял только триальная штука) или можно будет завести ему акаунт в организации? Какие порты и протоколы используются для получения сертификата и лицензий на открытие файла? Пока только одни вопросы... А лицензия RMS на External connection стоит не 1000р. =)

    24 апреля 2008 г. 8:15

Ответы

  • 1) Если у Вас есть информационный портал, построенный на продуктах Windows SharePoint Services 3.0 или Office SharePoint Server 2007 и этот портал опубликован для доступа извне, Вы можете воспользоваться возможностью создания библиотек документов, защищённых с помощью технологии RMS.

    И службы Windows Sharepoint Services 3.0, и Microsoft Office Sharepoint Server 2007 (MOSS2007) поддерживают интеграцию со службой RMS. После включения поддержки RMS (в терминологии Sharepoint этот компонент, отвечающий за интеграцию, называется Information Rights Management, IRM) можно защитить любую библиотеку документов. Причем, права по шаблону как таковые Вы не устанавливаете. RMS защищает документ при скачивании из библиотеки или при загрузке в библиотеку, т.е. шифрует его содержимое и создает политику использования, автоматически на основе прав запросившего пользователя на документы данной библиотеки. Уровни прав выставляются посредством назначения пользователя в определенную группу (например, гости).

    В этом случае Вашим контрагентам понадобиться установить на свои компьютеры RMS-клиент и активировать его, а также для открытия защищённого документа использовать приложение, поддерживающее RMS (например, из пакета Microsoft Office 2003/2007).

     

    Более подробно про этот фукнционал RMS можно прочитать здесь:

    http://www.microsoft.com/windowsserver2003/techinfo/overview/rmenterprisewp.mspx

    А про техническую реализацию здесь:

    http://go.microsoft.com/fwlink/?LinkId=76879

     

    Причем в данном сценарии помимо открытия внешнего доступа к сайту SharePoint необходимо организовать внешний доступ к так называемым конвейерам сертификации и лицензирования (Certification & Licensing Pipelines). Технически это сводиться к публикации двух URL-адресов.

    Побробнее про публикацию конвейеров RMS:

    http://www.microsoft.com/rus/technet/articles/ws2008/5783.mspx

     

    2) Для чтения защищённых технологией RMS сообщений необходим почтовый клиент, поддерживающий технологию RMS. Насколько мне известно, на данный момент это только Office Outlook 2003/2007.

    Наличие установленного RMS-клиента также необходимо. Активировать клиента можно как посредстом открытия внешнего доступа к конвейеру сертификации RMS и создание в каталоге AD учетной записи пользователя для этого контрагента (смотреть материалы в предыдущем сценарии), так и с ипользованием службы Windows Live ID (ранее известной как .NET Passport). Причем Live ID в контексте RMS поддерживает не только триальные сценарии использования.

    Для получения сертификатов и лицензий RMS используются всё те же конвейеры сертификации и лицензирования соотвественно. RMS по реализации является Web-службой, поэтому всё взаимодействие между клиентами и сервером происходит по протоколу HTTP(S) (по умолчанию порты 80 и 443 соотвественно). URL этих конвейреров следующие:

    http(s)://rms_server_name/_wmcs/Certification (для сертификации, как можно догадаться =))

    http(s)://rms_server_name/_wmcs/Licensing (для лицензирования)

     

    Собственно к публикации этих URL и сводится организации внешнего доступа к службе RMS (кроме более сложных по организации случаев использования Trusted Domains и федераций ADFS (только в реализации AD RMS Windows Server 2008).

     

    Более подробно про развертывание RMS в пределах нескольких лесов:

    Deploying RMS Across Forests

    http://technet2.microsoft.com/WindowsServer/f/?en/Library/9b24bb70-47ed-46d0-a321-e693d16b1eb01033.mspx

    Managing Trust and Trust Policy

    http://technet2.microsoft.com/WindowsServer/f/?en/Library/9b24bb70-47ed-46d0-a321-e693d16b1eb01033.mspx

    RMS Publishing

    http://technet2.microsoft.com/WindowsServer/f/?en/Library/9b24bb70-47ed-46d0-a321-e693d16b1eb01033.mspx

     

    Плюс ко всему вышесказанному к обязательному просмотру записанные webcasts, любезно указанные в предыдущем посте.

    25 апреля 2008 г. 7:30

Все ответы

  • Николай, очень хорошую трансляцию по поводу RMS проводил Сергей Шаповал.

    Рекомендую вам ее посмотеть, там как раз описывается случай внешних партнеров:

    http://www.microsoft.com/rus/events/detail.mspx?eventid=1032357025
    http://www.microsoft.com/rus/events/detail.mspx?eventid=1032357041

    24 апреля 2008 г. 9:19
  • 1) Если у Вас есть информационный портал, построенный на продуктах Windows SharePoint Services 3.0 или Office SharePoint Server 2007 и этот портал опубликован для доступа извне, Вы можете воспользоваться возможностью создания библиотек документов, защищённых с помощью технологии RMS.

    И службы Windows Sharepoint Services 3.0, и Microsoft Office Sharepoint Server 2007 (MOSS2007) поддерживают интеграцию со службой RMS. После включения поддержки RMS (в терминологии Sharepoint этот компонент, отвечающий за интеграцию, называется Information Rights Management, IRM) можно защитить любую библиотеку документов. Причем, права по шаблону как таковые Вы не устанавливаете. RMS защищает документ при скачивании из библиотеки или при загрузке в библиотеку, т.е. шифрует его содержимое и создает политику использования, автоматически на основе прав запросившего пользователя на документы данной библиотеки. Уровни прав выставляются посредством назначения пользователя в определенную группу (например, гости).

    В этом случае Вашим контрагентам понадобиться установить на свои компьютеры RMS-клиент и активировать его, а также для открытия защищённого документа использовать приложение, поддерживающее RMS (например, из пакета Microsoft Office 2003/2007).

     

    Более подробно про этот фукнционал RMS можно прочитать здесь:

    http://www.microsoft.com/windowsserver2003/techinfo/overview/rmenterprisewp.mspx

    А про техническую реализацию здесь:

    http://go.microsoft.com/fwlink/?LinkId=76879

     

    Причем в данном сценарии помимо открытия внешнего доступа к сайту SharePoint необходимо организовать внешний доступ к так называемым конвейерам сертификации и лицензирования (Certification & Licensing Pipelines). Технически это сводиться к публикации двух URL-адресов.

    Побробнее про публикацию конвейеров RMS:

    http://www.microsoft.com/rus/technet/articles/ws2008/5783.mspx

     

    2) Для чтения защищённых технологией RMS сообщений необходим почтовый клиент, поддерживающий технологию RMS. Насколько мне известно, на данный момент это только Office Outlook 2003/2007.

    Наличие установленного RMS-клиента также необходимо. Активировать клиента можно как посредстом открытия внешнего доступа к конвейеру сертификации RMS и создание в каталоге AD учетной записи пользователя для этого контрагента (смотреть материалы в предыдущем сценарии), так и с ипользованием службы Windows Live ID (ранее известной как .NET Passport). Причем Live ID в контексте RMS поддерживает не только триальные сценарии использования.

    Для получения сертификатов и лицензий RMS используются всё те же конвейеры сертификации и лицензирования соотвественно. RMS по реализации является Web-службой, поэтому всё взаимодействие между клиентами и сервером происходит по протоколу HTTP(S) (по умолчанию порты 80 и 443 соотвественно). URL этих конвейреров следующие:

    http(s)://rms_server_name/_wmcs/Certification (для сертификации, как можно догадаться =))

    http(s)://rms_server_name/_wmcs/Licensing (для лицензирования)

     

    Собственно к публикации этих URL и сводится организации внешнего доступа к службе RMS (кроме более сложных по организации случаев использования Trusted Domains и федераций ADFS (только в реализации AD RMS Windows Server 2008).

     

    Более подробно про развертывание RMS в пределах нескольких лесов:

    Deploying RMS Across Forests

    http://technet2.microsoft.com/WindowsServer/f/?en/Library/9b24bb70-47ed-46d0-a321-e693d16b1eb01033.mspx

    Managing Trust and Trust Policy

    http://technet2.microsoft.com/WindowsServer/f/?en/Library/9b24bb70-47ed-46d0-a321-e693d16b1eb01033.mspx

    RMS Publishing

    http://technet2.microsoft.com/WindowsServer/f/?en/Library/9b24bb70-47ed-46d0-a321-e693d16b1eb01033.mspx

     

    Плюс ко всему вышесказанному к обязательному просмотру записанные webcasts, любезно указанные в предыдущем посте.

    25 апреля 2008 г. 7:30
  •  

    Столкнулись с аналогичной  задачей: необходимо организовать обмен данными между нашей организацией (1) со сторонней организацией(2) с тоже установленным RMS.

    Между этими 2-мя RMS установлены отношения trusted user domain.

    Проблема в следующем - при открытии документа в (2) если права выдавались в (1) для сотрдника (2) клиент RMS запрашивает соединение с сервером RMS (1) и после соединения с сервером RMS (1) требуется авторизация на сервере (1).

    Если авторизоваться из-под логина сотрудника (1) то документ нормально открывается.

    Подскажите как можно сделать так, чтобы не требовалось авторизация на сервере RMS (1)?

     

    17 июня 2008 г. 9:50
  • В первую очередь советую Вам создать новое обсуждение и продублировать Ваше сообщение там, потому как это вполне конкретная проблема, которая в данный момент решения не имеет.

    Как только появится время, я Вам отвечу.

    17 июня 2008 г. 11:54