ADRMS組成元件

ADRMS的基礎架構由多個元件組成, 而其中的主要元件是 ADRMS叢集, 當在樹系中部署第一台 ADRMS伺服器時就會建立 ADRMS根憑證叢集, ADRMS根憑證叢集負責管理該叢集所在網域中的所有授權與憑證相關的通訊流量, ADRMS會將設定資訊儲存在資料庫或是 WID中, 在大型環境中, 資料庫通常會架設在與 ADRMS角色所在伺服器分開的另一台伺服器上以分擔負載與提升效能

伺服器端元件:

ADRMS的核心是由伺服器角色與相關服務構成, 負責發行授權、管理金鑰、驗證使用者身分等

1. ADRMS伺服器:

負責發行伺服器授權憑證(SLC), 建立與管理 RMS金鑰, 處理發佈授權(PL)與使用授權(UL)的發行, 驗證使用者與應用程式的授權要求w-studio.idv.tw

2. ADRMS資料庫: 通常使用 Microsoft SQL Server

負責儲存 RMS組態設定, 授權與金鑰, 使用記錄

3. Active Directory Domain Services (ADDS)

提供使用者驗證與群組資訊, RMS依靠 ADDS來確認使用者身分與群組成員資格, 支援整合使用者身分驗證與群組型授權控制

4. 金鑰基礎架構: 負責加密、簽章與授權驗證

RMS使用的非對稱金鑰組, 包括: 伺服器授權金鑰, 使用者帳戶憑證金鑰

用戶端元件:

用戶端元件讓使用者的應用程式可以與 ADRMS互動、加密文件與解密受保護內容

1. ADRMS用戶端, 包含在 Windows系統中:

負責與 RMS伺服器溝通, 向伺服器請求授權(PL、UL), 在本機套用加解密與權限控制, 常與 Microsoft Office、Outlook、SharePoint 等應用程式整合

2. 使用者帳戶憑證(UAC)/權限帳戶憑證(RAC)/用戶端授權人憑證(CLC):

由 ADRMS發行給使用者, 內容包含使用者身分與公私鑰組, 用來請求文件授權, 讓 RMS伺服器確認該使用者的身份與權限

3. 應用程式支援:

需要 RMS-aware的應用程式(如 Word、Excel、Outlook)才能建立或開啟受 RMS保護的檔案,  這些應用會透過 RMS API與用戶端溝通

網路與憑證相關元件:

1. SSL憑證:

用於加密 RMS用戶端與伺服器的 HTTPS通訊, 通常需由受信任的 CA發行

2. 電子郵件與網頁服務:

如果 RMS與 Exchange、SharePoint整合, 會需要對應的 Web Service元件(如SOAP、WebDAV)

整體架構運作流程簡述

1. 使用者透過 RMS-aware應用程式建立文件 → 用戶端與 RMS伺服器溝通 → 伺服器發佈授權(PL)

2. 其他使用者要開啟該文件時 → 用戶端向 RMS伺服器請求使用授權(UL) → RMS驗證身分與權限 → 發送授權金鑰

3. 用戶端依據授權金鑰解密文件並套用權限(僅檢視、禁止列印等)