Gérer les droits d’accès.

Présentation de RMS ( Right Management Server )

A quoi ça sert:
Microsoft RMS est un serveur qui permet à l’auteur d’un document de definir les droits d’usage et d’action des autres personnes qui vont accéder à ce document. ( Par défaut, RMS fonctionne avec les documents créés en Word, Excel )

Exemple: Vous êtes l’auteur d’un rapport de vente, que vous souhaitez soumettre à votre direction, vous allez définir ‘lecture seule’ ou ‘modification’ aux membre de la direction, un droit d’imprimer, le cas échéant à une personne en particulier, et une date d’expiration.
A l’ouverture du document, les personnes autorisées peuvent lire le document, et réaliser les actions que vous leur avez attribuées.

Une personne non autorisée ne pourra pas ouvrir le document.
Une personne qui emporte une copie du document à l’extérieur de l’entreprise ne pourra pas ouvrir le document.

Comment ça marche :

RMS génère des certificats et des clefs d’encryptions et de désencryption aux utilisateurs et aux ordinateurs de l’entreprise. Un document protégé par RMS est encrypté, et ne peut être décrypté que par une personne possédant une clef ‘ordinateur’ autorisé et une clef utilisateur autorisé.
Par analogie, un coffre fort est créé autour de chaque document protégé, et RMS distribue les clefs aux utilisateurs.

Attention: danger
Du fait de l’encryption des documents et de distribution de clefs par RMS: l’accès aux documents protégés nécessite la disponibilité du serveur RMS.
En cas d’arrêt du serveur RMS, vous perdez toutes les clefs de vos coffres : vous perdez alors tous les documents protégés par RMS.
Aucun système de sauvegarde ou de duplication des données ne permettra de récupérer une information protégée par RMS.

Une fois déployé, la désinstallation de RMS est une procédure assez longue, car tous les documents protégés doivent être ‘déprotégés’.

RMS pour la gestion documentaire:
Associé à Sharepoint ( MOSS ou WSS ), RMS peut être appliqué à une bibliothèque de document.
Tout document chargé dans la bibliothèque sera alors protégé par RMS, avec les droits définis par la politique de sécurité de cette bibliothèque.

Infrastructure pour déployer RMS:
RMS doit être installé au sein d’un Active Directory, et chaque utilisateur sera authentifié par son adresse email dans le domaine.
Il faudra prévoir un serveur SQL, ou SQL Express ( non recommandé pour un serveur de production ), et RMS devra être déployé sur un serveur membre du domaine, sans rôle spécifique dans l’AD ou dans Exchange, sur lequel sera installé IIS server.
RMS peut être déployé sur un serveur virtuel ( Nous recommandons cette option, car elle permet de garantir une plus forte disponibilité du service, qui devient critique très rapidement).

Exchange, WSS et MOSS ne doivent pas être déployés sur le même serveur que RMS .
Sinon vous courrez le danger de passer des nuits blanches à plonger dans du code ASP .NET

RMS et WSS:

Le déploiement de RMS dans WSS est prévu mais attention, il manque juste un protecteur de document ( fourni en standard dans MOSS ) pour les fichiers Office.
Il faudra suivre scrupuleusement la procédure décrite dans le document msdn pour télécharger les protecteurs de word et excel et les installer manuellement dans WSS.
Par ailleurs, vous ne pourrez pas faire fonctionner RMS dans WSS si votre certificat installé dans IIS pour le site RMS ne contient pas le nom complet du serveur IIS tel qu’il est nommé dans l’AD.