DokumentationAdobe PassAdobe Pass-Authentifizierung

Single Sign-on mit Service-Token-Flüssen

Letzte Aktualisierung: 7. April 2025
  • Themen:
  • Authentifizierung
WICHTIG
Der Inhalt dieser Seite dient nur zu Informationszwecken. Die Verwendung dieser API erfordert eine aktuelle Lizenz von Adobe. Eine unbefugte Nutzung ist nicht zulässig.
WICHTIG
Die REST-API-V2-Implementierung ist an die Dokumentation Drosselungsmechanismus gebunden.
Related Articles
Stellen Sie sicher, dass Sie auch die häufig gestellten Fragen REST API V2 besuchen.

Die Service-Token-Methode ermöglicht es mehreren Anwendungen, bei der Verwendung von Adobe Pass-Services eine eindeutige Benutzerkennung zu verwenden, um Single Sign-on (SSO) auf mehreren Geräten und Plattformen zu erzielen.

Die Programme sind für das Abrufen der Payload der eindeutigen Benutzerkennung mithilfe von externen Identity Services außerhalb von Adobe Pass-Systemen verantwortlich, z. B.:

  • Ein DTC-Dienst (Direct-to-Consumer), bei dem sich Benutzer auf jedem Gerät mit denselben Anmeldeinformationen anmelden und mit derselben Benutzer-ID oder demselben Benutzerkontonamen verknüpft sind.
  • Ein Authentifizierungsdienst eines Drittanbieters, wie Google oder Facebook, bei dem sich Benutzer auf jedem Gerät mit denselben Anmeldeinformationen anmelden und mit derselben E-Mail-Adresse verknüpft sind.

Die Programme sind dafür verantwortlich, diese Payload mit eindeutiger Benutzerkennung als Teil der AD-Service-Token-Kopfzeile für alle Anfragen einzuschließen, die sie angeben.

Weitere Informationen zu AD-Service-Token-Kopfzeile finden Sie in der Dokumentation AD-Service-".

Durchführen der Authentifizierung über Single Sign-on mit dem Service-Token

Voraussetzungen

Stellen Sie vor dem Ausführen des Authentifizierungsflusses über Single Sign-on mit einem Service-Token sicher, dass die folgenden Voraussetzungen erfüllt sind:

  • Der externe Identity Service muss konsistente Informationen als JWS Payload über alle Anwendungen hinweg über mehrere Geräte und Plattformen zurückgeben.
  • Die erste Streaming-Anwendung muss für alle Anfragen, die sie angeben, die eindeutige Benutzerkennung abrufen und die JWS Payload als Teil der Kopfzeile AD-Service-) einschließen.
  • Die erste Streaming-Anwendung muss eine MVPD auswählen.
  • Die erste Streaming-Anwendung muss eine Authentifizierungssitzung initiieren, um sich mit der ausgewählten MVPD anzumelden.
  • Die erste Streaming-Anwendung muss sich mit der ausgewählten MVPD in einem Benutzeragenten authentifizieren.
  • Die zweite Streaming-Anwendung muss für alle Anfragen, die sie spezifizieren, die eindeutige Benutzerkennung abrufen und die JWS Payload als Teil der AD-Service-Token-Kopfzeile einschließen.
IMPORTANT
Annahmen
  • Die erste Streaming-Anwendung unterstützt Benutzerinteraktionen bei der Auswahl einer MVPD.
  • Die erste Streaming-Anwendung unterstützt Benutzerinteraktionen zur Authentifizierung bei der ausgewählten MVPD in einem Benutzeragenten.

Workflow

Führen Sie die angegebenen Schritte aus, um den Authentifizierungsfluss durch Single Sign-on mithilfe eines Service-Tokens zu implementieren, wie im folgenden Diagramm dargestellt.

Authentifizierung über Single Sign-on mithilfe des Service-Tokens durchführen

Authentifizierung über Single Sign-on mithilfe des Service-Tokens durchführen

  1. Mit Identity Service authentifizieren: Die erste Streaming-Anwendung ruft den Identity Service außerhalb von Adobe Pass-Systemen auf, um die mit der eindeutigen Benutzerkennung verknüpfte JWS Payload abzurufen.

  2. Eindeutige Benutzerkennung als JWS zurückgeben: Die erste Streaming-Anwendung validiert die Antwortdaten, um sicherzustellen, dass die grundlegenden Sicherheitsbedingungen erfüllt werden:

    • Payload ist nicht abgelaufen.
    • Payload ist signiert.

  3. Authentifizierungssitzung erstellen: Die erste Streaming-Anwendung erfasst alle erforderlichen Daten, um eine Authentifizierungssitzung zu initiieren, indem der Sessions-Endpunkt aufgerufen wird.

    IMPORTANT
    Weitere Informationen zu folgenden Themen finden in der APIDokumentation zu „Authentifizierungssitzung erstellen“:
    • Alle erforderlichen Parameter wie serviceProvider, mvpd, domainName und redirectUrl
    • Alle erforderlichen Kopfzeilen wie Authorization, AP-Device-Identifier
    • Alle optionalen Parameter und Kopfzeilen
    Die Streaming-Anwendung muss sicherstellen, dass sie einen gültigen Wert für die eindeutige Benutzerkennung enthält, bevor sie eine Anfrage stellt.
    Weitere Informationen zu AD-Service-Token-Kopfzeile finden Sie in der Dokumentation AD-Service-".

  4. Nächste Aktion angeben: Die Antwort des Sitzungs-Endpunkts enthält die erforderlichen Daten, um die erste Streaming-Anwendung bezüglich der nächsten Aktion anzuleiten.

    IMPORTANT
    Weitere Informationen zu den in einer Sitzungsantwort bereitgestellten Informationen finden Sie in der APIDokumentation zu „Authentifizierungssitzung erstellen“.
    Der Sessions-Endpunkt validiert die Anfragedaten, um sicherzustellen, dass die grundlegenden Bedingungen erfüllt sind:
    • Die erforderlichen Parameter und Kopfzeilen müssen gültig sein.
    • Die Integration zwischen den bereitgestellten serviceProvider und mvpd muss aktiv sein.
    Wenn die Validierung fehlschlägt, wird eine Fehlerantwort generiert, die zusätzliche Informationen entsprechend der Dokumentation Erweiterte Fehlercodes bereitstellt.

  5. URL im Benutzeragenten öffnen Die Antwort des Sitzungs-Endpunkts enthält die folgenden Daten:

    • Die url, die verwendet werden kann, um die interaktive Authentifizierung auf der Anmeldeseite von MVPD zu initiieren.
    • Das actionName-Attribut ist auf „Authenticate“ festgelegt.
    • Das actionType-Attribut ist auf „interaktiv“ festgelegt.

    Wenn das Adobe Pass-Backend kein gültiges Profil identifiziert, öffnet die erste Streaming-Anwendung einen Benutzeragenten, um die angegebene url zu laden, und sendet eine Anfrage an den Authentifizierungsendpunkt. Dieser Fluss kann mehrere Weiterleitungen enthalten, die den Benutzer letztendlich zur Anmeldeseite von MVPD führen und gültige Anmeldeinformationen angeben.

  6. Vollständige MVPD-Authentifizierung: Wenn der Authentifizierungsfluss erfolgreich ist, speichert die Benutzeragenten-Interaktion ein reguläres Profil im Adobe Pass-Backend und erreicht die angegebene redirectUrl.

  7. Profil für bestimmten Code abrufen: Die erste Streaming-Anwendung sammelt alle erforderlichen Daten, um Profilinformationen abzurufen, indem eine Anfrage an den Endpunkt „Profiles“ gesendet wird.

    IMPORTANT
    Weitere Informationen zu folgenden finden Sie in der APIDokumentation zum Abrufen von Profilen für bestimmten Code:
    • Alle erforderlichen Parameter wie serviceProvider, code
    • Alle erforderlichen Kopfzeilen wie Authorization, AP-Device-Identifier
    • Alle optionalen Parameter und Kopfzeilen
    TIP
    Die Streaming-Anwendung muss warten, bis der Benutzeragent die angegebene redirectUrl erreicht, um zu überprüfen, ob das reguläre Profil erfolgreich generiert und gespeichert wurde.

  8. Reguläres Profil suchen: Der Adobe Pass-Server identifiziert ein gültiges Profil anhand der empfangenen Parameter und Kopfzeilen.

  9. Informationen zum regulären Profil zurückgeben: Die Antwort des Endpunkts „Profile“ enthält Informationen zum gefundenen Profil, das mit den empfangenen Parametern und Kopfzeilen verknüpft ist.

    IMPORTANT
    Weitere Informationen zu in einer Profilantwort bereitgestellten Informationen finden Sie in der APIDokumentation zum Abrufen von Profilen für bestimmten Code.
    Der Profiles-Endpunkt validiert die Anfragedaten, um sicherzustellen, dass die grundlegenden Bedingungen erfüllt sind:
    • Die erforderlichen Parameter und Kopfzeilen müssen gültig sein.
    Wenn die Validierung fehlschlägt, wird eine Fehlerantwort generiert, die zusätzliche Informationen entsprechend der Dokumentation Erweiterte Fehlercodes bereitstellt.

  10. Fahren Sie mit Entscheidungsflüssen fort: Die erste Streaming-Anwendung kann mit nachfolgenden Entscheidungsflüssen fortfahren.

    IMPORTANT
    Die Streaming-Anwendung muss sicherstellen, dass sie einen gültigen Wert für die eindeutige Benutzerkennung enthält, bevor sie eine Anfrage stellt.
    Weitere Informationen zu AD-Service-Token-Kopfzeile finden Sie in der Dokumentation AD-Service-".

  11. Mit Identity Service authentifizieren: Die zweite Streaming-Anwendung ruft den Identity Service außerhalb von Adobe Pass-Systemen auf, um die mit der eindeutigen Benutzerkennung verknüpfte JWS Payload abzurufen.

  12. Eindeutige Benutzerkennung als JWS zurückgeben: Die zweite Streaming-Anwendung validiert die Antwortdaten, um sicherzustellen, dass die grundlegenden Sicherheitsbedingungen erfüllt werden:

    • Payload ist nicht abgelaufen.
    • Payload ist signiert.

  13. Profile abrufen: Die zweite Streaming-Anwendung sammelt alle erforderlichen Daten, um alle Profilinformationen abzurufen, indem eine Anfrage an den Endpunkt „Profiles“ gesendet wird.

    IMPORTANT
    Weitere Informationen zu folgenden Themen finden in der APIDokumentation zum Abrufen von Profilen:
    • Alle erforderlichen Parameter wie serviceProvider
    • Alle erforderlichen Kopfzeilen wie Authorization, AP-Device-Identifier
    • Alle optionalen Parameter und Kopfzeilen
    Die Streaming-Anwendung muss sicherstellen, dass sie einen gültigen Wert für die eindeutige Benutzerkennung enthält, bevor sie eine Anfrage stellt.
    Weitere Informationen zu AD-Service-Token-Kopfzeile finden Sie in der Dokumentation AD-Service-".

  14. Single-Sign-On-Profil suchen: Der Adobe Pass-Server identifiziert ein gültiges Single-Sign-On-Profil basierend auf den empfangenen Parametern und Kopfzeilen.

  15. Rückgabeinformationen zum Single-Sign-On-Profil zurückgeben: Die Antwort des Endpunkts „Profile“ enthält Informationen zum gefundenen Profil, das mit den empfangenen Parametern und Kopfzeilen verknüpft ist.

    IMPORTANT
    Weitere Informationen zu den in einer Profilantwort bereitgestellten Informationen findenin der API-Dokumentation zum Abrufen von Profilen .
    Der Profiles-Endpunkt validiert die Anfragedaten, um sicherzustellen, dass die grundlegenden Bedingungen erfüllt sind:
    • Die erforderlichen Parameter und Kopfzeilen müssen gültig sein.
    Wenn die Validierung fehlschlägt, wird eine Fehlerantwort generiert, die zusätzliche Informationen entsprechend der Dokumentation Erweiterte Fehlercodes bereitstellt.

  16. Fahren Sie mit Entscheidungsflüssen fort: Die zweite Streaming-Anwendung kann mit nachfolgenden Entscheidungsflüssen fortfahren.

    IMPORTANT
    Die Streaming-Anwendung muss sicherstellen, dass sie einen gültigen Wert für die eindeutige Benutzerkennung enthält, bevor sie eine Anfrage stellt.
    Weitere Informationen zu AD-Service-Token-Kopfzeile finden Sie in der Dokumentation AD-Service-".

Abrufen von Autorisierungsentscheidungen über Single Sign-on mithilfe des Service-Tokens

Voraussetzungen

Stellen Sie vor dem Ausführen des Autorisierungsflusses über Single Sign-on mit einem Service-Token sicher, dass die folgenden Voraussetzungen erfüllt sind:

  • Der externe Identity Service muss konsistente Informationen als JWS Payload über alle Anwendungen hinweg über mehrere Geräte und Plattformen zurückgeben.
  • Die erste Streaming-Anwendung muss für alle Anfragen, die sie angeben, die eindeutige Benutzerkennung abrufen und die JWS Payload als Teil der Kopfzeile AD-Service-) einschließen.
  • Die zweite Streaming-Anwendung muss eine Autorisierungsentscheidung abrufen, bevor eine vom Benutzer ausgewählte Ressource wiedergegeben wird.
IMPORTANT
Annahmen
  • Die erste Streaming-Anwendung hat die Authentifizierung durchgeführt und einen gültigen Wert für die Anforderungskopfzeile AD-Service-Token enthalten.

Workflow

Führen Sie die angegebenen Schritte aus, um den Autorisierungsfluss durch Single Sign-on mithilfe eines Service-Tokens zu implementieren, wie im folgenden Diagramm dargestellt.

Abrufen von Autorisierungsentscheidungen über Single Sign-on mithilfe des Service-Tokens

Abrufen von Autorisierungsentscheidungen über Single Sign-on mithilfe des Service-Tokens

  1. Mit Identity Service authentifizieren: Die zweite Streaming-Anwendung ruft den Identity Service außerhalb von Adobe Pass-Systemen auf, um die mit der eindeutigen Benutzerkennung verknüpfte JWS Payload abzurufen.

  2. Eindeutige Benutzerkennung als JWS zurückgeben: Die zweite Streaming-Anwendung validiert die Antwortdaten, um sicherzustellen, dass die grundlegenden Sicherheitsbedingungen erfüllt werden:

    • Payload ist nicht abgelaufen.
    • Payload ist signiert.

  3. Autorisierungsentscheidung abrufen: Die zweite Streaming-Anwendung sammelt alle erforderlichen Daten, um eine Autorisierungsentscheidung für eine bestimmte Ressource zu erhalten, indem sie den Decisions Authorize-Endpunkt aufruft.

    IMPORTANT
    Weitere Informationen zu folgenden Themen finden in der APIDokumentation zum Abrufen von Autorisierungsentscheidungen mithilfe bestimmter MVPD:
    • Alle erforderlichen Parameter wie serviceProvider, mvpd und resources
    • Alle erforderlichen Kopfzeilen wie Authorization und AP-Device-Identifier
    • Alle optionalen Parameter und Kopfzeilen
    Die Streaming-Anwendung muss sicherstellen, dass sie einen gültigen Wert für die eindeutige Benutzerkennung enthält, bevor sie eine Anfrage stellt.
    Weitere Informationen zu AD-Service-Token-Kopfzeile finden Sie in der Dokumentation AD-Service-".

  4. Single-Sign-On-Profil suchen: Der Adobe Pass-Server identifiziert ein gültiges Single-Sign-On-Profil basierend auf den empfangenen Parametern und Kopfzeilen.

  5. MVPD-Entscheidung für angeforderte Ressource abrufen: Der Adobe Pass-Server ruft den MVPD-Autorisierungsendpunkt auf, um eine Permit- oder Deny-Entscheidung für die bestimmte Ressource abzurufen, die von der Streaming-Anwendung empfangen wurde.

  6. Rückgabe Permit Entscheidung mit Medien-Token: Die Endpunktantwort „Entscheidungen autorisieren“ enthält eine Permit Entscheidung und ein Medien-Token.

    IMPORTANT
    Weitere Informationen zu den in einer Entscheidungsantwort bereitgestellten Informationen finden Sie in der APIDokumentation zum Abrufen von Autorisierungsentscheidungen mithilfe einer bestimmten mvpd.
    Der Decisions-Autorisierungs-Endpunkt validiert die Anfragedaten, um sicherzustellen, dass grundlegende Bedingungen erfüllt werden:
    • Die erforderlichen Parameter und Kopfzeilen müssen gültig sein.
    • Die Integration zwischen den bereitgestellten serviceProvider und mvpd muss aktiv sein.
    Wenn die Validierung fehlschlägt, wird eine Fehlerantwort generiert, die zusätzliche Informationen entsprechend der Dokumentation Erweiterte Fehlercodes bereitstellt.

  7. Stream mit Medien-Token starten: Die zweite Streaming-Anwendung verwendet das Medien-Token, um den Inhalt abzuspielen.

  8. Rückgabe Deny Entscheidung mit Details: Die Endpunktantwort „Decisions Authorize“ enthält eine Deny Entscheidung und eine Fehler-Payload, die der Dokumentation zu Enhanced Error Codes entsprechen.

    IMPORTANT
    Weitere Informationen zu den in einer Entscheidungsantwort bereitgestellten Informationen finden Sie in der APIDokumentation zum Abrufen von Autorisierungsentscheidungen mithilfe einer bestimmten mvpd.
    Der Decisions-Autorisierungs-Endpunkt validiert die Anfragedaten, um sicherzustellen, dass grundlegende Bedingungen erfüllt werden:
    • Die erforderlichen Parameter und Kopfzeilen müssen gültig sein.
    • Die Integration zwischen den bereitgestellten serviceProvider und mvpd muss aktiv sein.
    Wenn die Validierung fehlschlägt, wird eine Fehlerantwort generiert, die zusätzliche Informationen entsprechend der Dokumentation Erweiterte Fehlercodes bereitstellt.

  9. Handhabung Deny Entscheidungsdetails: Die zweite Streaming-Anwendung verarbeitet die Fehlerinformationen aus der Antwort und kann sie verwenden, um optional eine bestimmte Nachricht auf der Benutzeroberfläche anzuzeigen.

NOTE
Die Schritte für den Vorautorisierungsfluss sind mit denen für den Autorisierungsfluss identisch, mit dem Unterschied, dass der verwendete Endpunkt derjenige ist, der in der Dokumentation Abrufen von Vorautorisierungsentscheidungen mithilfe spezifischer mvpd beschrieben ist.
recommendation-more-help
3f5e655c-af63-48cc-9769-2b6803cc5f4b