À propos de l’authentification et de la télévision Adobe Pass partout about-auth-tve
A propos de TV partout about-tve
Les téléspectateurs d'aujourd'hui peuvent se connecter en ligne à tout moment ou à n'importe quel endroit, et ils s'attendent à ce que leur capacité à accéder au contenu de la télévision payante soit juste là avec eux. En outre, les audiences consultent le contenu à l’aide d’une gamme toujours plus étendue d’appareils compatibles avec Internet, notamment :
- Ordinateurs portables
- Tablettes
- Smartphones
- Sites web
- Applications fédérées
- Consoles de jeu
- Cases à cocher
- Smartphones
TV Everywhere est le mouvement de l'industrie qui soutient la capacité des abonnés de la télévision payante à accéder au même contenu pour lequel ils payent déjà, sur plusieurs appareils, à la fois dans et hors de chez eux. Alors que la majeure partie de l'affichage télévisé se fait encore sur la télévision linéaire conventionnelle, la croissance de la consommation se fait dans le contenu décalé dans le temps, dans la vidéo en ligne et dans les écrans alternatifs. En conséquence, le marché de la distribution vidéo est aujourd'hui dans un état de perturbation, et TV Everywhere a émergé comme la solution qui aligne les intérêts des programmeurs, des fournisseurs de télévision payante et des abonnés de Pay TV.
L’objectif technique de TV Everywhere est de permettre aux clients de Pay TV d’accéder au contenu auquel ils s’abonnent déjà sur tous leurs appareils et plateformes.
Les objectifs commerciaux de TV partout sont les suivants :
- Préserver les relations client existantes et en activer de nouvelles
- Permettre aux programmeurs et aux propriétaires de contenu d’atteindre le plus grand public et de tirer le meilleur parti du contenu haut de gamme
- Étendre les marques par le biais d’une interaction en ligne directe avec les visionneuses
Les défis de la télévision mondiale tve-challenges
Tout comme les opportunités de TV partout viennent des défis. Au coeur de tout cela se trouve le droit. Avant qu’une visionneuse n’accède au contenu d’abonnement, une personne doit déterminer si elle a le droit d’y accéder.
L'utilisateur dispose-t-il d'un abonnement auprès d'un opérateur de télévision payante ? Si tel est le cas, cet abonnement inclut-il le contenu demandé ? Le droit est particulièrement difficile à déterminer pour les programmeurs et les propriétaires de contenu, car ce sont les opérateurs de télévision payante qui disposent des données d'identification pour leurs clients, ainsi que des privilèges d'accès de leurs clients.
Au-delà des droits, il y a une foule de défis techniques et d’intégration connexes, notamment :
- Développement et adoption d’une stratégie multi-appareils complète
- Coordonner la myriade de relations entre les programmeurs et les fournisseurs de télévision payante
- Prévention des accès frauduleux ou des abus des conditions d’utilisation
- Offrir une expérience d’authentification cohérente et sans frustration aux utilisateurs sur plusieurs sites web et applications
- Maintien d’un temps rapide pour le marketing afin de suivre les offres d’affilié
- Gestion des coûts associés à plusieurs intégrations
Ces défis rendent les performances et la maintenance complexes et directes des intégrations entre les programmeurs et les systèmes d'authentification de plusieurs fournisseurs de télévision payante très gourmands en ressources, ce qui nécessite du temps et de la sophistication technique.
La solution ? Authentification Adobe® Pass.
Présentation de l’authentification Adobe Pass authentication-intro
Avec l’authentification Adobe Pass, les programmeurs et les fournisseurs de télévision payante n’ont besoin d’effectuer qu’une intégration simple, à l’aide des API d’authentification Adobe Pass, pour accéder à l’ensemble de l’écosystème, notamment :
-
Des programmeurs tels que Turner Broadcasting (Thirlsc, TNT, CNN), Fox Broadcast Networks et Hulu
-
Tous les principaux fournisseurs de télévision payante aux États-Unis, comprenant plus de 90 % de tous les ménages de télévision payante américains
En outre, l’authentification Adobe Pass fournit la structure qui rend l’authentification et l’autorisation des utilisateurs simples et sécurisées.
Figure 1 : Certains programmeurs et fournisseurs de télévision payante qui se connectent par le biais de l'authentification Adobe Pass…
Adobe Pass assure la médiation sécurisée des transactions de droits entre les programmeurs et les fournisseurs de télévision payante, ce qui facilite l’accès des téléspectateurs au contenu des abonnements. Ou, en d'autres termes…
L’authentification Adobe Pass permet aux clients appropriés d’accéder facilement et rapidement au contenu approprié.
Pour qui est l’authentification Adobe Pass ?
-
Programmeurs qui souhaitent s’intégrer facilement aux fournisseurs de télévision payante (également appelés "distributeurs de programmes vidéo multicanaux" ou "distributeurs de programmation vidéo multicanaux"), atteignant le public le plus large, pour des revenus optimaux. Grâce à l’authentification Adobe Pass, les programmeurs peuvent authentifier les visionneuses sur tous les principaux fournisseurs, indépendamment de la plateforme client.
-
Prestataires de télévision payante/distributeurs multicanaux de programmes audiovisuels qui recherchent une connectivité sans douleur avec plusieurs programmeurs et une plus grande satisfaction client en facilitant l’accès au contenu d’abonnement en ligne.
-
Clients payants qui veulent un accès facile au contenu auquel ils s'abonnent déjà, où qu'ils soient, sans frais supplémentaires. L’authentification unique permet une authentification sécurisée des visionneuses sur le web ou sur les applications mobiles, sans avoir à télécharger des clients ou à se connecter à plusieurs reprises, ainsi qu’une expérience utilisateur optimale.
Pour Programmeurs, l’authentification Adobe Pass fournit :
- Intégration aisée et connectivité instantanée avec les principaux fournisseurs de télévision payante, sans la douleur des intégrations multiples et directes
- Optimisation des recettes d’abonnement (licences) et publicitaires en prenant en charge le plus grand nombre d’audiences possible pour le contenu
- Authentification sécurisée, avec accès au contenu Premium accordé uniquement aux utilisateurs/appareils autorisés
- Une structure ouverte et flexible qui est à la fois indépendante du lecteur et de la plateforme DRM ; la lecture peut se produire sur un large éventail de plateformes, y compris iOS, Android, Windows 8, des consoles de jeux, des décodeurs, etc.
- Compatibilité avec toute technologie DRM, telle que Flash Access d’Adobe® ou Prêt pour la lecture®.
- Prise en charge de l’authentification et de l’autorisation de connexion unique (SSO), de sorte que les abonnés n’aient pas à se reconnecter après leur première authentification sur leur propre système.
Pour Prestataires de télévision payante/distributeurs multicanaux de programmes audiovisuels, l’authentification Adobe Pass fournit :
- Intégration simple avec les propriétaires de contenu, offrant une connectivité instantanée avec plusieurs programmeurs à l’aide d’une intégration unique
- Amélioration de l’engagement des clients grâce à une expérience conviviale et personnalisée lorsqu’ils visualisent le contenu sur plusieurs plateformes et appareils
- Authentification sécurisée qui garantit que seuls les utilisateurs/appareils autorisés se voient accorder l’accès à du contenu haut de gamme et (éventuellement) limite le nombre de périphériques et de flux simultanés pouvant se connecter par compte personnel.
Pour Clients payants, l’authentification Adobe Pass fournit :
- TV Partout !
Le reste de cet article présente une présentation technique de l’authentification Adobe Pass. Bien que la plupart des éléments suivants se concentrent sur l'intégration des programmeurs, il existe des informations générales et spécifiques qui s'appliquent également aux fournisseurs de télévision payante. Ce document met également en évidence la sécurité et l’intégrité du fonctionnement de l’authentification Adobe Pass en tant que solution pour TV partout. Pour plus d’informations au-delà de cet article, contactez votre représentant Adobe ou remplissez le formulaire de demande d’informations . here.
Blocs de construction architecturaux arch-building-blocks
Le tableau suivant présente les transactions centrales de droits liées à l’authentification et à l’autorisation. L’authentification est le processus de confirmation auprès d’un fournisseur de télévision payante qu’un utilisateur donné est un client connu. L’autorisation est le processus par lequel un fournisseur de télévision payante confirme qu’un utilisateur authentifié possède un abonnement valide à une ressource donnée.
L’authentification Adobe Pass se compose des composants de base suivants :
-
Composant client (l’un des éléments suivants) :
- Access Enabler - Bibliothèque spécifique à une plateforme ; fournit des API et des exemples de code simples d’utilisation pour implémenter les flux de droits
- L’API sans client - les services Web RESTful ; fournit des points de terminaison de flux de droits pour les plateformes sans fonctionnalités de rendu de page web (telles que les consoles de jeux, les décodeurs, etc.)
-
Serveurs principaux hébergés par Adobe
-
Vérification du jeton multimédia
-
Un support d’échange sécurisé et central (jetons)
À un niveau de base, l’authentification Adobe Pass se compose de trois composants (l’activateur d’accès, les serveurs principaux hébergés par l’Adobe et le vérificateur de jeton multimédia) et d’un élément central d’échange (jetons).
Composants client client-components
- Accéder à l’activateur
- API sans client
Accéder à l’activateur access-enabler
Sur les plateformes entièrement prises en charge (notamment le Web, iOS, Android, Windows 8), les programmeurs interagissent avec l’authentification Adobe Pass via le composant client Access Enabler. Ce composant facilite toutes les interactions d’authentification et d’autorisation avec le client. L’activation d’accès s’exécute localement sur leur système. Lorsqu’un utilisateur accède à un site ou à une application de programmation et demande du contenu, le composant Access Enabler hébergé/géré par l’Adobe est chargé en arrière-plan de manière silencieuse.
L’activation d’accès gère les processus de droits réels, tandis que le programmeur conserve la responsabilité de la page web ou de l’application de lecteur de niveau supérieur qui implémente l’interface utilisateur et interagit avec l’activation d’accès. Ces interactions s’effectuent par le biais d’un système asynchrone de fonctions et de rappels, défini par l’API Access Enabler.
Il s’agit des flux de droits de base, facilement implémentés à l’aide de l’API Access Enabler :
- Définition de l’identité du demandeur (programmeur)
- Vérification/obtention de l’authentification de l’utilisateur par rapport à un opérateur payant particulier (le "fournisseur d’identité")
- Vérification/obtention de l’autorisation utilisateur pour une ressource spécifique
- Déconnexion de l’utilisateur
Access Enabler fournit également les services suivants :
- Il valide les requêtes du programmeur, y compris l’état d’enregistrement de clients spécifiques, leurs domaines et leurs ressources/canaux.
- Il fournit les données qui créent la liste des opérateurs de télévision payante à partir desquels l'utilisateur sélectionne son fournisseur. Cette liste est également validée et définie en fonction du programmeur à partir duquel provient la requête.
- Il lance des workflows d'authentification et d'autorisation spécifiques aux opérateurs de télévision payante.
- Il met en cache les réponses d’autorisation réussies par ressource/canal de programmeur afin de minimiser le trafic de demandes inutile.
- Il peut être configuré pour des workflows prédéfinis spécifiques à chaque opérateur de télévision payante, tels qu’un enregistrement explicite de l’appareil.
En fonction de votre site web ou de votre application de lecteur, Access Enabler peut se présenter comme suit :
- Fichier SWF que l’exécution du Flash Player peut exécuter
- Un fichier JS exécuté directement par le navigateur
- Un gestionnaire d’accès natif pour les plateformes prises en charge (notamment iOS, Android et Windows 8)
API sans client clientless-api
L’approche d’API sans client concerne les "appareils intelligents" (consoles de jeux, décodeurs et téléviseurs intelligents) qui ne prennent pas en charge les navigateurs web (requis pour l’authentification avec les distributeurs multicanaux de programmes audiovisuels). Dans l’approche sans client, les applications d’appareils intelligents communiquent directement avec l’authentification Adobe Pass par le biais des API de services web RESTful pour tout, à l’exception de l’authentification, qui est effectuée sur un deuxième écran (navigateur) de l’application. En d’autres termes, la bibliothèque Access Enabler côté client n’est pas utilisée. Au lieu de cela, les développeurs d’applications de périphérique intelligent utilisent directement les API de services Web d’authentification Adobe Pass pour implémenter les flux de droits.
Serveurs principaux hébergés par Adobe adobe-backend-servers
Les serveurs principaux d’authentification Adobe Pass, hébergés par Adobe :
- Configurez les workflows d’authentification et d’autorisation avec les fournisseurs de télévision payante qui nécessitent une communication serveur à serveur entre l’authentification Adobe Pass et l’opérateur.
- Maintenez la configuration des sites et applications de programmation.
- Hébergez les fichiers de composant Access Enabler téléchargeables.
- Fournissez les points d’entrée de service Web RESTful pour l’intégration de l’API sans client.
- Générez (et dans certains cas, stockez) des jetons d’authentification et d’autorisation.
Jetons et outil de vérification de jeton multimédia tokens-media-token-verifier
La solution de droits d’authentification Adobe Pass se concentre sur la génération de données spécifiques obtenues à l’issue réussie des workflows d’authentification/d’autorisation. Ces données sont appelées jetons. Leur durée de vie est limitée et sont stockées en toute sécurité, soit dans des emplacements dépendant de la plateforme, sur le client, soit sur des serveurs Adobe dans le cas de la solution d’API sans client. Lors de l’expiration, les jetons doivent être réémis en réinitialisant les workflows d’authentification et/ou d’autorisation.
Il existe trois types de jetons que l’authentification Adobe Pass génère lors des workflows d’authentification/d’autorisation. Deux sont de "longue durée", ce qui assure la continuité de l’expérience de visionnage de l’utilisateur. Le troisième, c’est-à-dire un jeton de courte durée, fournit une assistance pour les bonnes pratiques du secteur en matière de lutte contre la fraude (où la fraude inclut des exploits tels que le détournement de flux, par exemple). Les valeurs de durée de vie ("TTL") sont définies sur la base d'accords entre les programmeurs et les fournisseurs de télévision payante, qui s'accordent sur une valeur qui convient le mieux à tous les intervenants.
Jeton d’authentification (de longue durée) long-lived-auth-token
L’authentification réussit une fois qu’un client utilise l’authentification Adobe Pass pour se connecter à son compte Pay TV. L’authentification Adobe Pass produit ensuite un jeton d’authentification de longue durée (AuthN) lié à l’appareil demandeur et (selon le fournisseur de télévision payante) un identifiant unique global ("GUID") qui identifie anonymement l’utilisateur.
- L’authentification Adobe Pass stocke le jeton AuthN en toute sécurité à un emplacement où il est disponible pour toutes les applications qui utilisent l’authentification Adobe Pass. Pour les intégrations Access Enabler, les jetons sont stockés en toute sécurité côté client. L’authentification Adobe Pass utilise le jeton AuthN pour effectuer des requêtes d’autorisation ultérieures au nom de l’utilisateur.
- A tout moment, un seul jeton AuthN est stocké. Chaque fois qu’un nouveau jeton AuthN est émis et qu’un ancien existe déjà, le nouveau jeton remplace la valeur stockée existante.
Jeton d’autorisation (de longue durée) long-lived-authriz-token
Une fois l’autorisation effectuée, l’authentification Adobe Pass crée un jeton d’autorisation de longue durée ("AuthZ"). Ce jeton n’est pas portable, car il est lié au périphérique de demande et à une ressource protégée spécifique (par exemple, un canal, une série ou un épisode).
- L’authentification Adobe Pass stocke le jeton AuthZ en toute sécurité, ainsi que d’autres jetons d’autorisation pour d’autres ressources. Encore une fois, comme pour les jetons AuthN, sur les plateformes utilisant l’activateur d’accès, le jeton est stocké localement sur le client ; sur les plateformes utilisant l’API sans client, les jetons sont stockés sur les serveurs d’authentification Adobe Pass.
- La durée de vie (TTL) du jeton AuthZ de longue durée est généralement définie entre plusieurs jours et semaines, selon l’accord spécifique entre le fournisseur de télévision payante et le programmeur.
- A tout moment, un seul jeton AuthZ par ressource est stocké. Il peut y avoir plusieurs jetons d’autorisation stockés, à condition qu’ils soient associés à différentes ressources. Chaque fois qu’un nouveau jeton d’autorisation est émis et qu’un ancien existe déjà pour la même ressource, le nouveau jeton remplace la valeur mise en cache existante.
- L’authentification Adobe Pass utilise le jeton AuthZ de longue durée pour créer les jetons multimédias de courte durée utilisés pour un accès réel à l’affichage.
Jeton de média de courte durée short-lived-media-token
Une fois que l’authentification Adobe Pass génère le jeton AuthZ, il l’utilise pour générer un jeton multimédia de courte durée à usage unique, signé par Adobe et chiffré afin d’éviter toute modification lors de l’échange :
- La durée de vie (TTL) du jeton de courte durée (valeur par défaut : 5 minutes) est définie pour permettre des problèmes de synchronisation de l’horloge entre le serveur générant le jeton et le serveur validant le jeton.
- Le jeton de courte durée est exposé au site d’intégration avant de permettre l’accès à la ressource protégée. Par conséquent, le programmeur doit valider le jeton à l’aide de l’outil de vérification de jeton multimédia pour les intégrations Access Enabler ou du service de vérification de jeton dans le cas d’intégrations API sans client.
Vérificateur de jeton multimédia media-token-verifier
Les programmeurs sont chargés d’intégrer la bibliothèque du vérificateur de jeton multimédia à leur serveur d’applications existant, de sorte que le vérificateur puisse effectuer les validations de l’utilisateur final avant qu’un flux vidéo ne soit réellement démarré. La bibliothèque du vérificateur de jeton multimédia définit :
- Une API de vérification de jeton qui récupère des informations du jeton, telles que s’il est valide, l’heure d’émission du jeton et d’autres données pertinentes.
- Clé publique Adobe utilisée pour vérifier que le jeton provient bien d’un Adobe
- Mise en oeuvre de référence montrant comment utiliser l’API de vérification et comment utiliser la clé publique d’Adobe contenue dans la bibliothèque pour vérifier son origine
Figure 2 : Architecture de haut niveau de l’écosystème d’authentification Adobe Pass dans une intégration d’Access Enabler
Intégration à l’authentification Adobe Pass integrate-auth
Que vous soyez fournisseur de télévision payante ou programmeur, le processus d’intégration à l’authentification Adobe Pass nécessite une partie de votre participation active. Chacun de ces processus est décrit ci-dessous.
Le processus des fournisseurs de télévision payante
La principale responsabilité du fournisseur de télévision payante avec l’authentification Adobe Pass est de vérifier qu’un utilisateur requérant est bien un abonné connu qui a le droit d’accéder au contenu du programmeur. À un niveau élevé, le processus d’authentification Adobe Pass pour l’intégration à un nouveau fournisseur de télévision payante nécessite les étapes suivantes :
- Le fournisseur signe l’accord de non-divulgation d’authentification Adobe Pass (NDA).
- Le fournisseur fournit à l’Adobe des spécifications pour son système d’authentification et d’autorisation. Pour une intégration plus simple, il est recommandé que les opérateurs de télévision payante disposent d'un fournisseur d'identité basé sur SAML (IdP) pour l'authentification et la possibilité de communiquer via le protocole d'accès SOAP pour l'autorisation.
- Le fournisseur établit la connectivité entre ses serveurs et les serveurs d’authentification Adobe Pass. Cela inclut la fourniture de points de terminaison et la mise en liste des adresses IP.
- Version préalable à la qualification et QE.
- Version de production et QE.
Bien que l’authentification Adobe Pass puisse remplacer les intégrations existantes pour les programmeurs, cela n’est généralement pas nécessaire pour les fournisseurs de télévision payante. Adobe travaille avec l’équipe technique du fournisseur pour configurer l’authentification Adobe Pass afin de répondre aux besoins de toutes les intégrations existantes. L’intégration est gratuite pour les fournisseurs de télévision payante, en supposant une intégration "standard" et des exigences de prise en charge minimales (documentation et support de base pour les emails). Si un fournisseur a besoin d’une assistance importante ou d’une chronologie réaffectée, des frais d’assistance peuvent être facturés ou le fournisseur peut vouloir travailler avec un tiers familiarisé avec notre solution telle que Synacor.
L’authentification Adobe Pass prend également en charge la gestion efficace de la logique commerciale des fournisseurs de télévision payante, comme suit :
- Pour la logique commerciale autonome et pouvant être appliquée par l’opérateur lors de la réception d’une demande d’autorisation, Adobe fournit les données nécessaires à l’application de la logique commerciale lorsque l’opérateur reçoit une demande d’autorisation. Ces données peuvent inclure, sans s’y limiter, l’identifiant unique de l’appareil pour l’utilisateur qui effectue la demande et l’adresse IP de l’appareil.
- Pour la logique commerciale qui nécessite une intervention de l’utilisateur et/ou une gestion spécifique par la solution d’Adobe, Adobe peut conserver certaines propriétés personnalisées pour chaque fournisseur de télévision payante. Ces configurations/stratégies spécifiques à l’opérateur incluent l’activation de workflows prédéfinis qui peuvent être démarrés à des points spécifiques du workflow de niveau supérieur. Pour plus d’informations sur la prise en charge des propriétés personnalisées, contactez votre représentant d’Adobe.
Adobe propose également des services de limitation de la fraude. Pour plus d’informations, contactez votre représentant d’Adobe.
Le processus de programmation programmer-process
Pour réussir l’intégration de l’authentification Adobe Pass, les programmeurs doivent configurer leur application de lecteur multimédia ou leur page web pour qu’elle fonctionne avec l’authentification Adobe Pass dans la gestion des processus de droits principaux : authentification, autorisation et déconnexion.
Avant de commencer une intégration avec l’authentification Adobe Pass, les programmeurs doivent disposer des éléments suivants :
- Plateforme vidéo en ligne existante, y compris un lecteur multimédia, faisant partie d’un site web ou d’une application autonome
- Un système de gestion de contenu
- Un mécanisme de diffusion, qui peut inclure ou non un réseau de diffusion de contenu tiers (CDN)
Les programmeurs doivent s’attendre à effectuer certaines tâches d’intégration dans le cadre de la fourniture de services TV Everywhere avec l’authentification Adobe Pass. Ces tâches incluent :
- Intégration de la bibliothèque Access Enabler de l’authentification Adobe Pass dans votre page web ou lecteur multimédia, ou implémentation de l’intégration à l’aide de l’approche sans client pour les "appareils intelligents" qui ne sont pas compatibles avec le web
- Travail côté serveur pour intégrer le composant Vérificateur de jeton d’authentification Adobe Pass à votre workflow de diffusion vidéo en continu
- Création d’une interface utilisateur pour le workflow d’accès dans votre site web ou application (certains éléments de ce processus, tels que le processus de connexion réel, sont fournis par l’opérateur de télévision payante et certains éléments sont éventuellement disponibles dans le cadre de l’authentification Adobe Pass)
Cet article présente un aperçu du processus de programmation et Adobe fournit des conseils supplémentaires sur le lancement officiel de l'intégration.
Configuration du demandeur (programmeur) requester-prog-setup
Enregistrement avec Adobe registering
Dans un premier temps, les programmeurs doivent s'inscrire auprès d'un Adobe ou d'un partenaire autorisé par l'Adobe et spécifier les domaines qu'ils souhaitent utiliser avec l'authentification Adobe Pass. Les programmeurs reçoivent alors un identifiant de demandeur unique, qui est fourni à l’authentification Adobe Pass pour chaque session au cours de laquelle le programmeur interagit avec l’activateur d’accès.
Configuration De L’Intégration De L’Activateur D’Accès Initial access-enabler-int-setup
Avant tout client demandant l’accès au contenu, les programmeurs doivent intégrer le composant client d’authentification Adobe Pass - l’ Activateur d’accès - à leur application de lecteur multimédia ou à leur page web existante. Il existe différentes options pour ce faire :
-
Vous pouvez incorporer la version par Flash, AccessEnabler.swf, dans un lecteur vidéo basé sur les Flashs sur une page web ou directement dans HTML. Vous pouvez communiquer avec le SWF dans ActionScript ou JavaScript. L’API de base est ActionScript, mais une bibliothèque wrapper JavaScript complète est disponible.
-
Pour les appareils non Flashs, vous pouvez :
- Utilisez la version HTML5/JavaScript, AccessEnabler.js, et communiquez avec elle via l’API JavaScript ; ou
- Utilisation d’une bibliothèque Access Enabler native, comme pour iOS, Android ou Windows 8
Configuration de l’intégration initiale de l’API sans client clientless-api-int-setup
Avant tout client demandant l’accès au contenu, les programmeurs doivent mettre en oeuvre les appels de services Web RESTful à l’aide de l’API sans client dans l’application de leur lecteur multimédia, ainsi qu’une application de "second écran" pour gérer la connexion de l’utilisateur à leur fournisseur de télévision payante sur le Web.
Gestion de l’authentification et de l’autorisation auth-authr-handling
Lorsqu’un client demande une ressource protégée à un programmeur pour la première fois, le programmeur lui présente une liste de fournisseurs de télévision payante à partir desquels choisir. Lorsque le fournisseur est sélectionné, l'utilisateur est redirigé vers cet opérateur pour l'authentification initiale de l'utilisateur. Une fois l’authentification réussie, Adobe Pass Authentication communique avec le fournisseur de télévision payante sélectionné pour autoriser l’accès à la ressource spécifiée. Vous trouverez ci-dessous des informations détaillées sur ces processus.
Figure 3 : Exemple d’interface utilisateur de sélection de fournisseur
- L’authentification se produit en tant qu’échange SAML entre l’authentification Adobe Pass en tant que fournisseur de services (ou "SP") et un fournisseur de télévision payante en tant que fournisseur d’identité (ou "IdP").
- L’autorisation utilise un échange de services Web back-channel (serveur à serveur) entre Adobe Pass Authentication (le SP) et un fournisseur de télévision payante (le IdP).
Communication avec le programmeur à l’aide de Access Enabler
Le canal de communication bidirectionnel entre Access Enabler et la page web ou l’application de lecteur du programmeur suit un modèle entièrement asynchrone. Le programmeur envoie des messages à Access Enabler via les méthodes exposées par l’API Access Enabler. Access Enabler répond par des rappels enregistrés dans la bibliothèque Access Enabler.
- Toute demande d’autorisation demande automatiquement l’authentification en premier, si un jeton d’authentification est introuvable sur le système local. Lorsque l’authentification réussit, le jeton du client est stocké localement, de sorte qu’il n’est pas nécessaire de se reconnecter pendant une période donnée. S’ils ont réussi à s’authentifier via la solution de droit d’authentification Adobe Pass dans un autre contexte (par exemple, par le biais du site web du fournisseur de télévision payante ou d’un autre programmeur), l’activateur d’accès a accès au jeton local et ne nécessite pas d’authentification supplémentaire.
- Lorsqu'un client demande une ressource spécifique, le programmeur demande l'autorisation au fournisseur de télévision payante via le gestionnaire d'accès. Après avoir vérifié (ou initié) l’authentification, l’Access Enabler contacte le fournisseur de télévision payante (par l’intermédiaire de l’authentification Adobe Pass) pour déterminer si le client est autorisé à afficher la ressource. L’authentification Adobe Pass gère la communication avec le fournisseur de télévision payante pour obtenir une autorisation. Le programmeur doit uniquement envoyer la demande à l’activateur d’accès et gérer la réponse (succès ou échec de l’autorisation). Si l’autorisation réussit, un jeton d’autorisation est stocké sur le système client et le rappel reçoit un jeton multimédia de courte durée.
Communication avec le programmeur à l’aide de l’API sans client progr-comm-clientless-api
La communication entre l’application du programmeur et l’authentification Adobe Pass se fait via les services web RESTful. Des protocoles de sécurité sont en place pour tous les appels API aux points de terminaison d’authentification Adobe Pass. Les exigences en matière de sécurité sont décrites dans la documentation de l’API sans client.
Exemple de workflow avec authentification SSO du navigateur web SAML sample-wf
- Visionneuse Accède à un site (dummy1.com) et tente d’accéder au contenu autorisé.
- La page/le lecteur vidéo charge l’activateur d’accès à partir de adobe.com et, lorsqu’il est invité par l’action de l’utilisateur, demande l’autorisation du contenu demandé.
- Access Enabler exécute et valide le demandeur et la requête.
- Access Enabler recherche un jeton d’autorisation valide dans le magasin local. Si une autorisation valide est trouvée, Access Enabler produit un jeton multimédia de courte durée (voir l’étape 14).
- Si aucune autorisation valide pour la ressource demandée n’est trouvée, mais qu’il existe un jeton d’authentification valide, Access Enabler lance une demande d’autorisation auprès du fournisseur de télévision payante auprès duquel l’utilisateur est authentifié. Le serveur d’Adobe fournit l’échange de demande/réponse d’autorisation avec le fournisseur de télévision payante.
- Si aucun jeton d’authentification valide n’est trouvé, l’Access Enabler invite l’utilisateur à contacter son fournisseur de télévision payante. (La sélection d’un fournisseur qui prend en charge l’authentification SSO du navigateur web SAML déclenche un processus d’authentification SAML. Pour les fournisseurs non SAML, Adobe gère un workflow personnalisé similaire.)
- Access Enabler navigue dans le navigateur pour accéder au service SAML SP (Service Provider) de l’Adobe, en lui transmettant tous les paramètres appropriés.
- Le fournisseur SAML appelle le fournisseur d’identité SAML approprié auprès du fournisseur de télévision payante de l’utilisateur, à l’aide du profil de navigateur Web SAML, comme indiqué dans les métadonnées IdP. L’utilisateur accède ainsi efficacement au site IdP (du fournisseur de télévision payante), où il s’authentifie.
- Après une authentification réussie, l’utilisateur est redirigé vers le SP SAML d’Adobe, en lui transmettant un GUID d’authentification dans la réponse SAML.
- Le SP SAML d’Adobe crée une session côté serveur où le GUID d’authentification est stocké et redirige l’utilisateur vers la page du programmeur d’origine. (La session du serveur est supprimée lors de la récupération d’Access Enabler du jeton authN.)
- Access Enabler récupère le GUID d’authentification du serveur d’Adobe à inclure dans le jeton avec un ID d’appareil conservé par l’authentification Adobe Pass. Lorsque Flash DRM se trouve sur l’appareil, cela est effectué par le biais des API de Flash Access (composant DRM du Flash Player) qui permettent de lier le GUID à l’ID de l’appareil et de renvoyer un jeton d’authentification. Dans le cas contraire, cette opération est effectuée via les API JS via HTTPS à l’aide du stockage basé sur HTML5 ou via des composants natifs spécifiques.
- Le jeton d’authentification est utilisé par Access Enabler pour adresser des demandes d’autorisation au fournisseur de télévision payante. Sur les appareils compatibles avec les Flashs Access, les demandes sont toujours effectuées par le biais des API de Flash Access, de sorte que le jeton d’autorisation qui en résulte soit lié à l’appareil. Sur les appareils non Flashs Access, HTTPS est utilisé pour la communication sécurisée du client au serveur.
- Une fois l’autorisation effectuée, l’authentification Adobe Pass crée un jeton d’autorisation de longue durée ("authZ") et le transmet à l’Activateur d’accès, qui le stocke dans le système local.
- L’activateur d’accès utilise le jeton authZ pour créer des jetons multimédias de courte durée qui sont utilisés pour un accès réel à l’affichage. Pour des raisons de sécurité, ces jetons de courte durée doivent être validés par un autre composant d’authentification Adobe Pass, le vérificateur de jeton multimédia.
Figure 4 : Workflow d’activation d’accès d’authentification et d’autorisation
Fourniture d’une interface utilisateur de droit entitlement-ui
Les programmeurs doivent créer leur propre interface utilisateur pour le workflow d’accès dans leur site web ou application. Certains éléments, tels que le processus de connexion réel, sont fournis par le fournisseur de télévision payante et certains éléments sont éventuellement disponibles dans le cadre de l’authentification Adobe Pass. Au minimum, le programmeur effectue les opérations suivantes :
- Mise en oeuvre d’une interface de sélection de fournisseur qui permet à un nouvel utilisateur d’identifier son fournisseur de télévision payante et de se connecter pour la première fois. Pour le développement, Access Enabler fournit une interface utilisateur de base qui donne au client le choix des fournisseurs de télévision payante et lance le processus de connexion. Pour un environnement de production, les programmeurs doivent mettre en oeuvre leur propre boîte de dialogue de sélecteur de fournisseur. Certains fournisseurs de services de télévision payante redirigent vers leur propre site pour la connexion, et certains exigent que leurs pages de connexion s’affichent dans un iFrame. Les programmeurs doivent mettre en oeuvre le rappel qui crée cet iframe, au cas où le client choisirait l’un de ces fournisseurs.
- Identifie les ressources protégées. Les ressources protégées sont celles qui nécessitent une autorisation d’accès. En proposant ces ressources, l’interface du programmeur doit indiquer la nécessité d’une autorisation avant l’affichage. Une fois l’autorisation terminée, l’interface doit indiquer que la ressource est désormais autorisée.
- Crée et maintient une liste des fournisseurs de télévision payante pour contrôler l’accès des utilisateurs uniquement aux fournisseurs que vous spécifiez.
- Indique qu’un utilisateur est authentifié. Le programmeur doit indiquer le statut d’authentification du client dans le cadre de tout moyen utilisé pour identifier les ressources protégées. Les programmeurs peuvent interroger Access Enabler pour déterminer si un client a déjà été authentifié.
Prise en charge de la connexion unique single-logout-support
Dans la plupart des cas, le programmeur est chargé de gérer les connexions des utilisateurs par le biais d’un simple appel API. L’appel logout() demande à l’authentification Adobe Pass de se déconnecter de l’utilisateur actuel en :
- Suppression de tous les jetons AuthN et AuthZ
- Effacement de toutes les informations d’authentification et d’autorisation pour cet utilisateur
- Lancement d’un workflow spécifique au fournisseur de télévision payante pour effacer la session d’authentification de l’utilisateur avec le fournisseur (par exemple, si l’authentification a été effectuée à l’aide du protocole de demande d’authentification SAML, la déconnexion peut être effectuée à l’aide du protocole de déconnexion unique SAML.)
Si l’utilisateur laisse son ordinateur inactif pendant suffisamment de temps pour que ses jetons expirent, il peut tout de même revenir à sa session et lancer la déconnexion. L’authentification Adobe Pass garantit que tous les jetons sont supprimés et avertit le fournisseur de télévision payante de supprimer leur session.
Lorsque la déconnexion est lancée à partir d’un site qui n’est pas intégré à l’authentification Adobe Pass, le fournisseur de télévision payante peut appeler le service de connexion unique d’authentification Adobe Pass par le biais d’une redirection du navigateur.
Au-delà des flux de droits de base - Fonctionnalités supplémentaires beyond-basics
Les flux de droits de base sont Start-up, Authentication, Authorization et Logout. À mesure que l’authentification Adobe Pass se développe et se développe, un certain nombre de fonctionnalités supplémentaires ont été ajoutées et sont en cours d’ajout aux flux de base. Il s’agit notamment :
- Métadonnées utilisateur - Selon les accords entre les distributeurs multicanaux et les programmeurs, les distributeurs multicanaux de programmes audiovisuels peuvent échanger en toute sécurité des métadonnées telles que le code postal, la notation maximale, l’ID de canal, etc. Les métadonnées permettent différents cas d’utilisation, notamment les contrôles parentaux, les périodes de gel régionales pour les événements sportifs, etc.
- Accès libre temporaire - Permet aux programmeurs d'offrir un accès gratuit temporaire à leur contenu protégé (par exemple, de courts échantillons de programmation quotidienne, ou la présentation gratuite d'un grand événement).
- Proxy MVPD - Un MVPD peut gérer sa propre intégration avec l’authentification Adobe Pass, ainsi que gérer le processus de droits pour le compte d’un groupe de "ProxiedMVPDs" associés.
Sécurité security
Cette section met en évidence la sécurité et l’intégrité de l’infrastructure d’authentification Adobe Pass.
Sécurité des jetons token-security
L’un des principaux objectifs de l’authentification Adobe Pass est de s’assurer que le système peut résister aux attaques sur les données de droits du contenu par un utilisateur non autorisé ou un agrégateur de contenu. Par conséquent, l’accès aux données est sécurisé à différents niveaux du workflow, en protégeant la génération et l’utilisation des données du jeton d’autorisation avec la plus grande importance. L’architecture d’authentification Adobe Pass est conçue pour garantir la maintenance sécurisée du contenu des jetons et pour s’assurer que le jeton reste sur le périphérique sur lequel il a été émis.
- Sécurité des jetons AuthN et AuthZ de longue durée - Tous les jetons de longue durée sont signés numériquement par le serveur d’authentification Adobe Pass. La signature numérique, en revanche, diffère d’une plateforme à l’autre, dans la mesure où elle utilise un identifiant d’appareil qui diffère de la manière dont il est généré, protégé et validé. Dans tous les cas, une validation côté client garantit que la signature numérique est intacte et que l’intégrité du jeton est préservée. L’Activateur d’accès stocke en toute sécurité les jetons validés dans des emplacements spécifiques à l’environnement dans lequel il est en cours d’exécution. Si la validation de l’identifiant d’appareil échoue, la session d’authentification est invalidée, les jetons sont réinitialisés et l’utilisateur est invité à se reconnecter.
- Sécurité des jetons multimédias de courte durée - Les jetons multimédias de courte durée, qui sont produits à l’étape finale avant l’accès au contenu, sont signés par Adobe et chiffrés afin d’éviter toute manipulation pendant l’échange. Les jetons multimédias de courte durée nécessitent également une étape de validation supplémentaire par un composant d’authentification Adobe Pass supplémentaire, le vérificateur de jeton multimédia. La durée de vie par défaut du jeton de courte durée est de 5 minutes et peut être raccourcie, si vous le souhaitez. Le jeton multimédia de courte durée n’est jamais mis en cache ; un nouveau jeton est récupéré à partir du serveur chaque fois qu’une API d’autorisation est appelée.
Sécurité des appareils spécifique à la plateforme platform-sp-security
Les mesures de sécurité utilisées par l’authentification Adobe Pass varient selon la plateforme, mais toutes sont robustes et dernier cri.
- Périphériques compatibles avec les Flashs - Lorsque Flash Player 10.1+ ou AIR 2.5+ se trouve sur l’appareil, l’authentification Adobe Pass utilise la fonctionnalité Flash Player DRM pour la protection, également appelée Flash Access. Flash offre un niveau de protection supplémentaire ; l’assurance forte d’une liaison d’appareil pour les jetons basés sur le Flash signifie que dans la plupart des cas, la durée de vie peut être plus longue, l’utilisateur n’a pas à se connecter aussi souvent et l’expérience de l’utilisateur est généralement plus fluide.
- Expériences dans le navigateur sur des appareils compatibles avec HTML5- Sur les appareils non Flashs qui incluent la fonctionnalité de navigateur HTML5, l’authentification Adobe Pass dispose d’un autre moyen de protection limitée pour les intégrations basées sur un navigateur. Cependant, comme la liaison de l’appareil pour HTML5 n’est pas aussi forte, la durée de vie (TTL) des jetons sur les plateformes HTML5 est généralement plus courte.
- Prise en charge d’applications natives pour les appareils intégrés et sortants - Adobe propose des SDK natifs par système d’exploitation (iOS, Android, Windows 8, etc.) qui offrent une sécurité renforcée par rapport à la solution HTML5. Ces SDK utilisent des API natives pour récupérer un ID d’appareil et le transmettre en toute sécurité au serveur d’authentification Adobe Pass.
- Sans client - L’authentification Adobe Pass utilise le protocole HTTPS pour la communication sécurisée. En outre, tous les appels d’un appareil dynamique doivent être signés numériquement.
FAQ faqs
Qu'est-ce que la télé partout ?
Le mouvement industriel TV Everywhere permet aux clients de la télévision payante d'accéder au contenu haut de gamme auquel ils s'abonnent déjà sur divers appareils connectés à Internet, y compris les ordinateurs personnels, tablettes, smartphones, consoles de jeux, décodeurs et téléviseurs "intelligents". Le défi de cette initiative est de rendre le processus d’authentification aussi simple et sans douleur que possible, ce qui permet aux clients d’accéder facilement au contenu de leur abonnement sans obstacles prohibitifs ni connexions multiples.
Qu’est-ce que l’authentification Adobe Pass et comment est-elle liée à TV Everywhere ?
L’authentification Adobe Pass permet de faire passer TV Everywhere du concept à la réalité en vérifiant de manière fluide le droit d’un utilisateur au contenu d’une manière à la fois simple et sécurisée. Adobe Pass Authentication est un service hébergé qui permet une intégration back-end rapide basée sur les règles métier requises à la fois par les programmeurs et les fournisseurs de télévision payante. Cela signifie un temps de mise sur le marché rapide pour toutes les parties, un environnement plus sécurisé pour prévenir la fraude et une expérience client supérieure, avec plus de contenu TV disponible pour plus de personnes sur plus de plateformes.
Comment l’authentification Adobe Pass est-elle proposée/fournie ?
L’authentification Adobe Pass est proposée via le modèle Software as a Service (SaaS) . Cela permet une communication plus sécurisée entre les utilisateurs finaux, les programmeurs et les fournisseurs de télévision payante afin de valider le droit au contenu. Les composants principaux du service incluent le service Access Enabler côté client (ou l’API sans client pour certains appareils) et le serveur d’authentification Adobe Pass hébergé. Access Enabler est un petit fichier chargé dans une page web ou une application de lecteur du programmeur. Il communique avec les serveurs d’authentification Adobe Pass, qui disposent à leur tour de connexions intégrées aux systèmes d’authentification de différents fournisseurs de télévision payante. L’authentification Adobe Pass offre également une approche d’intégration sans client pour certains "appareils intelligents" qui ne sont pas compatibles avec le web (téléviseurs intelligents, décodeurs, consoles de jeu, etc.). L’approche sans client fournit des services web RESTful avec lesquels les développeurs peuvent implémenter les flux de droits d’authentification Adobe Pass sur ces périphériques.
En quoi l’authentification Adobe Pass est-elle différente des autres solutions TV Everywhere ?
L’authentification Adobe Pass présente des avantages distincts par rapport aux solutions alternatives de TV partout. Les intégrations directes avec des fournisseurs individuels ne offrent pas la flexibilité d’une connexion unique et permanente (SSO) lorsque les utilisateurs se déplacent d’un site à l’autre sur Internet. L'authentification Adobe Pass a également une remarquable pénétration du marché ; une fois qu'un programmeur s'intègre à l'authentification Adobe Pass, il est immédiatement connecté avec des opérateurs de télévision payante qui desservent plus de 90 % des ménages aux États-Unis. En outre, l’authentification Adobe Pass tire parti des fonctionnalités de sécurité uniques intégrées au runtime Flash (le cas échéant) pour atténuer la fraude, tout en fournissant des SDK afin que les programmeurs puissent avoir la même fonctionnalité TV partout intégrée dans les applications natives pour les appareils mobiles ou domestiques où le Flash n’est pas disponible. Enfin, bien que l’authentification Adobe Pass soit disponible en tant que service autonome, nous offrons également la possibilité d’une intégration étroite avec d’autres produits et services d’Adobe (y compris Adobe Pass et Adobe Analytics) liés à la diffusion, la protection et la monétisation du contenu TV partout.
Quelle est la sécurité de l’authentification Adobe Pass ?
La priorité numéro un de l’architecture d’authentification Adobe Pass est de s’assurer que seules les visionneuses autorisées sont authentifiées et qu’elles ont accès au contenu Premium. L’authentification Adobe Pass lie étroitement l’accès à l’appareil d’affichage et peut aider à limiter les diffusions, les sessions et/ou les appareils pour un foyer donné.
Le Flash Player est-il requis ?
Adobe Flash Player 11.x ou version ultérieure est requis pour la sécurité de liaison de l’appareil la plus stricte. Cependant, Adobe Pass Authentication for TV Everywhere est indépendant du lecteur et de la plateforme, en s’intégrant à toute application de lecture, y compris Silverlight et HTML5. En outre, l’authentification Adobe Pass fournit une prise en charge native pour les appareils tels qu’iOS, Android et Xbox où le Flash Player n’est pas disponible. Enfin, l’authentification Adobe Pass fournit une approche sans client pour les appareils qui ne sont pas capables de générer des pages web (consoles de jeux, télévisions dynamiques, décodeurs).
Quels appareils Adobe Pass Authentication prend-il en charge ?
L’authentification Adobe Pass est prise en charge par pratiquement tous les appareils dotés du kit web HTML5 pour l’affichage dans le navigateur. En outre, l’authentification Adobe Pass continue à déployer des kits de développement logiciel (SDK) natifs pour diverses plateformes spécifiques aux appareils, notamment iOS, Android™ et Windows 8. L’authentification Adobe Pass prend partiellement en charge certains appareils non compatibles avec le web (téléviseurs intelligents, décodeurs, consoles de jeux, etc.) via ses API de services Web RESTful.
L’authentification Adobe Pass prend-elle en charge les nouvelles normes pour TV partout ?
L’authentification Adobe Pass est conforme au CableLabs OLCA (Online Content Access) spécification, qui fournit des exigences techniques et une architecture pour la diffusion de vidéos à un client de la télévision payante à partir de sources en ligne. Adobe a participé au projet conjoint de test d'interaction de CableLabs en juin 2011 et a passé le processus de test pour une mise en oeuvre par un fournisseur de services. L’authentification Adobe Pass est vérifiée (complète et testée) par rapport aux spécifications OLCA pour l’authentification. Le composant d’autorisation est terminé, mais la vérification des tests attend la sortie de l’environnement de test de CableLabs (ETA Nov 2011).
Adobe est également un membre actif de la fonction OATC (Open Authentication Technical Consortium) et participe à plusieurs projets de rédaction de spécifications des sous-comités au sein de cet organe.
Comment l’authentification Adobe Pass gère-t-elle la gestion des identités fédérées/l’authentification unique (SSO) ?
L’authentification Adobe Pass vous permet de fournir aux clients une authentification et une autorisation de connexion unique (SSO), à l’aide de la communication back-channel (serveur à serveur) entre l’authentification Adobe Pass et les opérateurs payants participants. Ainsi, avec l’authentification Adobe Pass, les abonnés n’ont pas besoin de se reconnecter après leur première authentification, tant que cette authentification est permise par l’opérateur de télévision payante. En règle générale, cette limite est définie sur 30 jours. Pour ce faire, l’authentification Adobe Pass fournit un domaine commun pour les jetons d’authentification pour nos clients. Ces informations d’état d’authentification sont disponibles pour tous les sites participants qui sont intégrés à un opérateur de télévision payante donné.
Actuellement, la plupart des intégrations d’authentification Adobe Pass avec les opérateurs de télévision payante utilisent le protocole SAML, l’une des principales normes d’authentification. L’authentification Adobe Pass agit comme un fournisseur de service proxy dans l’architecture SAML et conserve la réponse de l’authentification SAML comme un jeton sécurisé dans le domaine commun de l’Adobe. L’authentification Adobe Pass est compatible avec SAML 2.0.
Bien que l’authentification Adobe Pass soit généralement utilisée avec les solutions SAML SSO à ce stade, l’architecture de l’authentification Adobe Pass extrait toutes les caractéristiques de protocole de l’intégration du programmeur. Par conséquent, la prise en charge de nouveaux protocoles, tels que ceux basés sur OAuth 2.0 ou des protocoles personnalisés, peut être ajoutée au fil du temps.
Combien coûte l’authentification Adobe Pass pour TV partout pour les utilisateurs finaux ?
L’utilisation de l’authentification Adobe Pass n’entraîne aucun coût supplémentaire pour les utilisateurs finaux.