Single sign-on con flussi di token di servizio single-sign-on-service-token-full-flows
Il metodo Service Token consente a più applicazioni di utilizzare un identificatore utente univoco per ottenere un Single Sign-On (SSO) su più dispositivi e piattaforme quando si utilizzano i servizi Adobe Pass.
Le applicazioni sono responsabili del recupero del payload dell’identificatore utente univoco utilizzando servizi di identità esterni, al di fuori dei sistemi Adobe Pass, ad esempio:
- Un servizio DTC (Direct-to-Consumer), in cui gli utenti accedono a ogni dispositivo utilizzando le stesse credenziali e sono associati allo stesso ID utente o nome account utente.
- Servizio di autenticazione di terze parti, ad esempio Google o Facebook, in cui gli utenti accedono a ciascun dispositivo utilizzando le stesse credenziali e sono associati allo stesso indirizzo e-mail.
Le applicazioni sono responsabili dell'inclusione di questo payload di identificatore utente univoco nell'intestazione AD-Service-Token
per tutte le richieste che lo specificano.
Per ulteriori dettagli sull'intestazione AD-Service-Token
, consulta la documentazione AD-Service-Token.
Eseguire l'autenticazione tramite Single Sign-On utilizzando il token di servizio performing-authentication-flow-using-service-token-single-sign-on-method
Prerequisiti prerequisites-scenario-performing-authentication-flow-using-service-token-single-sign-on-method
Prima di eseguire il flusso di autenticazione tramite Single Sign-On utilizzando un token di servizio, verificare che siano soddisfatti i seguenti prerequisiti:
- Il servizio Identity esterno deve restituire informazioni coerenti come payload
JWS
in tutte le applicazioni su più dispositivi e piattaforme. - La prima applicazione di streaming deve recuperare l'identificatore utente univoco e includere il payload
JWS
come parte dell'intestazione AD-Service-Token per tutte le richieste che lo specificano. - La prima applicazione di streaming deve selezionare un MVPD.
- La prima applicazione di streaming deve avviare una sessione di autenticazione per accedere con l'MVPD selezionato.
- La prima applicazione di streaming deve effettuare l’autenticazione con l’MVPD selezionato in un agente utente.
- La seconda applicazione di streaming deve recuperare l'identificatore utente univoco e includere il payload
JWS
come parte dell'intestazione AD-Service-Token per tutte le richieste che lo specificano.
- La prima applicazione di streaming supporta l’interazione dell’utente per selezionare un MVPD.
- La prima applicazione di streaming supporta l’interazione dell’utente per l’autenticazione con l’MVPD selezionato in un agente utente.
Flusso di lavoro workflow-steps-scenario-performing-authentication-flow-using-service-token-single-sign-on-method
Per implementare il flusso di autenticazione tramite single sign-on, esegui i passaggi indicati utilizzando un token di servizio, come illustrato nel diagramma seguente.
Eseguire l'autenticazione tramite Single Sign-On utilizzando il token di servizio
-
Autentica con il servizio Identity: La prima applicazione di streaming chiama il servizio Identity, al di fuori dei sistemi Adobe Pass, per ottenere il payload
JWS
associato all'identificatore utente univoco. -
Restituire un identificatore utente univoco come JWS: La prima applicazione di streaming convalida i dati di risposta per garantire il rispetto delle condizioni di sicurezza di base:
- Payload non scaduto.
- Il payload è firmato.
-
Crea sessione di autenticazione: La prima applicazione di streaming raccoglie tutti i dati necessari per avviare una sessione di autenticazione chiamando l'endpoint Sessions.
note important IMPORTANT Per informazioni dettagliate su Crea sessione di autenticazione, consulta la documentazione API di: - Tutti i parametri required, come
serviceProvider
,mvpd
,domainName
eredirectUrl
- Tutte le intestazioni required, come
Authorization
,AP-Device-Identifier
- Tutti i parametri e le intestazioni optional
Prima di effettuare una richiesta, l’applicazione di streaming deve verificare di includere un valore valido per l’identificatore utente univoco. Per ulteriori dettagli sull'intestazione AD-Service-Token
, consulta la documentazione AD-Service-Token. - Tutti i parametri required, come
-
Indicare l'azione successiva: La risposta dell'endpoint Sessions contiene i dati necessari per guidare la prima applicazione di streaming per quanto riguarda l'azione successiva.
note important IMPORTANT Per informazioni dettagliate sulle informazioni fornite in una risposta di sessione, consulta la documentazione API Crea sessione di autenticazione. L’endpoint Sessions convalida i dati della richiesta per garantire che siano soddisfatte le condizioni di base: - I parametri e le intestazioni required devono essere validi.
- L'integrazione tra
serviceProvider
emvpd
specificati deve essere attiva.
Se la convalida non riesce, verrà generata una risposta di errore che fornirà informazioni aggiuntive conformi alla documentazione di Codici di errore avanzati. -
Apri URL nell'agente utente: La risposta dell'endpoint Sessions contiene i dati seguenti:
url
che può essere utilizzato per avviare l'autenticazione interattiva nella pagina di accesso di MVPD.- L'attributo
actionName
è impostato per l'autenticazione. - L'attributo
actionType
è impostato su "interactive".
Se il backend di Adobe Pass non identifica un profilo valido, la prima applicazione di streaming apre un agente utente per caricare l'elemento
url
fornito, effettuando una richiesta all'endpoint Authenticate. Questo flusso può includere diversi reindirizzamenti, che portano l’utente alla pagina di accesso MVPD e forniscono credenziali valide. -
Autenticazione MVPD completa: Se il flusso di autenticazione ha esito positivo, l'interazione dell'agente utente salva un profilo regolare nel backend di Adobe Pass e raggiunge il
redirectUrl
fornito. -
Recupera profilo per codice specifico: La prima applicazione di streaming raccoglie tutti i dati necessari per recuperare le informazioni sul profilo inviando una richiesta all'endpoint Profili.
note important IMPORTANT Per informazioni dettagliate su Recupera profilo per codice specifico, consulta la documentazione API per: - Tutti i parametri required, come
serviceProvider
,code
- Tutte le intestazioni required, come
Authorization
,AP-Device-Identifier
- Tutti i parametri e le intestazioni optional
note note NOTE Suggerimento: l'applicazione di streaming può attendere che l'agente utente raggiunga il redirectUrl
fornito per verificare se il profilo regolare è stato generato e salvato correttamente. - Tutti i parametri required, come
-
Trova profilo regolare: Il server Adobe Pass identifica un profilo valido in base ai parametri e alle intestazioni ricevuti.
-
Restituisci informazioni sul profilo regolare: La risposta dell'endpoint Profiles contiene informazioni sul profilo trovato associato ai parametri e alle intestazioni ricevuti.
note important IMPORTANT Per informazioni dettagliate sulle informazioni fornite in una risposta al profilo, consulta la documentazione API Recupera profilo per codice specifico. L’endpoint Profili convalida i dati della richiesta per garantire che siano soddisfatte le condizioni di base: - I parametri e le intestazioni required devono essere validi.
Se la convalida non riesce, verrà generata una risposta di errore che fornirà informazioni aggiuntive conformi alla documentazione di Codici di errore avanzati. -
Procedi con i flussi di decisioni: La prima applicazione di streaming può continuare con i flussi di decisioni successivi.
note important IMPORTANT Prima di effettuare una richiesta, l’applicazione di streaming deve verificare di includere un valore valido per l’identificatore utente univoco. Per ulteriori dettagli sull'intestazione AD-Service-Token
, consulta la documentazione AD-Service-Token. -
Autentica con il servizio Identity: La seconda applicazione di streaming chiama il servizio Identity, al di fuori dei sistemi Adobe Pass, per ottenere il payload
JWS
associato all'identificatore utente univoco. -
Restituire un identificatore utente univoco come JWS: La seconda applicazione di streaming convalida i dati di risposta per garantire il rispetto delle condizioni di sicurezza di base:
- Payload non scaduto.
- Il payload è firmato.
-
Recupera profili: La seconda applicazione di streaming raccoglie tutti i dati necessari per recuperare tutte le informazioni sui profili inviando una richiesta all'endpoint Profili.
note important IMPORTANT Per informazioni dettagliate su Recuperare i profili, consulta la documentazione API di: - Tutti i parametri required, come
serviceProvider
- Tutte le intestazioni required, come
Authorization
,AP-Device-Identifier
- Tutti i parametri e le intestazioni optional
Prima di effettuare una richiesta, l’applicazione di streaming deve verificare di includere un valore valido per l’identificatore utente univoco. Per ulteriori dettagli sull'intestazione AD-Service-Token
, consulta la documentazione AD-Service-Token. - Tutti i parametri required, come
-
Trova profilo Single Sign-On: Il server Adobe Pass identifica un profilo Single Sign-On valido in base ai parametri e alle intestazioni ricevuti.
-
Restituire informazioni sul profilo Single Sign-On: La risposta dell'endpoint Profiles contiene informazioni sul profilo trovato associato ai parametri e alle intestazioni ricevuti.
note important IMPORTANT Per informazioni dettagliate sulle informazioni fornite in una risposta al profilo, consulta la documentazione dell'API Recupera profili. L’endpoint Profili convalida i dati della richiesta per garantire che siano soddisfatte le condizioni di base: - I parametri e le intestazioni required devono essere validi.
Se la convalida non riesce, verrà generata una risposta di errore che fornirà informazioni aggiuntive conformi alla documentazione di Codici di errore avanzati. -
Procedi con i flussi di decisioni: La seconda applicazione di streaming può continuare con i flussi di decisioni successivi.
note important IMPORTANT Prima di effettuare una richiesta, l’applicazione di streaming deve verificare di includere un valore valido per l’identificatore utente univoco. Per ulteriori dettagli sull'intestazione AD-Service-Token
, consulta la documentazione AD-Service-Token.
Recuperare le decisioni di autorizzazione tramite Single Sign-On utilizzando il token di servizio performing-authorization-flow-using-service-token-single-sign-on-method
Prerequisiti prerequisites-scenario-performing-authorization-flow-using-service-token-single-sign-on-method
Prima di eseguire il flusso di autorizzazione tramite Single Sign-On utilizzando un token di servizio, verificare che siano soddisfatti i seguenti prerequisiti:
- Il servizio Identity esterno deve restituire informazioni coerenti come payload
JWS
in tutte le applicazioni su più dispositivi e piattaforme. - La prima applicazione di streaming deve recuperare l'identificatore utente univoco e includere il payload
JWS
come parte dell'intestazione AD-Service-Token per tutte le richieste che lo specificano. - La seconda applicazione di streaming deve recuperare una decisione di autorizzazione prima di riprodurre una risorsa selezionata dall’utente.
- La prima applicazione di streaming ha eseguito l'autenticazione e ha incluso un valore valido per l'intestazione di richiesta AD-Service-Token.
Flusso di lavoro workflow-steps-scenario-performing-authorization-flow-using-service-token-single-sign-on-method
Eseguire i passaggi specificati per implementare il flusso di autorizzazione tramite Single Sign-On utilizzando un token di servizio come illustrato nel diagramma seguente.
Recuperare le decisioni di autorizzazione tramite Single Sign-On utilizzando il token di servizio
-
Autentica con il servizio Identity: La seconda applicazione di streaming chiama il servizio Identity, al di fuori dei sistemi Adobe Pass, per ottenere il payload
JWS
associato all'identificatore utente univoco. -
Restituire un identificatore utente univoco come JWS: La seconda applicazione di streaming convalida i dati di risposta per garantire il rispetto delle condizioni di sicurezza di base:
- Payload non scaduto.
- Il payload è firmato.
-
Recupera decisione di autorizzazione: La seconda applicazione di streaming raccoglie tutti i dati necessari per ottenere una decisione di autorizzazione per una risorsa specifica chiamando l'endpoint Decisions Authorize.
note important IMPORTANT Per informazioni dettagliate su: Recuperare le decisioni di autorizzazione utilizzando la documentazione API mvpd specifica: - Tutti i parametri required, come
serviceProvider
,mvpd
eresources
- Tutte le intestazioni required, come
Authorization
eAP-Device-Identifier
- Tutti i parametri e le intestazioni optional
Prima di effettuare una richiesta, l’applicazione di streaming deve verificare di includere un valore valido per l’identificatore utente univoco. Per ulteriori dettagli sull'intestazione AD-Service-Token
, consulta la documentazione AD-Service-Token. - Tutti i parametri required, come
-
Trova profilo Single Sign-On: Il server Adobe Pass identifica un profilo Single Sign-On valido in base ai parametri e alle intestazioni ricevuti.
-
Recupera decisione MVPD per la risorsa richiesta: Il server Adobe Pass chiama l'endpoint di autorizzazione MVPD per ottenere una decisione
Permit
oDeny
per la risorsa specifica ricevuta dall'applicazione di streaming. -
Restituisci decisione
Permit
con token multimediale: La risposta dell'endpoint Decisions Authorize contiene una decisionePermit
e un token multimediale.note important IMPORTANT Per informazioni dettagliate sulle informazioni fornite in una risposta alla decisione, consulta la documentazione API MVPD specifica per il recupero delle decisioni di autorizzazione. L’endpoint Decisions Authorize convalida i dati della richiesta per garantire che siano soddisfatte le condizioni di base: - I parametri e le intestazioni required devono essere validi.
- L'integrazione tra
serviceProvider
emvpd
specificati deve essere attiva.
Se la convalida non riesce, verrà generata una risposta di errore che fornirà informazioni aggiuntive conformi alla documentazione di Codici di errore avanzati. -
Avvia flusso con token multimediale: La seconda applicazione di streaming utilizza il token multimediale per riprodurre il contenuto.
-
Restituisci decisione
Deny
con dettagli: La risposta dell'endpoint Decisions Authorize contiene una decisioneDeny
e un payload di errore conformi alla documentazione Codici di errore migliorati.note important IMPORTANT Per informazioni dettagliate sulle informazioni fornite in una risposta alla decisione, consulta la documentazione API MVPD specifica per il recupero delle decisioni di autorizzazione. L’endpoint Decisions Authorize convalida i dati della richiesta per garantire che siano soddisfatte le condizioni di base: - I parametri e le intestazioni required devono essere validi.
- L'integrazione tra
serviceProvider
emvpd
specificati deve essere attiva.
Se la convalida non riesce, verrà generata una risposta di errore che fornirà informazioni aggiuntive conformi alla documentazione di Codici di errore avanzati. -
Gestire i dettagli della decisione
Deny
: La seconda applicazione di streaming elabora le informazioni sull'errore dalla risposta e può utilizzarle per visualizzare facoltativamente un messaggio specifico nell'interfaccia utente.