OpenAPI 機能を使用したDynamic Mediaによるアセットの配信制限 restrict-access-to-assets
Experience Managerのアセットガバナンスの一元化により、DAM 管理者またはブランド管理者は、OpenAPI 機能を使用して、Dynamic Mediaを通じて使用可能なアセットへのアクセスを管理できます。 AEM as a Cloud Service オーサーサービスでアセットに特定のメタデータを設定することで 🔗 選択した AdobeのIdentity Management System (IMS)ユーザーまたはグループに(個々のアセットに対して)承認済みアセットの配信を制限できます。
OpenAPI を使用したDynamic Mediaによってアセットが制限されると、そのアセットへのアクセスを許可された(Adobe IMSがオンボーディングされた)ユーザーにのみアクセスが許可されます。 アセットにアクセスするには、OpenAPI でDynamic Mediaの 検索機能と 配信機能を活用する必要があります。
Experience Manager Assetsでは、IMS を介した配信制限には、次の 2 つの重要な段階が含まれます。
- オーサリング
- 配信
オーサリング authoring
IMS ベアラートークンを使用した制限付き配信 restrict-delivery-ims-token
IMS ユーザーおよびグループ ID に基づいて、Experience Manager 内のアセットの配信を制限できます。
オンおよびオフの日時を使用したアセットの配信制限 restrict-delivery-assets-date-time
DAM 作成者は、アセットプロパティで使用できるアクティベーションのオンタイムまたはオフタイムを定義して、アセットの配信を制限することもできます。
アセットのアクティベーションに「オンタイム」を定義すると、定義した時間にアセットの配信 URL が生成されます。 アセットは、定義された時間が経過するまでは非アクティブのままとなります。 同様に、アセットに「オフタイム」を定義した場合、アセットは定義された時間に非アクティブ化され、アセットの配信 URL はアセットの表示を停止します。
次の手順を実行して、アセットのオンタイムとオフタイムを設定します。
-
アセットを選択し、「プロパティ」をクリックします。
-
「基本」タブの「予定(非スケジュール)アクティベーション」セクションで、要件に基づいて「オンタイム」または「オフタイム」を定義します。
同様に、Assets ビューでも、アセットを選択して 詳細 をクリックすると、アセットのプロパティが表示され、「オンタイム」と「オフタイム」を定義できます。
このフィールドは、デフォルトのメタデータフォームで使用できます。 アセットがデフォルトのメタデータスキーマに基づいておらず、アセットプロパティで「オンタイム」フィールドと「オフタイム」フィールドを使用できない場合は、管理表示で次の手順を実行します。
-
ツール/Assets/メタデータスキーマ に移動します。
-
メタデータスキーマを選択し、「編集」をクリックします。
-
フォームのメタデータセクションの右側にある フォームを作成 セクションから 日付 フィールドを追加します。
-
新しく追加されたフィールドをクリックし、設定 パネルで次の更新を行います。
- フィールドラベル を オンタイム または オフタイム に変更します。
- プロパティにマッピング を に更新します。「/On Time」フィールドと の jcr:content/onTime。「オフタイム フィールドの場合は jcr:content/offTime です。
-
「保存」をクリックします。
同様に、Assets ビューで、アセットがデフォルトのメタデータスキーマに基づいておらず、アセットのプロパティで「オンタイム」フィールドと「オフタイム」フィールドを使用できない場合は、次の手順を実行します。
- 設定 セクションの メタデータForms をクリックします。
- メタデータフォームを選択し、「編集」をクリックします。
- 左側のペインの コンポーネント セクションから 日付 フィールドをフォームに追加します。
- 新しく追加されたフィールドをクリックし、ラベル を オンタイム または オフタイム に変更します。
- メタデータプロパティ を に更新します。「/On Time」フィールドと の jcr:content/onTime。「オフタイム フィールドの場合は jcr:content/offTime です。
- 「保存」をクリックします。
制限付きアセットの配信 delivery-restricted-assets
制限付きアセットの配信は、アセットへのアクセスが正常に許可されるかどうかに基づいて行われます。 認証は、IMS ベアラートークン(AEM アセットセレクターから開始されたリクエストの申請)またはセキュア cookie を使用して行います(AEM Publish/プレビューサービスでカスタム ID プロバイダーを設定しており、ページで cookie の作成と包含を設定している場合)。
AEM オーサーリクエストまたはアセットセレクターリクエストの配信 delivery-aem-author-asset-selector
AEM オーサーサービスまたはAEM アセットセレクターからリクエストが送信された場合に制限付きアセットの配信を有効にするには、有効な IMS ベアラートークンが必要です。
AEM Cloud Service オーサーサービスおよびアセットセレクターでは、IMS ベアラートークンが自動的に生成され、ログイン成功後のリクエストに使用されます。
-
アセットセレクターベース以外のエクスペリエンスの場合、OpenAPI 機能を備えたAEM as a Cloud ServiceおよびDynamic Mediaは現在、サーバーサイド API 統合をサポートし、IMS ベアラートークンを生成できます。
- 2AEM as a Cloud Service Developer Consoleを介して IMS ベアラートークンを取得できるサービス間 API 統合を実行するには、🔗 こちら } の手順に従います。
- 期間限定で、(実稼動のユースケース向けではなく)ローカル開発者アクセス、AEM as a Cloud Service Developer Consoleで認証されたユーザーの短時間のみ有効な IMS ベアラートークンを手順に従って生成できます。 こちら
-
Search および Delivery API リクエストを行う際に、取得した IMS ベアラートークンを HTTP リクエストの Authorization ヘッダーに追加します(その値に Bearer というプレフィックスが付いていることを確認します)。
-
アクセス制限を検証するには、Authorization ヘッダーを含める場合と含めない場合の配信 API リクエストを開始します。
- IMS ベアラートークンがない場合や、指定された IMS ベアラートークンがアセットへのアクセス権を付与されたユーザーに属していない場合(直接またはグループメンバーシップを通じて)、応答は
404しいエラーステータスコードを生成します。 - IMS ベアラートークンがアセットへのアクセスを許可されたユーザーまたはグループの 1 つである場合、応答はアセットのバイナリコンテンツを含んだ
200成功ステータスコードを生成します。
- IMS ベアラートークンがない場合や、指定された IMS ベアラートークンがアセットへのアクセス権を付与されたユーザーに属していない場合(直接またはグループメンバーシップを通じて)、応答は
Publish サービスでのカスタム ID プロバイダーの配信 delivery-custom-identity-provider
OpenAPI ライセンスを持つAEM Sites、AEM Assets、Dynamic Mediaを一緒に使用できるので、AEM Publishまたはプレビューサービスでホストされている web サイトで、アセットの配信制限を設定できます。 セキュア配信フローでは、ブラウザー Cookie を利用してユーザーのアクセスを確立します。このユースケースを実装するには、配信層用のカスタムドメインがパブリッシュドメインのサブドメインになっている必要があります。 AEM SitesのPublishおよびプレビューサービスが カスタム ID プロバイダー(IdP)を使用するように設定されている場合、ユーザーのグループメンバーシップをカプセル化す delivery-token と呼ばれる新しい Cookie を、公開ドメインの投稿ユーザーの認証で設定する必要があります。 配信層は、セキュア cookie から認証内容を抽出し、アクセスを検証します。 詳しくは、 エンタープライズサポートチケットをログに記録してください。