OpenAPI 機能を備えた Dynamic Media を使用したアセットの配信の制限 restrict-access-to-assets
Experience Manager のアセットガバナンスを一元化すると、DAM 管理者またはブランドマネージャーは、OpenAPI 機能を備えた Dynamic Media を通じて使用可能なアセットへのアクセスを管理できます。AEM as a Cloud Service オーサーサービスでアセットの特定のメタデータを設定して、承認済みアセット(個別のアセットに至るまで)の配信を、選択した Adobe Identity Management System(IMS)ユーザーまたはグループに制限できます。
OpenAPI を備えた Dynamic Media を通じてアセットを制限すると、該当するアセットへのアクセスが許可された(Adobe IMS オンボードの)ユーザーにのみアクセス権が付与されます。アセットにアクセスするには、ユーザーは OpenAPI を備えた Dynamic Media の検索および配信の機能を活用する必要があります。
Experience Manager Assets では、IMS 経由の制限付き配信には、次の 2 つの主要なステージが含まれます。
- オーサリング
- 配信
オーサリング authoring
IMS ベアラートークンを使用した制限付き配信 restrict-delivery-ims-token
IMS ユーザーおよびグループ ID に基づいて、Experience Manager 内でのアセットの配信を制限できます。
オン/オフの日時を使用したアセットの配信の制限 restrict-delivery-assets-date-time
DAM 作成者は、アセットプロパティで使用可能なアクティベーションのオンタイムまたはオフタイムを定義して、アセットの配信を制限することもできます。
アセットのアクティベーションのオンタイムを定義すると、定義した時間にアセットの配信 URL が生成されます。アセットは、定義した時間まで非アクティブなままになります。同様に、アセットのオフタイムを定義すると、アセットは定義した時間にアクティベート解除され、アセットの配信 URL でアセットの表示が停止します。
アセットのオンタイムとオフタイムを設定するには、次の手順を実行します。
-
アセットを選択し、「プロパティ」をクリックします。
-
「基本」タブの「予定されているアクティベーション(アクティベート解除)」セクションで、要件に基づいてオンタイムまたはオフタイムを定義します。
同様に、アセットビューでアセットを選択し、「詳細」をクリックして、アセットのプロパティを表示し、オンタイムとオフタイムを定義できます。
このフィールドは、デフォルトのメタデータフォームで使用できます。アセットがデフォルトのメタデータスキーマに基づいておらず、アセットプロパティで「オンタイム」フィールドと「オフタイム」フィールドが使用できない場合は、管理ビューで次の手順を実行します。
-
ツール/Assets/メタデータスキーマ に移動します。
-
メタデータスキーマを選択し、「編集」をクリックします。
-
右側の「フォームを作成」セクションからフォームの「メタデータ」セクションに「日付」フィールドを追加します。
-
新しく追加されたフィールドをクリックし、設定 パネルで次の更新を行います。
- フィールドラベル を「オンタイム」または「オフタイム」に変更します。
- 「プロパティにマッピング」を …/jcr:content/onTime(「オンタイム」フィールドの場合)および ./jcr:content/offTime(「オフタイム」フィールドの場合)に更新します。
-
「保存」をクリックします。
同様に、アセットビューでは、アセットがデフォルトのメタデータスキーマに基づいておらず、アセットプロパティで「オンタイム」フィールドと「オフタイム」フィールドが使用できない場合は、次の手順を実行します。
- 「設定」セクションで「メタデータフォーム」をクリックします。
- メタデータフォームを選択し、「編集」をクリックします。
- 左側のパネルの「コンポーネント」セクションから「日付」フィールドをフォームに追加します。
- 新しく追加されたフィールドをクリックし、ラベル を「オンタイム」または「オフタイム」に変更します。
- メタデータプロパティ を …/jcr:content/onTime(「オンタイム」フィールドの場合)および ./jcr:content/offTime(「オフタイム」フィールドの場合)に更新します。
- 「保存」をクリックします。
制限付きアセットの配信 delivery-restricted-assets
制限付きアセットの配信は、アセットへのアクセスに対する正常な認証に基づいています。認証は、IMS ベアラートークン(AEM アセットセレクターから開始されたリクエストの申請)またはセキュア Cookie(AEM パブリッシュ/プレビューサービスにカスタム ID プロバイダーが設定され、ページでの Cookie の作成と組み込みが設定されている場合)を通じて行われます。
AEM オーサーリクエストまたはアセットセレクターリクエストの配信 delivery-aem-author-asset-selector
AEM オーサーサービスまたは AEM アセットセレクターからリクエストが送信された場合に制限付きアセットの配信を有効にするには、有効な IMS ベアラートークンが不可欠です。
AEM Cloud Service オーサーサービスとアセットセレクターでは、ログインが成功すると、IMS ベアラートークンが自動的に生成され、リクエストに使用されます。
-
アセットセレクターベース以外のエクスペリエンスの場合、AEM as a Cloud Service および OpenAPI 機能を備えた Dynamic Media では現在、サーバーサイド API 統合をサポートし、IMS ベアラートークンを生成できます。
- AEM as a Cloud Service Developer Console を通じて IMS ベアラートークンを取得できるサービスとサーバー間の API 統合を実行するには、こちらの手順に従ってください。
- 期間限定のローカル開発者アクセス(実稼動ユースケースを意図したものではない)の場合、AEM as a Cloud Service Developer Console で認証されたユーザー用の短時間のみ有効な IMS ベアラートークンは、こちらの手順に従って生成できます。
-
検索および配信の API リクエストを行う際に、取得した IMS ベアラートークンを HTTP リクエストの 認証 ヘッダーに追加します(その値の先頭に ベアラー が付いていることを確認します)。
-
アクセス制限を検証するには、認証 ヘッダーの有無にかかわらず、配信の API リクエストを開始します。
- IMS ベアラートークンが存在しない場合や、指定した IMS ベアラートークンがアセットへのアクセス権を付与されたユーザー(直接またはグループメンバーシップを通じて)に属していない場合、応答では
404エラーステータスコードが生成されます。 - IMS ベアラートークンがアセットへのアクセス権を付与されたユーザーまたはグループの 1 つである場合、応答ではアセットのバイナリコンテンツを含む
200成功ステータスコードが生成されます。
- IMS ベアラートークンが存在しない場合や、指定した IMS ベアラートークンがアセットへのアクセス権を付与されたユーザー(直接またはグループメンバーシップを通じて)に属していない場合、応答では
パブリッシュサービスでのカスタム ID プロバイダーの配信 delivery-custom-identity-provider
AEM Sites、AEM Assets、および OpenAPI ライセンスを備えた Dynamic Media を一緒に使用すると、AEM パブリッシュまたはプレビューサービスでホストされている web サイトでアセットの制限付き配信を設定できます。セキュリティ保護された配信フローでは、ブラウザーの Cookie を活用してユーザーのアクセスを確立します。このユースケースを実装するには、パブリッシュドメインのサブドメインである配信層のカスタムドメインを持つことが前提条件となります。AEM Sites のパブリッシュおよびプレビューサービスがカスタム ID プロバイダー(IdP)を使用するように設定されている場合、ユーザーの認証後にユーザーのグループメンバーシップをカプセル化する、delivery-token と呼ばれる新しい Cookie をパブリッシュドメインに設定する必要があります。配信層では、セキュリティ保護された Cookie から認証マテリアルを抽出し、アクセスを検証します。詳しくは、エンタープライズサポートチケットのログを参照してください。