プロモーション一時パス promotional-temp-pass
機能の概要 feature-summary
プロモーションの一時パスを使用すると、プログラマーは、MVPD のアカウント資格情報を持たないユーザーに対して、保護されたコンテンツへの一時的なアクセスを提供できます。
プロモーション一時パスは、ユーザーが有効な識別情報(メールアドレスなど)をプログラマーに提供した後、事前定義された数の異なる VOD タイトルを事前定義された期間 消費できるプロモーションキャンペーンを実行するために使用するように設計されています。
プロモーション用の一時パスは、 一時パス機能の上に構築されています。つまり、すべての一時パス機能が含まれています。
事前定義済みの VOD タイトルの最大数または事前定義済みの時間を超えると、Adobe Pass Authentication Server から認証トークンがクリアされるまで、同じデバイス上のコンテンツや、同じユーザー識別情報(メールアドレスなど)を使用してコンテンツにアクセスできなくなります。
一時パスと販促の一時パスの比較 tp-ptp-comparison
コンテンツへのアクセス
- 時間ベース
コンテンツへのアクセス
- 時間ベース
- リソースの数に基づく
アクセスのセキュリティ基準
- デバイス ID
セキュリティ基準
- デバイス ID
- 提供されたユーザー識別情報(メールなど)に対するハッシュ
機能の詳細 feature-details
この機能を使用すると、プログラマーのアプリケーションでメールアドレスなどの一意の情報を指定した後、特定のデバイス(電話およびタブレット)からプロモーションコンテンツにアクセスできます。
プログラマーは、認証および承認 API に関するユーザーの PII に対するハッシュを提供します。 このハッシュは、ユーザーとデバイスを識別する一意のキーを生成する際に、デバイス ID と共に使用されます。
デバイス ID と提供された情報に基づき、以下のロジックに従って、Adobe Pass Authentication はユーザーが新しい体験版に参加しているか、既存の体験版に参加しているかを判断します。
- ユーザーが提供した情報(メールなど)に対する新しいハッシュ、新しいデバイス ID => 新しい体験版
- 既存のハッシュオーバーユーザーが提供した情報(メールなど)、新しいデバイス ID => 既存の体験版(既存のハッシュオーバーユーザーが提供した情報(メールなど))
- ユーザーが指定した情報(メールなど)に対する新しいハッシュ。既存のデバイス ID => 既存の体験版(既存のデバイス ID を使用)
- ユーザーが指定した情報(メールなど)に対する既存のハッシュ、既存のデバイス ID => 既存の体験版
プロモーションの一時パス機能は、次のプロパティに基づいて設定できます。
- ユーザーが指定した情報キー(メールなど)
- ユーザーが使用できるリソースの数
- TTL - ユーザーが設定された数のリソースを使用できる時間間隔
ユーザーメタデータ user-metadata
プログラマーのアプリケーションの実装を容易にするために、次の ユーザーメタデータ情報が公開されます プロモーション一時パス上で、対応するキーと共に公開されます(キーをアクティブにするには、tve-support@adobe.comにお問い合わせください)。
- remaining_resources:現在のユーザーが使用できる残りリソースの数
- used_assets:現在のユーザーが既に消費したリソースのリスト
- expiration_date:現在のユーザーの有効期限
表示時間はどのように計算されますか? compute-viewing-time
一時パスが有効なままである時間は、ユーザーがプログラマーのアプリケーションでコンテンツの表示に費やした時間とは相関しません。 プロモーションの一時パスを介して承認を求める最初のユーザーリクエスト時に、プログラマーが指定した TTL (デュレーション時間間隔)に最初の現在のリクエスト時間を追加することで、有効期限が計算されます。
認証と承認 authn-authz
プロモーション一時パスフローの場合、次のすべての条件が満たされている限り、認証と承認は実際の MVPD と通信しません そのため すべての承認リクエストは成功します)。
- 認証トークンは、指定されたリソースに対して有効です
- used_assets の数が、プログラマーが設定した制限を下回っています
- expiration_date 値が現在の日付より後です。
プリフライト挙動 preflight-beh
プロモーションの Temp Pass MVPD に対してプリフライトまたは事前認証リクエストが行われた場合、返される対応するプリフライト応答には、プリフライトが成功したものとして、プリフライトリクエストからのリソースのリスト全体が含まれます。
この背後にあるロジックは、プロモーションの一時パスの認証条件が、特定のリソースではなく、時間とリソース数の制限に基づいていることです。 具体的には、時間の制約が満たされ、リソースの上限を超えていない限り、呼び出し元のリソースは許可されます。
SSO sso
「要求者ごとの認証」が有効化されているプロモーション一時パスのインスタンスに対しては、SSO が有効化されていません。 つまり、ユーザーがアプリケーション A から、同じプロモーション一時パスに統合されている別のアプリケーション B に切り替えても、ユーザーは自動的にログインしません。
ログアウト logout
デバイス上のすべてのトークンは、ログアウト時に削除されます。 したがって、プロモーション用の一時パスから通常のユーザー選択 MVPD に切り替える場合は、この実装に依存しないでください。 setSelectedProvider(null) 関数を使用してアプリケーション状態をクリアしてから認証フローを再開することをお勧めします。これにより、ユーザーエクスペリエンスが向上します。
プロモーション一時パスのフロー図 promo-tempass-flowdia
図:プロモーション一時パスフロー
プロモーション一時パスの実装 impl-promo-tempass
プロモーションの一時パスには、次のクライアントサイド機能が必要です。
- メールアドレスの伝播などのユーザー識別情報 (認証および承認フローでのユーザーのメールアドレスの送信) Adobe Pass Authentication は、認証トークンと認証トークンをバインドするためにメールを必要とします(
device_IDの場合と同様で、すべての呼び出しで必要です)。 - 認証を強制 - ユーザーが既に認証されている場合に、プログラマーが認証フローを強制的に実行できるようにします。 この機能は、アプリを起動するたびにユーザーメタデータの更新(ユーザーメタデータキー used_assets に使用可能なリソースの数が含まれる)を強制するために必要です。 ユーザーは複数のデバイスにログインできるので、アプリの起動時にデバイスに存在するユーザーメタデータは信頼できないので、その特定のユーザーの現在の状態(メールアドレスで識別)を反映するには、メタデータを更新する必要があります。
Adobe Pass認証には、X 分経過後にフリーストリーミングを停止するメカニズムが組み込まれていません。 ユーザーが Y の空きリソースを使用すると、Adobe Pass認証は authorization および short media トークンの発行を停止します。 プロモーションの一時パスの有効期限が切れた後は、アクセスを制限するプログラマー次第です。
セキュリティ security
ユーザー識別情報のハッシュ化
Adobeでは、データをAdobeに送信する前に、SHA-2 ファミリまたはその固有の SHA-256 関数 SHA-512 を使用することをお勧めします。
例えば、"user@domain.com" を超える SHA-256 は、"f7ee5ec7312165148b69fcca1d29075b14b8aef0b5048a332b18b88d09069fb7" です。
プロモーション一時パスのリセットまたはパージ reset-promo-tempass
一部のビジネス・ルールでは、プロモーション一時パスの定期的なパージが必要です。 これを行うために、Adobe Pass認証は、以下に示すように、プログラマーに 公開 web API を提供します。
DELETE https://mgmt.auth.adobe.com/reset-tempass/v2/reset-
プロトコル:https
-
ホスト:
- リリース:mgmt.auth.adobe.com
- Prequal: mgmt-prequal.auth.adobe.com
-
パス:/reset-tempass/v2/reset
-
クエリパラメーター:device_id=all&requestor_id=THE_REQUESTOR_ID&mvpd_id=THE_TEMPASS_MVPD_ID
-
ヘッダー:ApiKey: 1232293681726481
-
応答:
- 成功:HTTP 204
- 失敗:誤ったリクエストの場合は HTTP 400、ApiKey が指定されていない場合は HTTP 401、ApiKey が無効な場合は HTTP 403
一時パスをパージする要件に加えて、プロモーション一時パスでは、認証およびパージの承認時に generic_data として送信されたハッシュオーバーユーザー識別情報を使用します。
JSON 全体ではなく、ハッシュが送信されます。
$ curl -X DELETE -H "Authorization:Bearer H4j7cF3GtJX81BrsgDa10GwSizVz" "https://mgmt.auth.adobe.com/reset-tempass/v2.1/reset/generic?key=f7ee5ec7312165148b69fcca1d29075b14b8aef0b5048a332b18b88d09069fb7&requestor_id=REF&mvpd_id=FlexibleTempPass"
サポートされるクライアント supported-clients
制限事項 limitations
ここでは、プロモーション一時パスの現在の実装に適用される制限について説明します。
クライアントレス lim-clientless
一意のデバイス ID を持たないスマートデバイス
すべてのスマートデバイスアプリが一意のデバイス ID を提供できるわけではありません。 1 つがない場合、Adobe Pass認証は、Device Registration Code Service によって生成された UUID を一意のAdobe ID として使用できます。 つまり、ユーザーがログアウトすると、認証トークンと認証トークンが削除されます。 ユーザーが再度認証を試みると、今回は別のユーザー情報(メールなど)を使用してユーザーが再度認証を行うことができます。 Adobeでは、システムを「騙す」ことなく、新しいユーザーが体験版をリクエストするか既存の体験版をリクエストするかを判断するロジックを追加する UI フローを追加することをお勧めします。
一時パスのリセット/パージ
クライアントレスの一時パスのリセットは、Xbox360 と Xbox One の特定のケースでは利用できません。これらのプラットフォームでは追加のデバイス ID 解析が必要で、一時パスのリセット ツールでは利用できないからです。