プログラマー向けの概要 programmers-overview

概要 introduction

この概要は、Adobe® パスを自社の web サイトまたはアプリケーションに統合することを計画しているコンテンツプロバイダー（プログラマー）を対象としています。 キックスタート ガイドや統合ガイドなどの追加ドキュメントについては、以下の関連情報を参照してください。

現在、視聴者は、いつでもどこでもインターネットにアクセスでき、保護されたコンテンツへの直接アクセスをプログラマーにリクエストできます。 1 回限りのイベントを視聴したい場合や、放送しているテレビシリーズ全体の視聴権を求めている場合があります。

ただし、保護されたコンテンツへのアクセスを許可する前に、顧客がそのコンテンツを表示する権限を持っているかどうかを判断する必要があります。 Multichannel Video Programming Distributor （MVPD）のサブスクリプションはありますか。 その場合、そのサブスクリプションにはプログラミングが含まれていますか？

プログラマーにとって、ビューアの使用権限を判断することは必ずしも簡単ではありません。 MVPD には、顧客の識別データとアクセス権限が保持されます。 保護されたコンテンツにアクセスしようとする視聴者は、それぞれ異なるシステムを持つ様々な MVPD にサブスクライブします。保護されたコンテンツに対する視聴者の使用権限を決定することは、すぐに複雑で技術的に困難になる可能性があることは簡単に理解できます。

図：プログラマーが直接決定したユーザーの使用権限

Adobe Pass Authentication for TV Everywhere は、プログラマーと MVPD の間のこれらの権利取引を安全に仲介します。 Adobe Pass認証を使用すると、プログラマーは保護されたコンテンツを簡単、迅速、安全に有効なお客様に提供できます。

図：Adobe Pass認証を介したユーザーエンタイトルメント

Adobe Pass認証は、関与する MVPD とやり取りする際のプロキシとして機能するので、一貫したクロスサイトインターフェイスでビューアを表示できます。 Adobe Pass認証を使用すると、ビューアにシングルサインオン（SSO）の認証と承認を提供することもできます。 すべての参加サービスについて認証と承認が追跡されるので、サブスクライバーは最初の認証後に自分のシステムで再度ログインする必要はありません。

Adobe Pass認証の仕組み HowItWorks

プログラマーのコンテンツ表示アプリケーションは、アクセスイネーブラ クライアントコンポーネントまたはクライアントレス API の RESTful web サービスを使用してAdobe Pass認証とやり取りします（スマート TV、ゲーム機、セットトップボックスなどの非 web 対応デバイスの場合）。 Access Enabler はユーザーのシステム上で動作し、すべての使用権限ワークフローを容易にします。 Access Enabler コンポーネントは、お客様がサイトにアクセスして保護されたコンテンツをリクエストすると、Adobeのホスティング・サイトからダウンロードされます。 Adobe Pass認証サーバーは、クライアントレスソリューションで使用される RESTful web サービスをホストします。

Adobe Pass認証は、実際の使用権限ワークフローを処理すると同時に、次の目的で使用するプリミティブを提供します。

プログラマーは、次の作業を行う上位レベルの web ページまたはプレーヤーアプリケーションを担当します。

Adobe Pass Authentication の目標は、プログラマーと MVPD の両方がエンタイトルメントの検証を処理するためのシンプルなモジュール型の方法を作成することです。

トークンについて understanding-tokens

Adobe Pass認証使用権限ソリューションは、認証および承認ワークフローが正常に完了したときに作成される特定のデータを中心に展開されます。 これらのデータはトークンと呼ばれます。 トークンの有効期限は限られています。期限が切れたら、認証ワークフローと承認ワークフローを再開してトークンを再発行する必要があります。

トークンについて詳しくは、次の節を参照してください。

トークンのタイプ token-types

認証および承認のワークフロー中に 3 種類のトークンが発行されます。 AuthN および AuthZ トークンは「長期間有効」で、ユーザーの閲覧エクスペリエンスの継続性を提供します。 メディアトークンは、ストリームリッピングによる不正を防ぐための業界のベストプラクティスに対するサポートを提供する短時間のみ有効なトークンです。 プログラマーは、MVPD との契約に基づいて、トークンのタイプごとに Time-to-Live （TTL）値を指定します。 プログラマーは、ビジネスと顧客に最適な TTL 値を決定します。

トークンストレージ token-storage

アクセス イネーブラは、次の環境に固有の場所に長期間有効なトークン（AuthN および AuthZ）を格納します。

トークンセキュリティ token-security

Adobe Pass Authentication Server は、（デバイスのハードウェア特性から派生した）デバイス ID を使用して、長期間有効なすべてのトークンにデジタル署名を行います。 電子署名の生成、保護、検証の方法は、環境によって異なります。

Adobe Pass認証では、長期間有効な各トークンを検証し、コンテンツにアクセスするデバイスがトークンを発行したデバイスと同じであることを確認します。 すべてのトークンについて、クライアントサイドの検証により、デジタル署名が損なわれず、トークンの整合性が保持されます。 デバイス ID の検証に失敗すると、認証セッションが無効化され、ユーザーは再度ログインするように求められます。これにより、トークンがリセットされます。

トークン共有 token-sharing

異なるプラットフォーム上のアプリケーションはトークンを共有しません。 これには、次のようないくつかの理由があります。

プログラマ統合のライフサイクル prog-integ-lifecycle

図：認証をプログラマーの web サイトおよびアプリケーションと統合する

論理フロー logical-flows

使用権限のフローチャート chart

次のフローチャートは、使用権限を確認する全体的なプロセスを示しています（Adobe Pass認証アクセスイネーブラ クライアントコンポーネントを使用）。

図：使用権限の確認プロセス

認証手順 authn-steps

次の手順は、Adobe Pass認証認証フローの例を示しています。 これは、ユーザーが MVPD の有効な顧客であるかどうかをプログラマーが判断する使用権限プロセスの一部です。 このシナリオでは、ユーザは MVPD の有効なサブスクライバです。 保護されたコンテンツをプログラマーのFlashアプリケーションを使用して表示しようとしています：

認証手順 authz-steps

以下の手順は、引き続き 認証手順から説明します。

登録と初期化 reg-and-init

Adobe Pass認証を使用する最初の手順は、AdobeまたはAdobe Pass認証承認済みパートナーに登録することです。

登録時に、Adobe Pass認証と通信するドメインのリストを指定します。 例えば、Turner Broadcasting System ドメインには、tbs.comと tnt.tv がAdobe Pass認証登録ドメインとして含まれています。 これらの各コンテンツサイトにはAdobe Pass Authentication へのアクセス権が付与され、独自のリクエスター ID （例：「TBS」や「TNT」）が割り当てられます。 サイトを追加する場合は、追加のドメイン名をAdobeに知らせて、許可されるドメインのリストに追加し、追加のリクエスター ID を付与する必要があります。

要求者 ID は、Adobe Pass認証のアクセス イネーブラ クライアント コンポーネントとのすべての通信で、プログラマのクライアントを一意に識別します。 プログラマーに関連付けられたすべてのAdobe Pass認証の静的データは、この ID にキーが設定されます。

統合手順 integration-steps

1.依頼者の設定 requestor

1a. Adobeへの登録

最初の手順は、AdobeまたはAdobe Pass認証承認済みパートナーに登録することです。 登録時には、1 つ以上のグローバル一意識別子（GUID）が発行されます。 発行される各 GUID は、Adobe Pass認証へのアクセスが許可されているドメインに関連付けられています。 要求元ドメインに GUID （要求者 ID と呼ばれます）を渡して、アクセス イネーブラを操作する各セッションの ID を登録します。 詳細については、『プログラマ統合ガイド』の 登録と初期化を参照してください。

1b. Initial Access Enabler Integration

次のステップでは、既存の Media Player アプリまたは Web ページに Access Enabler を統合します。

2.認証・承認対応 authn-authz

2a. アクセス・イネーブラとの通信

Access Enabler と Web ページまたはプレイヤーアプリとの通信は非同期です。 アプリケーションが Access Enabler メソッドを呼び出すと、Access Enabler は Access Enabler ライブラリに登録したコールバックを介して応答します。

2b. 使用権限ユーザーインターフェイスの提供 entitlement-ui

コンテンツへのユーザーアクセス用に独自の UI を提供します。 実際のログインプロセスなど、一部の要素は MVPD によって提供されます。また、一部の要素はオプションでAdobe Pass Authentication の一部として使用できます。 少なくとも、次の操作を行います。

2c. メディアトークンベリファイアの統合 int-media-token-ver

Adobe Pass認証メディアトークン検証機能コンポーネントをメディアサーバーに組み込む必要があります。 これにより、既存のトークン検証機能が、Adobe Pass Authentication から提供される短時間のみ有効なメディアトークンを認識して、正常な認証を行うことができます。 メディアトークン検証機能は、保護されたコンテンツへのユーザーアクセスを提供する前に、最後のセキュリティステップとしてメディアトークンを検証します。 Adobeに登録すると、メディアトークン検証機能をダウンロードできる場所が表示されます。

3. シングルログアウトのサポート ssl

ほとんどの場合、メディアプレーヤーは、シンプルな Access Enabler API を介してユーザーのログアウトを処理します。 logout （）を呼び出すと、Access Enabler は次の処理を実行します。

トークンが期限切れになるまでマシンをアイドル状態のままにしておいても、ユーザーはセッションに戻り、ログアウトを正常に開始できます。 Adobe Pass Authentication は、すべてのトークンが削除されることを確認し、セッションを削除するように MVPD に通知します。

Adobe Pass Authentication と統合されていないサイトからログアウトが開始された場合、MVPD は、ブラウザーリダイレクトを通じてAdobe Pass Authentication Single Logout サービスを呼び出すことができます。

ユーザー ID について user-ids

概念的には、エンタイトルメントフローを開始する各ユーザーは、1 つの一意のユーザー ID に関連付けられます。 ただし、使用権限フローの過程を通じて、ID を取得する API に応じて、1 つのユーザー ID を様々な方法で表示できます。

Short Media トークンの sessionGUID は、安全な形式の UserID で、sendTrackingData （）呼び出しで使用できます。 現在のすべての統合では、これは、時間とデバイスをまたいだユーザーの永続的な GUID ですが、GUID のソースは、MVPD からの SAML 応答の UserID で始まります。 ただし、一部の MVPD は、将来、考えを変え、一時的な GUID の送信を開始する可能性があります。 プログラマが AuthN 応答の MVPD ソース UserID が永続的であることを確認する場合は、MVPD との契約でその ID を手配する必要があります。

Adobe Pass Authentication API では、次のようにユーザー ID を様々な方法で表します。

まとめ

ユーザー ID の使用方法は、使用例によって異なります。