プログラマー向けの概要 programmers-overview

はじめに introduction

この概要は、Adobe® Pass を Web サイトやアプリケーションに統合する予定のコンテンツプロバイダー（プログラマー）向けです。 キックスタートおよび統合ガイドを含む追加のドキュメントについては、以下の関連情報を参照してください。

今日、視聴者はいつでもどこでもインターネットを利用でき、保護されたコンテンツへのアクセスを、あなた、プログラマーから直接要求できます。 1 回限りのイベントを見たいと思ったり、テレビシリーズ全体に対して視聴権を求めていたりする場合もあります。

ただし、保護されたコンテンツへのアクセスを許可する前に、お客様がそのコンテンツを表示する権利があるかどうかを判断する必要があります。 マルチチャネルビデオプログラミングディストリビュータ (MVPD) のサブスクリプションを持っていますか？ その場合、そのサブスクリプションにあなたのプログラミングが含まれていますか。

ビューアの使用権限の決定は、プログラマーにとって必ずしも簡単ではありません。 MVPD は、顧客の識別データとアクセス権限を保持します。 保護されたコンテンツにアクセスしようとする視聴者は、それぞれ異なるシステムを持つ様々な MVPD に登録するので、保護されたコンテンツに対する閲覧者の資格を決定すると、すぐに複雑で技術的に困難になる可能性があります。

図：プログラマーが直接決定したユーザーエンタイトルメント

Adobe Pass Authentication for TV Everywhere は、Programmers と MVPDs の間のこれらの権利付与トランザクションを安全に仲介します。 Adobe Pass認証を使用すると、プログラマーが保護されたコンテンツを有効なお客様に提供するのを、簡単、迅速、安全におこなうことができます。

図：Adobe Pass Authentication を介したユーザーエンタイトルメント

Adobe Pass認証は、参加している MVPD との交換の代わりに機能するので、一貫したクロスサイトインターフェイスを使用してビューアを表示できます。 また、Adobe Pass認証を使用すると、シングルサインオン (SSO) の認証と承認を閲覧者に提供することもできます。 認証と承認は、参加しているすべてのサービスに対して追跡されるので、加入者は、自身のシステムで最初の認証を行った後に再度ログインする必要はありません。

Adobe Pass認証の仕組み HowItWorks

プログラマのコンテンツ表示アプリケーションは、Access Enabler クライアントコンポーネントまたは Clientless API の RESTful Web サービス（スマート TV、ゲームコンソール、セットトップボックスなどの非 Web 対応デバイス用）を使用してAdobe Pass認証とやり取りします。 Access Enabler は、ユーザーのシステム上で実行され、すべての権限付与ワークフローを容易にします。 Access Enabler コンポーネントは、お客様がサイトにアクセスし、保護されたコンテンツを要求したときに、Adobeのホスティングサイトからダウンロードされます。 Adobe Pass認証サーバーは、クライアントレスソリューションで使用される RESTful Web サービスをホストします。

Adobe Pass認証は、実際の権限付与ワークフローを処理しながら、次の目的で使用するプリミティブを提供します。

プログラマーは、次の処理を行う上位レベルの Web ページまたはプレーヤーアプリケーションを担当します。

Adobe Pass Authentication の目的は、権利付与の検証を処理するための、プログラマーと MVPD の両方のためのシンプルなモジュラー方法を作成することです。

トークンについて understanding-tokens

Adobe Pass Authentication Entitlement Solution では、認証および承認ワークフローが正常に完了すると作成される特定のデータの生成が中心となります。 これらのデータはトークンと呼ばれます。 トークンの有効期限は限られています。トークンが期限切れになったら、認証および承認ワークフローの再開を通じてトークンを再発行する必要があります。

トークンについて詳しくは、次の節を参照してください。

トークンのタイプ token-types

認証および承認ワークフローでは、3 種類のトークンが発行されます。 AuthN および AuthZ トークンは「長期間有効」で、ユーザーの表示エクスペリエンスの継続性を提供します。 メディアトークンは、ストリームリッピングを通じた不正を防ぐための業界のベストプラクティスのサポートを提供する、短時間有効なトークンです。 プログラマは、MVPDs との合意に基づいて、トークンの各タイプの有効期間 (TTL) 値を指定します。 プログラマーは、自社のビジネスと顧客に最適な TTL 値を決定します。

トークンストレージ token-storage

Access Enabler は、環境に固有の場所に、長期間有効なトークン（AuthN と AuthZ）を保存します。

トークンセキュリティ token-security

Adobe Pass Authentication Server は、（デバイスのハードウェア特性から派生した）デバイス ID を使用して、長期間有効なすべてのトークンにデジタル署名を行います。 電子署名は、環境に応じて、生成、保護、検証の方法が異なります。

Adobe Pass認証では、長時間有効な各トークンが検証され、コンテンツにアクセスするデバイスがトークンの発行元と同じであることが確認されます。 すべてのトークンについて、クライアント側の検証では、デジタル署名が損なわれず、トークンの整合性が維持されていることを確認します。 デバイス ID の検証が失敗すると、認証セッションは無効になり、再度ログインするよう求められ、トークンがリセットされます。

トークン共有 token-sharing

異なるプラットフォーム上のアプリケーションはトークンを共有しません。 これには、次のような様々な理由があります。

プログラマー統合ライフサイクル prog-integ-lifecycle

図：認証とプログラマーの Web サイトおよびアプリケーションとの統合

論理フロー logical-flows

権利フローチャート chart

次のフローチャートに、(Adobe Pass Authentication Access Enabler クライアントコンポーネントを使用した ) 使用権限の確認の全体的なプロセスを示します。

図：使用権限の確認プロセス

認証手順 authn-steps

次の手順は、Adobe Pass認証フローの例を示しています。 これは、プログラマーがユーザーが MVPD の有効な顧客かどうかを判断するエンタイトルメントプロセスの一部です。 このシナリオでは、ユーザーは MVPD の有効な購読者です。 ユーザーは、次のプログラマーのアプリケーションを使用して、保護されたコンテンツを表示しようとしています。Flash:

認証手順 authz-steps

以下の手順は、 認証手順:

登録と初期化 reg-and-init

Adobe Pass Authentication を使用する際の最初の手順は、Adobeに登録するか、Adobe Pass認証を許可されたパートナーと登録することです。

登録時に、Adobe Pass認証との通信に使用するドメインのリストを指定します。 例えば、Turner Broadcasting System ドメインには、 tbs.comおよび tnt.tv が含まれ、Adobe Pass Authentication が登録したドメインとして扱われます。 これらの各コンテンツサイトには、Adobe Pass認証へのアクセス権が付与され、独自の要求者 ID（例：「TBS」、「TNT」）が割り当てられます。 サイトを追加する場合は、許可されたドメインのリストに追加し、要求者 ID を追加するために、追加のドメイン名をAdobeに通知する必要があります。

リクエスト元 ID は、Adobe Pass Authentication の Access Enabler クライアントコンポーネントとのすべての通信で、プログラマーのクライアントを一意に識別します。 プログラマーに関連付けられているすべてのAdobe Pass Authentication 静的データは、この ID にキーが設定されます。

統合手順 integration-steps

1.リクエスト元の設定 requestor

1a. 登録Adobe

最初の手順は、AdobeまたはAdobe Pass Authentication 認証承認済みパートナーに登録することです。 登録時に、1 つ以上のグローバル一意の ID(GUID) が発行されます。 発行された各 GUID は、Adobe Pass Authentication へのアクセスが許可されるドメインに関連付けられています。 Access Enabler とやり取りする各セッションの ID を登録するには、リクエストドメインの GUID（リクエスト元 ID と呼ばれる）を渡します。 詳しくは、 登録と初期化 (「Programmer Integration Guide」) を参照してください。

1b. 初期アクセスイネーブラの統合

次の手順では、Access Enabler を既存のメディアプレーヤーアプリケーションまたは Web ページに統合します。

2.認証・承認への対応 authn-authz

2a. Access Enabler との通信

Access Enabler と Web ページまたはプレーヤーアプリとの間の通信は非同期的に行われます。 アプリケーションが Access Enabler メソッドを呼び出し、Access Enabler は、Access Enabler ライブラリに登録したコールバックを介して応答します。

2b. 権限付与ユーザーインターフェイスの指定 entitlement-ui

コンテンツにユーザーがアクセスできるように、独自の UI を提供します。 実際のログインプロセスなどの一部の要素は MVPD によって提供され、一部の要素はAdobe Pass認証の一部としてオプションで使用できます。 少なくとも、次の操作を実行します。

2c. メディアトークン検証ツールの統合 int-media-token-ver

Adobe Pass Authentication Media Token Verifier コンポーネントをメディアサーバーに統合する必要があります。 これにより、既存のトークン検証者が、Adobe Pass Authentication から提供される短時間のみ有効なメディアトークンを正常な認証で認識できるようになります。 メディアトークン検証ツールは、保護されたコンテンツへのユーザーアクセスを提供する前に、メディアトークンを最後のセキュリティ手順として検証します。 Adobeの登録時に、メディアトークン検証ツールをダウンロードする場所を受け取ります。

3.シングルログアウトのサポート ssl

ほとんどの場合、メディアプレーヤーは、シンプルな Access Enabler API を使用してユーザーのログアウトを処理します。 logout() を呼び出すと、Access Enabler は次の処理を実行します。

ユーザーがトークンの期限が切れるまでマシンをアイドル状態のままにしておくと、ユーザーはセッションに戻り、ログアウトを正常に開始できます。 Adobe Pass認証は、すべてのトークンが確実に削除され、セッションも削除するよう MVPD に通知します。

Adobe Pass Authentication と統合されていないサイトからログアウトが開始された場合、MVPD は、ブラウザーのリダイレクトを通じてAdobe Pass Authentication Single Logout サービスを呼び出すことができます。

ユーザー ID について user-ids

概念上、エンタイトルメントフローを開始する各ユーザーは、1 つの一意なユーザー ID に関連付けられます。 ただし、エンタイトルメントフローの過程では、ID の取得元の API に応じて、1 つのユーザー ID を異なる方法で表示できます。

ショートメディアトークンの sessionGUID は、セキュアな形式の UserID で、 sendTrackingData() 呼び出しで使用できます。 現在のすべての統合では、これは、時間とデバイスをまたいでユーザーに対して永続的な GUID ですが、GUID のソースは、MVPD からの SAML 応答で UserID で始まります。 しかし、一部の MVPD は将来的に心を変え、一時的な GUID を送り始める可能性があります。 AuthN 応答の MVPD ソース UserID が永続的であることを確認したい場合、プログラマは MVPDs との合意に基づいてそれを手配する必要があります。

Adobe Pass Authentication API でユーザー ID を表す様々な方法を次に示します。

まとめ

ユーザー ID の使用方法は、使用例によって異なります。