Adobe Pass Authentication と TV Everywhere について about-auth-tve

NOTE
このページのコンテンツは情報提供のみを目的としています。 この API を使用するには、Adobeから現在のライセンスが必要です。 無許可の使用は許可されていません。

すべてのテレビについて about-tve

今日のテレビ視聴者はいつでもオンラインにアクセスでき、Pay TV コンテンツにアクセスできることが期待されています。 さらに、オーディエンスは、次のようなインターネット対応デバイスの範囲が増え続ける中で、コンテンツを閲覧しています。

  • ノート PC
  • タブレット
  • スマートフォン
  • Web サイト
  • 連合アプリ
  • ゲームコンソール
  • セットトップボックス
  • スマート TV

TV Everywhere は、自宅の内外の複数のデバイスをまたいで、Pay TV 加入者が既に支払っているのと同じコンテンツにアクセスする機能をサポートする業界運動です。 テレビ視聴の大半は従来型のリニア TV で行われているが、消費の伸びはコンテンツ、オンラインビデオ、代替画面の時間シフトである。 その結果、今日のビデオ配信市場は混乱の状態にあり、TV Everywhere は、プログラマー、Pay TV プロバイダー、Pay TV 加入者の利益を一致させるソリューションとして登場しました。

TV Everywhere の技術的目標は、Pay TV のお客様が、既にすべてのデバイスやプラットフォームで購読しているコンテンツにアクセスできるようにすることです。

TV Everywhere のビジネス目標は次のとおりです。

  • 既存の顧客関係を維持し、新しい顧客関係を有効にする
  • プログラマーやコンテンツ所有者が、最も幅広いオーディエンスにリーチし、プレミアムコンテンツからより多くの価値を引き出せるようにします
  • ビューアとの直接のオンラインインタラクションを通じてブランドを拡張

どこでも視聴できるテレビの課題 tve-challenges

テレビの機会と一緒にどこでも課題が発生します。 これらの中心にあるのは、使用権限です。 ビューアがサブスクリプションコンテンツにアクセスする前に、そのアクセス権が付与されているかどうかを誰かが判断する必要があります。

ユーザーは有料テレビ事業者と契約を結んでいますか。 その場合、要求されたコンテンツがサブスクリプションに含まれていますか? 権利付与は、顧客の識別データと顧客のアクセス権限を持つ有料 TV オペレーターであるため、プログラマーとコンテンツ所有者が直接判断するのは特に困難です。

使用権限に加えて、次のような、関連する技術的および統合上の多くの課題があります。

  • 包括的なマルチデバイス戦略の開発と実施
  • プログラマーと有料テレビ事業者間の無数の関係の調整
  • 不正アクセスや利用規約の不正使用を防止する
  • Web サイトやアプリをまたいで、一貫した不満のない認証エクスペリエンスをユーザーに提供します。
  • アフィリエイトとの取引に追いつくために、市場投入までの時間を短縮する
  • 複数の統合に関連するコストの管理

これらの課題により、プログラマーと複数の有料テレビプロバイダーの認証システム間の複雑で直接的な統合を実行および維持することが非常に多くのリソースを必要とし、時間と技術的な洗練が必要になります。

解決策は? Adobe® 認証 を渡します。

Adobe Pass認証の概要 authentication-intro

Adobe Pass Authentication を使用すると、プログラマーと有料テレビプロバイダーは、Adobe Pass Authentication API を使用してシンプルな統合を行うだけで、次のようなエコシステム全体にアクセスできます。

  • Turner Broadcast (TBS、TNT、CNN)、Fox Broadcast Networks、Hulu などのプログラマ

  • 全米の Pay TV の上位プロバイダは、全米の Pay TV の世帯全体の 90% 以上を占めています

さらに、Adobe Pass認証は、ユーザー認証と承認をシンプルで安全にするフレームワークを提供します。

図 1:Adobe Pass認証を介して接続するプログラマーと有料テレビ事業者の一部のみ

Adobe Passは、プログラマーとペイ TV プロバイダーの間で権利付与トランザクションを安全に仲介し、サブスクリプションコンテンツへの閲覧者アクセスを促進します。 つまり、…

Adobe Pass認証を使用すると、適切な顧客が適切なコンテンツに簡単かつ迅速にアクセスできます。

Adobe Pass認証の対象

  • プログラマー Pay TV プロバイダー(「MVPD」または「マルチチャネルビデオプログラミング配信業者」とも呼ばれます)と簡単に統合し、最適な収益を得るために最も広い視聴者に届けることを望んでいます。 Adobe Pass認証を使用すると、プログラマーは、クライアントプラットフォームに関係なく、すべての主要なプロバイダーにわたってビューアを認証できます。

  • 複数のプログラマーとの痛みのない接続を求める 有料テレビプロバイダー/MVPD と、オンラインの購読コンテンツへのアクセスを促進することで顧客満足度を高めます。

  • 有料 TV のお客様、既に購読しているコンテンツに追加料金なしで簡単にアクセスしたいと考えています。 シングルサインオンは、クライアントのダウンロードや繰り返しのログインを必要とせずに、web 全体またはモバイルアプリ全体で安全なビューア認証を提供し、優れたユーザーエクスペリエンスを提供します。

プログラマー 向けに、Adobe Pass認証では次の機能を提供しています。

  • 複数の直接統合の苦痛なしで、トップの有料テレビプロバイダーとの簡単な統合とインスタント接続
  • 可能な限り幅広いコンテンツのオーディエンスをサポートすることで、購読(ライセンス)と広告収益の両方を最適化
  • 権限を持つユーザー/デバイスのみに付与されたプレミアム・コンテンツへのアクセスを使用した、安全な認証
  • iOS、Android、Windows 8、ゲーム機、セットトップボックスなど、様々なプラットフォームで再生できます。
  • AdobeFlash Access®Play Ready® など、あらゆる DRM テクノロジとの互換性。
  • シングルサインオン(SSO)の認証と承認のサポートにより、サブスクライバーは最初の認証後に自分のシステムで再度ログインする必要がなくなります。

有料テレビプロバイダー/MVPD の場合、Adobe Pass Authentication は次の機能を提供します。

  • コンテンツ所有者との容易な統合により、1 つの統合を使用して複数のプログラマーとのインスタント接続を提供
  • 複数のプラットフォームやデバイスでコンテンツを表示する際に、ブランド化されたスムーズなエクスペリエンスをサポートすることで、顧客エンゲージメントを強化しました
  • 許可されたユーザー/デバイスのみにプレミアムコンテンツへのアクセスを許可するセキュア認証で、(オプションで)世帯アカウントごとに接続できるデバイスと同時ストリームの数を制限します。

有料テレビのお客様 の場合、Adobe Pass Authentication は次の機能を提供します。

  • どこでもテレビ!

この後のパートでは、Adobe Pass認証の技術的な概要について説明します。 以下の多くはプログラマーの統合に焦点を当てていますが、有料テレビプロバイダーにも適用される一般的な情報と具体的な情報の両方があります。 また、Adobe Pass認証が TV Everywhere のソリューションとして機能する仕組みのセキュリティと整合性についても重点的に説明します。 この文書の詳細については、Adobe担当者に問い合わせるか、Request for Information フォーム こちらに記入してください。

アーキテクチャ構築ブロック arch-building-blocks

次に、認証と承認に関する主要なエンタイトルメントトランザクションについて説明します。 認証とは、特定のユーザーが既知の顧客であることを有料テレビプロバイダーに確認するプロセスです。 認証とは、Pay TV プロバイダーが、認証されたユーザーが特定のリソースに対して有効なサブスクリプションを持っていることを確認するプロセスです。
Adobe Pass認証は、次の基本コンポーネントで構成されます。

  • クライアントコンポーネント(以下のいずれか):

    • Access Enabler:プラットフォーム固有のライブラリであり、使用権限フローを実装するための使いやすい API とコード・サンプルを提供します。
    • クライアントレス API - RESTful web サービス。web ページのレンダリング機能(ゲームコンソール、セットトップボックスなど)を使用しないプラットフォーム向けの使用権限フローエンドポイントを提供します。
  • Adobeホスト型バックエンドサーバ

  • メディアトークン検証子

  • 安全な中央Mediumの交換(トークン)

基本レベルでは、Adobe Pass認証は、3 つのコンポーネント(アクセス・イネーブラ、Adobeがホストするバックエンド・サーバ、メディア・トークン検証機能)と中央交換機能(トークン)で構成されます。

クライアントコンポーネント client-components

  • アクセス イネーブラ
  • クライアントレス API

アクセス イネーブラ access-enabler

完全にサポートされているプラットフォーム(Web、iOS、Android、Windows 8 など)では、プログラマーは Access Enabler クライアントコンポーネントを介してAdobe Pass認証とやり取りします。 このコンポーネントは、顧客とのすべての認証および承認のやり取りを容易にします。 Access Enabler は、システム上でローカルで実行されます。 ユーザーがプログラマーのサイトまたはアプリケーションにアクセスしてコンテンツを要求すると、Adobeがホストまたは管理するアクセス イネーブラ コンポーネントがバックグラウンドでサイレントに読み込まれます。

アクセス イネーブラによって実際の使用権限ワークフローが処理されます。一方、プログラマは、ユーザ インタフェースを実装してアクセス イネーブラとやり取りする上位レベルの Web ページまたは Player アプリケーションの責任を維持します。 これらのやり取りは、Access Enabler API によって定義される、関数とコールバックの非同期システムを介して行われます。

次に、基本的な使用権限のフローを示します。Access Enabler API を使用すると、容易に実装できます。

  • リクエスター(プログラマー) ID の設定
  • 特定の有料 TV 事業者(「ID プロバイダー」)に対するユーザー認証の確認または取得
  • 特定のリソースに対するユーザー認証の確認/取得
  • ユーザーのログアウト

Access Enabler には、次のサービスも用意されています。

  • 特定のクライアント、そのドメイン、リソース/チャネルの登録ステータスなど、プログラマーからのクエリを検証します。
  • ユーザーがプロバイダーを選択する有料テレビ事業者のリストを作成するデータを提供します。 また、このリストは、リクエストの発信元のプログラマーに対して検証および定義されます。
  • これにより、Pay TV オペレーター固有の認証および承認ワークフローが開始されます。
  • プログラマーのリソースやチャネルごとに成功した認証応答をキャッシュして、不要なリクエストトラフィックを最小限に抑えます。
  • 明示的なデバイス登録など、各ペイ TV オペレータに固有の定義済みワークフロー用に設定できます。

Access Enabler は、Web サイトまたはプレーヤーのアプリケーションに応じて、次の形式を取ります。

  • Flash Playerランタイムが実行できるSWFファイル
  • ブラウザーによって直接実行される JS ファイル
  • サポートされているプラットフォーム(iOS、Android、Windows 8 を含む)向けのネイティブなアクセス・イネーブラ

クライアントレス API clientless-api

クライアントレス API のアプローチは、web ブラウザーをサポートしない「スマートデバイス」(ゲーム機、セットトップボックス、スマート TV)向けです(MVPD による認証に必要)。 クライアントレスのアプローチでは、スマートデバイスアプリは、2 番目の画面(ブラウザー)アプリで実行される認証以外のすべての認証について、RESTful web サービス API を使用してAdobe Pass認証と直接通信します。 つまり、Access Enabler のクライアント側ライブラリは使用されません。 代わりに、スマートデバイスアプリの開発者は、Adobe Pass Authentication web サービス API を直接使用して使用権フローを実装します。

Adobeホスト型バックエンドサーバ adobe-backend-servers

AdobeがホストするAdobe Pass Authentication バックエンドサーバー:

  • Adobe Pass Authentication とオペレーターの間のサーバー間通信を必要とする有料テレビプロバイダーに、認証および承認ワークフローをプロビジョニングします。
  • プログラマーサイトおよびアプリケーションの設定を管理します。
  • ダウンロード可能な Access Enabler コンポーネント・ファイルをホストします。
  • クライアントレス API 統合用の RESTful web サービスエンドポイントを提供します。
  • 認証および承認トークンを生成(場合によっては保存)します。

トークンとメディアトークン検証子 tokens-media-token-verifier

Adobe Pass認証使用権限ソリューションは、認証/承認ワークフローが正常に完了したときに取得される特定のデータを生成することに重点を置いています。 これらのデータはトークンと呼ばれます。 これらは寿命が限られており、クライアント上のプラットフォーム依存の場所、またはクライアントレス API ソリューションの場合はAdobeサーバーに安全に保存されます。 有効期限が切れたら、認証ワークフローや承認ワークフローを再開する際に、トークンを再発行する必要があります。

Adobe Pass認証が認証/承認ワークフローの際に発行するトークンには、3 つのタイプがあります。 2 つは「長期間有効」で、ユーザーの視聴エクスペリエンスの継続性を提供します。 3 つ目の短期間有効なトークンは、不正を軽減するための業界のベストプラクティス(例えば、不正にはストリームリッピングなどの悪用が含まれます)に対するサポートを提供します。 有効期間(「TTL」)の値は、関係するすべてのユーザーに最も役立つ値に同意するプログラマーとペイ TV プロバイダーとの契約に基づいて設定されます。

(長期間有効な)認証トークン long-lived-auth-token

お客様がAdobe Pass Authentication を使用して有料 TV アカウントに正常にログインすると、認証が成功します。 次に、Adobe Pass Authentication は長期間有効な認証(AuthN)トークンを要求デバイスに関連付け、さらに(有料テレビプロバイダーによって異なります)、ユーザーを匿名で識別するグローバル一意識別子(「GUID」)を生成します。

  • Adobe Pass Authentication は、Adobe Pass Authentication を使用するすべてのアプリケーションが利用できる場所に、AuthN トークンを安全に格納します。 Access Enabler の統合では、クライアント側でトークンが安全に保存されます。 Adobe Pass認証では、AuthN トークンを使用して、ユーザーの代わりに後続の認証クエリを実行します。
  • どの時点でも、1 つの AuthN トークンのみが格納されます。 新しい AuthN トークンが発行され、古いトークンが既に存在する場合は、新しいトークンが既存の保存済み値を上書きします。

(長期間有効な)認証トークン long-lived-authriz-token

認証に成功すると、Adobe Pass認証は永続的な認証(「AuthZ」)トークンを作成します。 このトークンは、要求元のデバイスと特定の保護されたリソース(チャネル、シリーズ、エピソードなど)に関連付けられているので、ポータブルではありません。

  • Adobe Pass認証は、AuthZ トークンを、他のリソース用の他の認証トークンと共に、安全に保存します。 繰り返しますが、AuthN トークンと同様に、アクセス・イネーブラを使用するプラットフォームでは、トークンはクライアント上にローカルに保存され、クライアント・レス API を使用するプラットフォームでは、トークンはAdobe Pass Authentication Server に保存されます。
  • 長期間有効な AuthZ トークンの有効期間(TTL)は、通常、有料テレビプロバイダーとプログラマーの間の特定の契約に応じて、日から週の範囲で定義されます。
  • 常に、リソースごとに 1 つの AuthZ トークンのみが保存されます。 異なるリソースに関連付けられている限り、複数の認証トークンを保存できます。 新しい認証トークンが発行され、同じリソースに古いトークンが既に存在する場合、新しいトークンが既存のキャッシュ値を上書きします。
  • Adobe Pass認証は、長期間有効な AuthZ トークンを使用して、実際の表示アクセスに使用される短時間のみ有効なメディアトークンを作成します。

短時間のみ有効なメディアトークン short-lived-media-token

Adobe Pass認証で AuthZ トークンが生成されると、そのトークンを使用して、交換中の改ざんを防ぐために、Adobeによって署名され、暗号化された、1 回限りの短時間のみ有効なメディアトークンが生成されます。

  • 短期間有効なトークンの TTL (デフォルト:5 分)は、トークンを生成するサーバーとトークンを検証するサーバーとの間のクロック同期の問題を許可するように設定されています。
  • 短時間のみ有効なトークンは、保護されたリソースへのアクセスを提供する前に埋め込みサイトに公開されるので、プログラマーは、Access Enabler 統合の場合は Media Token Verifier を、クライアントレス API 統合の場合は Token Verifier サービスを使用して、トークンを検証する必要があります。

メディアトークン検証子 media-token-verifier

プログラマーは、メディアトークン検証用ライブラリを既存のアプリケーションサーバーに統合し、ビデオストリームが実際に開始される前に検証者が最終的なユーザー検証を実行できるようにする責任があります。 メディアトークン検証者ライブラリは、次の項目を定義します。

  • 有効かどうか、トークンの発行時刻、その他の関連データなど、トークンから情報を取得するトークン検証 API
  • トークンが実際にAdobeから取得されたことを検証するために使用されるAdobe公開鍵
  • Verifier API の使用方法と、ライブラリに含まれるAdobe公開鍵を使用してオリジンを検証する方法を示すリファレンス実装

図 2:Access Enabler 統合におけるAdobe Pass認証エコシステムのアーキテクチャの概要

Adobe Pass認証との統合 integrate-auth

有料テレビのプロバイダーでもプログラマーでも、Adobe Pass Authentication と統合するプロセスには、ある程度の積極的な参加が必要です。 それぞれのプロセスについて以下に説明します。

有料テレビプロバイダーのプロセス

Adobe Pass Authentication における有料テレビ事業者の主な責務は、要求元の利用者が、プログラマーのコンテンツにアクセスする権利を有する既知の購読者であるかどうかを検証することです。 高く
新しい有料テレビプロバイダーと統合する場合のAdobe Pass認証プロセスのレベルは、次のとおりです。

  1. プロバイダーは、Adobe Pass認証秘密保持契約(NDA)に署名します。
  2. プロバイダーは、Adobeに対して、認証および承認システムの仕様を提供します。 最も簡単に統合するには、有料 TV 事業者に認証のための SAML ベースの ID プロバイダー(IdP)を持ち、認証のためにSOAPアクセスプロトコルを介して通信することをお勧めします。
  3. プロバイダーは、サーバーとAdobe Pass Authentication サーバーの間の接続を確立します。 これには、エンドポイントの提供や、IP のリスト化が含まれます。
  4. 事前認定リリースおよび QE。
  5. 実稼動リリースおよび QE。

Adobe Pass Authentication は、プログラマーの既存の統合機能の代わりになる可能性がありますが、通常、有料テレビプロバイダーには必要ありません。 Adobeは、プロバイダーの技術チームと連携して、既存の統合のニーズを満たすようにAdobe Pass Authentication を設定します。 「標準」統合と最小限のサポート要件(ドキュメントおよび基本的なメールサポート)を前提として、有料テレビプロバイダーの統合は無料です。 プロバイダが重要なサポートまたはエスカレーションされたタイムラインを必要とする場合、サポート料金が請求されるか、プロバイダが Synacor などのソリューションに精通したサードパーティと協力することを希望する場合があります。

Adobe Pass認証では、次のように、有料テレビプロバイダーのビジネスロジックの効率的な処理もサポートされています。

  • 自己完結型で、認証リクエストを受信したときにオペレーターが適用できるビジネスロジックの場合、Adobeは、オペレーターが認証リクエストを受信したときにビジネスロジックの適用をサポートするために必要なデータを提供します。 このデータには、リクエストを行うユーザーの一意のデバイス ID とデバイスの IP アドレスが含まれますが、これに限定されるものではありません。
  • Adobeソリューションによるユーザーの操作や特定の処理が必要なビジネスロジックの場合、Adobeは各有料テレビプロバイダーのカスタムプロパティの一部を管理できます。 これらのオペレーター固有の設定やポリシーには、最上位のワークフローの特定のポイントで開始できる事前定義されたワークフローの有効化が含まれています。 カスタムプロパティのサポートについて詳しくは、Adobe担当者にお問い合わせください。

Adobeは、不正防止サービスも提供しています。 詳しくは、Adobe担当者にお問い合わせください。

プログラマープロセス programmer-process

Adobe Pass Authentication を正常に統合するには、プログラマーは、Adobe Pass Authentication を使用して認証、承認、ログアウトなどの主要なエンタイトルメントプロセスを処理できるように、Media Player アプリケーションまたは Web ページを設定する必要があります。

Adobe Pass Authentication との統合を開始する前に、プログラマーは次の操作を行う必要があります。

  • Web サイトの一部として、またはスタンドアロンアプリケーションとしてメディアプレーヤーを含む、既存のオンラインビデオプラットフォーム
  • コンテンツ管理システム
  • サードパーティのコンテンツ配信ネットワーク(CDN)を含む場合としない場合がある配信メカニズム

プログラマーは、Adobe Pass認証を使用して TV Everywhere サービスを提供する一環として、いくつかの統合作業を行うことを想定している必要があります。 次のようなタスクがあります。

  • Adobe Pass Authentication の Access Enabler ライブラリを Web ページやメディアプレーヤーに統合する、または Web に対応していない「スマートデバイス」に対してクライアントレスのアプローチを使用して統合を実装する
  • サーバーサイドの作業で、Adobe Pass認証トークン検証機能コンポーネントをビデオストリーミングワークフローに組み込みます
  • Web サイトまたはアプリへのアクセスワークフロー用の UI の作成(実際のログインプロセスなど、この要素の一部は Pay TV オペレーターが提供するもので、一部はオプションでAdobe Pass認証の一部として使用できます)

このペーパーでは、プログラマのプロセスの概要を説明し、Adobeでは、正式な統合の開始に際してさらにガイダンスを提供します。

要求者(プログラマー)の設定 requester-prog-setup

Adobeへの登録 registering

最初の手順として、プログラマーはAdobeまたはAdobe認定パートナーに登録し、Adobe Pass Authentication で使用するドメインを指定する必要があります。 次に、プログラマーは一意のリクエスター ID を受け取り、アクセス イネーブラとやり取りするセッションごとにAdobe Pass Authentication に提供されます。

Initial Access Enabler Integration のセットアップ access-enabler-int-setup

コンテンツへのアクセスをリクエストするお客様の前に、プログラマーは、Adobe Pass Authentication クライアントコンポーネント(アクセスイネーブラ)を既存の Media Player アプリまたは Web ページに組み込む必要があります。 これを行う方法には、次のような様々なオプションがあります。

  • Flash版の AccessEnabler.swf は、Web ページ上のFlashベースのビデオプレーヤーに埋め込むことも、直接HTMLに埋め込むこともできます。 ActionScriptまたはJavaScriptでSWFと通信できます。 ベース API はActionScriptですが、JavaScriptのラッパーライブラリはすべて使用できます。

  • Flash以外のデバイスでは、次の操作が可能です。

    • HTML 5/JavaScript バージョンの AccessEnabler.js を使用し、JavaScript API を介してやり取りする、または
    • iOS、Android、Windows 8 などのネイティブの Access Enabler ライブラリを使用します。
クライアントレス API の初期統合の設定 clientless-api-int-setup

ユーザーがコンテンツへのアクセスをリクエストする前に、プログラマーは、クライアントレス API を使用して RESTful web サービス呼び出しをメディアプレーヤーアプリに実装し、「2 番目の画面」アプリケーションを設定して、web 経由でユーザーのログインを有料テレビプロバイダーで処理する必要があります。

認証と承認の処理 auth-authr-handling

顧客が保護されたリソースをプログラマーに初めて要求すると、プログラマーは選択する有料テレビプロバイダーのリストを顧客に提示します。 プロバイダーを選択すると、最初のユーザー認証のためにユーザーがそのオペレーターにリダイレクトされます。 認証に成功すると、Adobe Pass Authentication は選択した有料テレビプロバイダーと通信して、指定したリソースへのアクセスを認証します。 これらのプロセスについて詳しくは、以降で説明します。

図 3: provider-selection UI の例

NOTE
  • 認証は、サービスプロバイダー(または「SP」)としてのAdobe Pass Authentication と、ID プロバイダー(または「IdP」)としての有料 TV プロバイダーとの SAML 交換として行われます。
  • Authorization は、Adobe Pass Authentication (SP)と有料テレビプロバイダー(IdP)の間で、バックチャネル(サーバー間)の web サービス交換を使用します。
アクセス イネーブラを使用したプログラマ通信

アクセス・イネーブラとプログラマの Web ページまたはプレーヤー・アプリとの間の双方向通信チャネルは、完全に非同期のパターンに従います。 プログラマは、Access Enabler API によって公開されたメソッドを使用して、アクセス イネーブラにメッセージを送信します。 Access Enabler は、Access Enabler ライブラリに登録されているコールバックを介して応答します。

  • 認証トークンがローカルシステムで見つからない場合、認証リクエストの場合は、自動的に最初に認証をリクエストします。 認証に成功すると、顧客のトークンはローカルに保存されるので、一定の期間、再度ログインする必要はありません。 その他のコンテキスト(たとえば、有料テレビ プロバイダの Web サイトや別のプログラマなど)でAdobe Pass認証使用権ソリューションを使用して正常に認証された場合、アクセス イネーブラはローカル トークンにアクセスでき、追加の認証を行う必要はありません。
  • 顧客が特定のリソースを要求すると、プログラマはアクセス イネーブラを介して有料テレビ プロバイダに認証を要求します。 アクセス イネーブラは、認証の確認後(または認証を開始した後)、(Adobe Pass認証を通じて)ペイ テレビ プロバイダに連絡し、お客様にリソースを表示する権限があるかどうかを判断します。 Adobe Pass Authentication は、Pay TV プロバイダーとの通信を処理して認証を取得します。 プログラマは、リクエストをアクセス イネーブラに送信して、応答(承認の成功または失敗)を処理するだけで済みます。 認証に成功すると、認証トークンがクライアントシステムに保存され、コールバックは短時間のみ有効なメディアトークンを受け取ります。
クライアントレス API を使用したプログラマー通信 progr-comm-clientless-api

プログラマーのアプリとAdobe Pass間の通信 Authentication は、RESTful web サービスを介して行われます。 Adobe Pass Authentication エンドポイントに対するすべての API 呼び出しに対して、セキュリティプロトコルが用意されています。 セキュリティ要件については、クライアントレス API ドキュメントを参照してください。

SAML Web ブラウザーの SSO ベースの認証を使用したサンプルワークフロー sample-wf
  1. ビューアがサイト(dummy1.com)に移動し、資格のあるコンテンツへのアクセスを試みます。
  2. ビデオ・ページ/プレーヤーがadobe.comからアクセス・イネーブラをロードし、ユーザー・アクションによって要求されたら、要求されたコンテンツの認証を要求します。
  3. Access Enabler が実行され、リクエスタとリクエストが検証されます。
  4. Access Enabler は、ローカル ストア内の有効な認証トークンをチェックします。 有効な認証が見つかった場合、アクセス イネーブラは短時間のみ有効なメディア トークンを生成します(手順 14 を参照)。
  5. 要求されたリソースに有効な認証が見つからないにもかかわらず、有効な認証トークンが存在する場合、アクセス イネーブラは、ユーザーの認証に使用するペイ テレビ プロバイダとの間で認証要求を開始します。 Adobeサーバは、有料テレビ事業者との間でオーソリゼーションのリクエスト/レスポンス交換を行う。
  6. 有効な認証トークンが見つからない場合は、Access Enabler がユーザーに対して Pay TV プロバイダの入力を求めるメッセージを表示します。 (SAML web ブラウザーの SSO ベースの認証をサポートするプロバイダーを選ぶと、SAML ベースの認証ワークフローがトリガーされます)。 SAML 以外のプロバイダーの場合、Adobeでは同様のカスタムワークフローを処理します。)
  7. Access Enabler は、ブラウザをAdobeの SAML SP (サービス・プロバイダ)サービスに移動し、該当するすべてのパラメータを渡します。
  8. SAML SP は、IdP メタデータに示されている SAML Web ブラウザープロファイルを使用して、ユーザーの有料テレビプロバイダーで適切な SAML IdP (ID プロバイダー)を呼び出します。 これにより、ユーザーは IdP (有料テレビ事業者)のサイトに効果的に移動し、そこでユーザーが認証されます。
  9. 認証が成功すると、ユーザーはAdobeの SAML SP にリダイレクトされ、SAML 応答で認証 GUID が渡されます。
  10. Adobeの SAML SP は、認証 GUID が格納されているサーバー側にセッションを作成し、元のプログラマーページにリダイレクトします。 (サーバ・セッションは、authN トークンのアクセス・イネーブラの取得時に削除されます)。
  11. Access Enabler は、Adobeのサーバから認証 GUID を取得し、Adobe Pass Authentication によって管理されるデバイス ID を使用してトークンに含めます。 FlashDRM がデバイス上にある場合、これは、GUID のデバイス ID へのバインディングを有効にし、Flash Accessトークンを返す認証 API (Flash Playerの DRM コンポーネント)を介して行われます。 それ以外の場合は、HTML5 ベースのストレージを使用して、または特定のネイティブコンポーネント経由で、JS API を介して HTTPS 経由で送信されます。
  12. 認証トークンは、Access Enabler が Pay TV プロバイダに対して認証リクエストを行うために使用されます。 Flash Access対応デバイスでは、結果の認証トークンがデバイスにバインドされるように、リクエストは常にFlash AccessAPI を通じて行われます。 Flash Access以外のデバイスでは、クライアントからサーバーへの安全な通信に HTTPS が使用されます。
  13. 認証に成功すると、Adobe Pass Authentication は永続的認証(「authZ」)トークンを作成して、ローカルシステムに保存するアクセスイネーブラに渡します。
  14. アクセス イネーブラは、authZ トークンを使用して、実際の表示アクセスに使用される短時間のみ有効なメディア トークンを作成します。 セキュリティを確保するために、これらの短時間のみ有効なトークンは、別のAdobe Pass認証コンポーネントであるメディアトークン検証子で検証する必要があります。

図 4:認証および認証アクセス イネーブラ ワークフロー

使用権限ユーザーインターフェイスの提供 entitlement-ui

プログラマーは、web サイトまたはアプリへのアクセスワークフロー用に独自の UI を作成する必要があります。 実際のログインプロセスなど、一部の要素は有料テレビプロバイダーによって提供されており、一部の要素はオプションでAdobe Pass認証の一部として利用できます。 少なくとも、プログラマーは次の操作を行います。

  • プロバイダー選択インターフェイスを実装します 新規ユーザーが有料テレビ プロバイダーを識別し、初めてログインできるようにします。 開発のために、Access Enabler は、お客様が有料 TV プロバイダを選択し、ログイン・プロセスを開始するための基本的なユーザー・インタフェースを提供します。 実稼動環境の場合、プログラマーは、独自のプロバイダーセレクターダイアログを実装する必要があります。 一部の有料テレビプロバイダーは、ログインのために自分のサイトにリダイレクトしたり、iframe 内にログインページを表示する必要があるプロバイダーもあります。 顧客がプロバイダーを選択する場合に備えて、プログラマーはこの iframe を作成するコールバックを実装する必要があります。
  • 保護されたリソースを識別します。保護 れたリソースとは、アクセスに認証が必要なリソースです。 これらのリソースを提供する場合、プログラマーインターフェイスは、表示する前に認証の必要性を示す必要があります。 認証に成功すると、リソースが認証されたことをインターフェイスに表示します。
  • 有料テレビ プロバイダの一覧を作成および管理 し、指定したプロバイダのみに対するユーザーアクセスを制御します。
  • ユーザーが認証されていることを示します。 プログラマーは、保護されたリソースの識別に使用される手段の一部として、顧客の認証ステータスを示す必要があります。 プログラマは、Access Enabler に対してクエリーを実行して、顧客がすでに認証されているかどうかを確認できます。

シングルログアウトのサポート single-logout-support

ほとんどの場合、プログラマーは、単純な API 呼び出しを介してユーザーのログアウトを処理する責任を負います。 logout ()呼び出しでは、次の方法で現在のユーザーをログアウトするようにAdobe Pass Authentication に指示します。

  • すべての AuthN および AuthZ トークンの削除
  • そのユーザーの認証および承認に関する情報をすべてクリアする
  • プロバイダーとのユーザーの認証セッションをクリアするための有料テレビプロバイダー固有のワークフローを開始する(例えば、認証が SAML 認証要求プロトコルを使用して行われた場合、ログアウトは SAML シングルログアウトプロトコルを使用して行われる場合があります)。

ユーザーがトークンの有効期限が切れるまでマシンをアイドル状態のままにした場合でも、セッションに戻ってログアウトを正常に開始できます。 Adobe Pass Authentication は、すべてのトークンが削除されることを確認し、Pay TV プロバイダーにもセッションを削除するよう通知します。

Adobe Pass Authentication と統合されていないサイトからログアウトが開始された場合、有料テレビプロバイダーは、ブラウザーリダイレクトを通じてAdobe Pass Authentication Single Logout サービスを呼び出すことができます。

基本的な使用権限フローの拡張 – 追加機能 beyond-basics

基本的な使用権限フローは、起動、認証、承認およびログアウトです。 Adobe Pass認証が成熟および発展するにつれて、多数の追加機能が基本的なフローに追加されており、現在も追加されています。 これには以下が含まれます。

  • ユーザーメタデータ - MVPD とプログラマーの契約によっては、MVPD は郵便番号、最大評価、チャネル ID などのメタデータを安全に交換できます。 メタデータにより、ペアレンタルコントロール、スポーツイベントの地域凍結期間など、様々なユースケースが可能になります。
  • 一時的な無料アクセス - プログラマーは、保護されたコンテンツへの一時的な無料アクセスを提供できます(例えば、毎日のプログラミングの短いサンプル、大きなイベントの無料プレゼンテーション)。
  • プロキシ MVPD - MVPD は、Adobe Pass Authentication との独自の統合を管理でき、関連付けられた「ProxyedMVPD」のグループの代わりに使用権限プロセスを管理することもできます。

セキュリティ security

この節では、Adobe Pass認証インフラストラクチャのセキュリティと整合性に焦点を当てます。

トークンセキュリティ token-security

Adobe Pass Authentication の主な目標の 1 つは、不正なユーザーやコンテンツアグリゲータによるコンテンツエンタイトルメントデータに対する攻撃にシステムが耐えられるようにすることです。 したがって、最も重要度の高い認証トークンデータの生成と使用を保護することにより、ワークフロー内の異なるレベルでデータアクセスを保護することができる。 Adobe Pass認証アーキテクチャは、トークンの内容が安全に維持され、トークンが発行先のデバイスに残っていることを確認するように設計されています。

  • 長期間有効な AuthN および AuthZ トークンセキュリティ – 長期間有効なすべてのトークンは、Adobe Pass Authentication Server によってデジタル署名されます。 ただし、デジタル署名は、生成方法、保護および検証方法が異なるデバイス ID を使用するという点で、プラットフォームによって異なります。 どの場合でも、クライアントサイドの検証により、デジタル署名が損なわれず、トークンの整合性が保持されます。 Access Enabler は、検証済みトークンを実行している環境に固有の場所に安全に保存します。 デバイス ID の検証に失敗した場合は、認証セッションが無効化され、トークンがリセットされて、ユーザーは再度ログインするように求められます。
  • 短時間のみ有効なメディアトークンのセキュリティ - コンテンツアクセスの前の最後の手順で作成される短時間のみ有効なメディアトークンは、交換中の改ざんを避けるためにAdobeで署名され、暗号化されます。 また、短期間有効なメディアトークンの場合は、追加のAdobe Pass認証コンポーネントであるメディアトークン検証子による追加の検証手順が必要になります。 短期間有効なトークンの TTL はデフォルトの 5 分に設定されており、必要に応じて短くすることができます。 短時間のみ有効なメディアトークンはキャッシュされません。認証 API が呼び出されるたびに、新しいトークンがサーバーから取得されます。

プラットフォーム固有のデバイスセキュリティ platform-sp-security

Adobe Pass Authentication で使用されるセキュリティ対策はプラットフォームによって異なりますが、いずれも堅牢で最先端の技術です。

  • Flash対応デバイス - Flash Player 10.1 以降またはAIR 2.5 以降がデバイスに接続されている場合、Adobe Pass認証はFlash Player DRM 機能(Flash Access)を使用します。 Flashにより、保護機能がさらに強化されています。Flashベースのトークンのデバイス バインディングが強固に保証されているため、ほとんどの場合、有効期間が長くなり、ユーザーは頻繁にログインする必要がなくなり、一般的にユーザーエクスペリエンスがスムーズになります。
  • HTML5 対応デバイスでのブラウザー内エクスペリエンス- HTML5 のブラウザー機能を備えたFlashー以外のデバイスでは、Adobe Pass Authentication のブラウザーベースの統合に対する限定的な保護の代替手段となります。 ただし、HTML5 のデバイス・バインディングはそれほど強力ではないため、HTML5 のトークンの有効期間(TTL)は通常、短くなります。
  • 家庭内および家庭外デバイスのネイティブアプリサポート - Adobeでは、OS (iOS、Android、Windows 8 など)ごとにネイティブ SDK を提供します。 これにより、HTML5 ソリューションよりもセキュリティが強化されます。 これらの SDK は、ネイティブ API を使用してデバイス ID を取得し、Adobe Pass Authentication Server に安全に渡します。
  • クライアントレス - Adobe Pass認証では、安全な通信のために HTTPS プロトコルを使用します。 また、スマートデバイスからのすべての呼び出しは、デジタル署名が必要です。

FAQ faqs

TV Everywhere とは?
TV Everywhere と呼ばれる業界動向により、有料 TV のお客様は、パソコン、タブレット、スマートフォン、ゲーム機、セットトップボックス、「スマート」 TV など、インターネットに接続されたさまざまなデバイスですでに購入しているプレミアムコンテンツにアクセスできます。 この取り組みの課題は、認証プロセスをできるだけシンプルかつ簡単にして、お客様が法外な障壁や複数のログインなしに購読コンテンツにスムーズにアクセスできるようにすることです。

Adobe Pass Authentication とは何ですか?また、TV Everywhere とどのような関係がありますか?
Adobe Pass Authentication は、シンプルで安全な方法でコンテンツに対するユーザーの使用権限をスムーズに検証することで、コンセプトから現実まで、あらゆる場所で TV を利用します。 Adobe Pass Authentication は、プログラマーと有料テレビ プロバイダーの両方が必要とするビジネス ルールに基づいて、迅速なバックエンド統合を可能にするホスト サービスです。 つまり、すべての関係者に対する市場投入までの時間の短縮、不正を防ぐための安全な環境、優れた顧客体験を実現し、より多くのプラットフォームでより多くの人が利用できる多くのテレビコンテンツを提供できます。

Adobe Pass認証はどのように提供/配信されますか?
Adobe Pass認証は、サービスとしてのソフトウェア(SaaS)モデルを通じて提供されます。 これにより、エンドユーザー、プログラマー、有料テレビプロバイダー間で、コンテンツの使用権限を検証するために、より安全な通信が可能になります。 サービスのコアコンポーネントには、クライアントサイドのアクセスイネーブラ(または一部のデバイスのクライアントレス API)と、ホストされたAdobe Pass Authentication Server が含まれます。 アクセス・イネーブラは、プログラマの Web ページまたはプレーヤー・アプリケーションにロードされる小さなファイルです。 Adobe Passの Authentication Server と通信し、様々な有料 TV プロバイダーの Authentication System に組み込まれています。 Adobe Pass認証は、Web 対応ではない一部の「スマートデバイス」(スマート TV、セットトップボックス、ゲーム機など)に対して、統合へのクライアントレス API アプローチも提供します。 クライアントレスアプローチは、開発者がこれらのデバイスにAdobe Pass認証権限フローを実装できる RESTful web サービスを提供します。

Adobe Pass認証は、他の TV Everywhere ソリューションとどのように異なりますか?
Adobe Pass認証には、他の TV Everywhere ソリューションと比べて明らかなメリットがあります。 個々のプロバイダーとの直接統合では、ユーザーがインターネットを介してサイト間を移動する際に、1 つの永続的なログイン(SSO)の柔軟性が提供されません。 また、Adobe Pass Authentication は市場への浸透も著しく、プログラマーがAdobe Pass Authentication と統合すると、米国の世帯全体の 90% 以上を占める有料テレビ事業者と直ちに接続されます。 さらに、Adobe Pass Authentication は、Flashランタイム(利用可能な場合)に組み込まれている独自のセキュリティ機能を活用して詐欺を軽減すると同時に、SDK を提供するので、プログラマーは、Flashが利用できないモバイルや家庭内デバイス用のネイティブアプリに組み込まれている同じ TV Everywhere 機能を使用できます。 最後に、Adobe Pass Authentication はスタンドアロンサービスとして利用できますが、TV Everywhere コンテンツの配信、保護、収益化に関連する他のAdobe製品やサービス(Adobe PassやAdobe Analyticsなど)と緊密に統合することもできます。

Adobe Pass認証のセキュリティ保護
Adobe Pass認証アーキテクチャの第一の優先事項は、許可されたビューアのみが認証され、プレミアムコンテンツへのアクセスが許可されるようにすることです。 Adobe Pass認証は、表示デバイスへのアクセスを厳密にバインドし、特定の世帯のストリーム、セッション、デバイスを制限するのに役立ちます。

Flash Playerが必要ですか?
最も厳格なデバイスバインディングセキュリティには、AdobeFlash Player 11.x 以降が必要です。 ただし、TV Everywhere のAdobe Pass認証は、プレーヤーやプラットフォームに依存せず、Silverlight や Platform5 などの再生HTMLと統合されています。 さらに、Adobe PassFlash Playerでは、認証が使用できないiOS、Android、Xbox などのデバイスをネイティブサポートしています。 最後に、Adobe Pass認証は、web ページをレンダリングできないデバイス(ゲーム機、スマート TV、セットトップボックス)に対してクライアントレスのアプローチを提供します。

Adobe Pass Authentication はどのデバイスをサポートしていますか?
Adobe Pass認証は、ブラウザー内表示エクスペリエンス用のHTML5 web キットを備えた、事実上すべてのデバイスでサポートされています。 さらに、Adobe Pass認証では、iOS、Android™、Windows 8 など、デバイス固有の様々なプラットフォーム向けにネイティブのソフトウェア開発キット(SDK)を引き続き展開しています。 Adobe Pass認証は、一部の非 web 対応デバイス(スマート TV、セットトップボックス、ゲーム機など)を部分的にサポートしています。 RESTful web サービス API を使用する。

Adobe Pass Authentication は、TV Everywhere の新しい標準をサポートしていますか?
Adobe Pass Authentication は、オンラインのソースから有料テレビのお客様にビデオを配信するための技術要件およびアーキテクチャを提供する CableLabs OLCA (Online Content Access) 仕様に準拠しています。 Adobeは、2011 年 6 月に CableLabs 相互運用試験の共同プロジェクトに参加し、サービスプロバイダーの実装に関する試験プロセスに合格しました。 Adobe Pass認証は、認証用の OLCA 仕様に対して検証(完了およびテスト)されます。 認証コンポーネントは完成しましたが、テスト検証は CableLabs テスト環境のリリースを待っています(ETA 2011 年 11 月)。

また、Adobeは OATC (Open Authentication Technical Consortium:オープン認証技術コンソーシアム)の積極的なメンバーであり その一部として複数の分科会の仕様策定プロジェクトに参加しています。

Adobe Pass認証は、Federated Identity Management/シングルサインオン(SSO)をどのように処理しますか?
Adobe Pass認証を使用すると、Adobe Pass Authentication と対象の有料テレビ事業者の間でバックチャネル(サーバー間)通信を使用して、シングルサインオン(SSO)認証と承認を提供できます。 したがって、Adobe Pass Authentication を使用すると、Pay TV 事業者が認証を保持できる限り、加入者が最初の認証の後に再度ログインする必要はありません。 通常、この制限は 30 日に設定されます。 これを実現するために、Adobe Pass認証は、お客様に認証トークンの共通ドメインを提供します。 この認証状態情報は、特定の有料テレビ事業者と統合されているすべての参加サイトで利用できます。

現在、有料テレビ事業者とのAdobe Pass認証統合のほとんどは、主要な認証標準の 1 つである SAML プロトコルを使用しています。 Adobe Pass Authentication は、SAML アーキテクチャではプロキシサービスプロバイダーとして機能し、SAML 認証応答をAdobe共通ドメインのセキュアトークンとして保持します。 Adobe Pass認証は SAML 2.0 に準拠しています。

現時点では、Adobe Pass認証は通常 SAML SSO ソリューションで使用されますが、Adobe Pass認証アーキテクチャは、プログラマーの統合からプロトコルの詳細を抽象化します。 したがって、OAuth 2.0 ベースのプロトコルやカスタムプロトコルなどの新しいプロトコルのサポートは、時間の経過と共に追加できます。

エンドユーザーにとって、TV Everywhere のAdobe Pass認証にはどのくらいのコストがかかりますか?
Adobe Pass Authentication を使用する場合、エンドユーザーに追加コストはかかりません。

NOTE
次の手順: 詳しくは、Adobe担当者に問い合わせるか、情報のリクエスト フォーム こちらに入力します。
recommendation-more-help
3f5e655c-af63-48cc-9769-2b6803cc5f4b