サービストークンフローを使用したシングルサインオン single-sign-on-service-token-full-flows
サービストークンを使用すると、複数のアプリケーションで一意のユーザー ID を使用して、Adobe Pass サービスの使用時に複数のデバイスやプラットフォームにわたってシングルサインオン(SSO)を実現できます。
アプリケーションは、Adobe Pass システムの外部で外部 ID サービスを使用して、一意のユーザー ID ペイロードを取得する役割を果たします。例えば、次のようなものがあります。
- ユーザーが同じ資格情報を使用して各デバイスにログインし、同じユーザー ID またはユーザーアカウント名に関連付けられている、ダイレクト ツーコンシューマー(DTC) サービス。
- GoogleやFacebookなどのサードパーティの認証サービス。ユーザーは同じ資格情報を使用して各デバイスにログインし、同じメールアドレスに関連付けられます。
アプリケーションは、この一意のユーザー ID ペイロードを指定するすべてのリクエストの AD-Service-Token ヘッダーの一部として含める責任があります。
ヘッダーについて詳 AD-Service-Token くは、AD-Service-Token ドキュメントを参照してください。
サービストークンを使用したシングルサインオンによる認証の実行 performing-authentication-flow-using-service-token-single-sign-on-method
前提条件 prerequisites-scenario-performing-authentication-flow-using-service-token-single-sign-on-method
サービストークンを使用してシングルサインオンを通じた認証フローを実行する前に、次の前提条件が満たされていることを確認します。
- 外部 ID サービスは、複数のデバイスとプラットフォームにまたがって、すべてのアプリケーション
JWS対してペイロードとして一貫した情報を返す必要があります。 - 最初のストリーミングアプリケーションは、一意のユーザー識別子を取得し、それを指定するすべてのリクエストの AD-Service-Token ヘッダーの一部として
JWSペイロードを含める必要があります。 - 最初のストリーミングアプリケーションは MVPD を選択する必要があります。
- 最初のストリーミングアプリケーションは、選択した MVPD でログインするための認証セッションを開始する必要があります。
- 最初のストリーミングアプリケーションは、ユーザーエージェントで選択された MVPD を使用して認証する必要があります。
- 2 番目のストリーミングアプリケーションは、一意のユーザー識別子を取得し、それを指定するすべてのリクエストの AD-Service-Token ヘッダーの一部として
JWSペイロードを含める必要があります。
- 最初のストリーミングアプリケーションは、MVPD を選択するためのユーザーインタラクションをサポートしています。
- 最初のストリーミングアプリケーションは、ユーザーエージェント内の選択された MVPD で認証するユーザーインタラクションをサポートしています。
ワークフロー workflow-steps-scenario-performing-authentication-flow-using-service-token-single-sign-on-method
次の図に示すように、サービストークンを使用してシングルサインオンを通じて認証フローを実装するには、指定された手順を実行します。
サービストークンを使用したシングルサインオンによる認証の実行
-
ID サービスによる認証: 最初のストリーミングアプリケーションは、Adobe Pass システムの外部で ID サービスを呼び出し、一意のユーザー ID に関連付けられた
JWSペイロードを取得します。 -
一意のユーザー ID を JWS として返す: 最初のストリーミングアプリケーションは、基本的なセキュリティ条件が満たされていることを確認するために応答データを検証します。
- ペイロードが期限切れではありません。
- ペイロードが署名されました。
-
認証セッションの作成: 最初のストリーミングアプリケーションは、セッションエンドポイントを呼び出して認証セッションを開始するために必要なすべてのデータを収集します。
note important IMPORTANT 次について詳しくは、 認証セッションの作成API ドキュメントを参照してください。 serviceProvider、mvpd、domainName、redirectUrlなどのすべての 必須 パラメーターAuthorization、AP-Device-Identifierなどのすべての 必須 ヘッダー- すべての オプション パラメーターおよびヘッダー
ストリーミングアプリケーションは、リクエストを行う前に、一意のユーザー識別子に有効な値が含まれていることを確認する必要があります。 ヘッダーについて詳 AD-Service-Tokenくは、AD-Service-Token ドキュメントを参照してください。 -
次のアクションを示す: セッションエンドポイント応答には、次のアクションに関する最初のストリーミングアプリケーションをガイドするために必要なデータが含まれています。
note important IMPORTANT セッション応答で提供される情報について詳しくは、 認証セッションの作成API ドキュメントを参照してください。 セッション エンドポイントは、基本的な条件が満たされていることを確認するために、リクエストデータを検証します。 - required パラメーターおよびヘッダーは有効である必要があります。
- 指定した
serviceProviderとmvpdの統合はアクティブである必要があります。
検証に失敗した場合は、エラー応答が生成され、 拡張エラーコードドキュメントに従った追加情報が提供されます。 -
ユーザーエージェントで URL を開く: セッションエンドポイントの応答には、次のデータが含まれます。
- MVPD ログインページ内でインタラクティブ認証を開始するために使用できる
url。 actionName属性は「authenticate」に設定されています。actionType属性は「interactive」に設定されます。
Adobe Pass バックエンドが有効なプロファイルを識別できない場合、最初のストリーミングアプリケーションがユーザーエージェントを開いて指定された
urlを読み込み、Authenticate エンドポイントにリクエストを送信します。 このフローには、複数のリダイレクトが含まれ、最終的にユーザーが MVPD ログインページに移動して、有効な資格情報を提供する場合があります。 - MVPD ログインページ内でインタラクティブ認証を開始するために使用できる
-
Complete MVPD authentication: 認証フローが正常に完了すると、ユーザーエージェントインタラクションは通常のプロファイルをAdobe Pass バックエンドに保存し、指定された
redirectUrlに到達します。 -
特定のコードのプロファイルを取得: 最初のストリーミングアプリケーションは、プロファイルエンドポイントにリクエストを送信してプロファイル情報を取得するために必要なすべてのデータを収集します。
note important IMPORTANT 次について詳しくは、 特定のコードのプロファイルの取得API ドキュメントを参照してください。 serviceProvider、codeなどのすべての 必須 パラメーターAuthorization、AP-Device-Identifierなどのすべての 必須 ヘッダー- すべての オプション パラメーターおよびヘッダー
note tip TIP 提案:ストリーミングアプリケーションは、ユーザーエージェントが指定された redirectUrlに到達するのを待って、通常のプロファイルが正常に生成および保存されたかどうかを確認できます。 -
標準プロファイルを検索: Adobe Pass サーバーは、受信したパラメーターとヘッダーに基づいて有効なプロファイルを識別します。
-
通常のプロファイルに関する情報を返す: プロファイルエンドポイント応答には、受信したパラメーターとヘッダーに関連付けられた、見つかったプロファイルに関する情報が含まれます。
note important IMPORTANT プロファイル応答で提供される情報について詳しくは、 特定のコードのプロファイルの取得API ドキュメントを参照してください。 プロファイルエンドポイントは、基本条件が満たされていることを確認するために、リクエストデータを検証します。 - required パラメーターおよびヘッダーは有効である必要があります。
検証に失敗した場合は、エラー応答が生成され、 拡張エラーコードドキュメントに従った追加情報が提供されます。 -
決定フローで続行: 最初のストリーミングアプリケーションは、後続の決定フローで続行できます。
note important IMPORTANT ストリーミングアプリケーションは、リクエストを行う前に、一意のユーザー識別子に有効な値が含まれていることを確認する必要があります。 ヘッダーについて詳 AD-Service-Tokenくは、AD-Service-Token ドキュメントを参照してください。 -
ID サービスによる認証: 2 つ目のストリーミングアプリケーションは、Adobe Pass システムの外部で ID サービスを呼び出し、一意のユーザー ID に関連付けられた
JWSペイロードを取得します。 -
一意のユーザー ID を JWS として返す: 2 番目のストリーミングアプリケーションは、基本的なセキュリティ条件が満たされていることを確認するために応答データを検証します。
- ペイロードが期限切れではありません。
- ペイロードが署名されました。
-
プロファイルの取得: 2 番目のストリーミングアプリケーションは、プロファイルエンドポイントにリクエストを送信して、すべてのプロファイル情報を取得するために必要なすべてのデータを収集します。
note important IMPORTANT 次について詳しくは、 プロファイルの取得API ドキュメントを参照してください。 serviceProviderのようなすべての 必須 パラメーターAuthorization、AP-Device-Identifierなどのすべての 必須 ヘッダー- すべての オプション パラメーターおよびヘッダー
ストリーミングアプリケーションは、リクエストを行う前に、一意のユーザー識別子に有効な値が含まれていることを確認する必要があります。 ヘッダーについて詳 AD-Service-Tokenくは、AD-Service-Token ドキュメントを参照してください。 -
シングルサインオンプロファイルの検索: Adobe Pass サーバーは、受信したパラメーターとヘッダーに基づいて有効なシングルサインオンプロファイルを識別します。
-
シングルサインオンプロファイルに関する情報を返す: プロファイルエンドポイント応答には、受信したパラメーターとヘッダーに関連付けられた、見つかったプロファイルに関する情報が含まれます。
note important IMPORTANT プロファイル応答で提供される情報について詳しくは、 プロファイルの取得API ドキュメントを参照してください。 プロファイルエンドポイントは、基本条件が満たされていることを確認するために、リクエストデータを検証します。 - required パラメーターおよびヘッダーは有効である必要があります。
検証に失敗した場合は、エラー応答が生成され、 拡張エラーコードドキュメントに従った追加情報が提供されます。 -
決定フローで続行: 2 番目のストリーミングアプリケーションは、後続の決定フローで続行できます。
note important IMPORTANT ストリーミングアプリケーションは、リクエストを行う前に、一意のユーザー識別子に有効な値が含まれていることを確認する必要があります。 ヘッダーについて詳 AD-Service-Tokenくは、AD-Service-Token ドキュメントを参照してください。
サービストークンを使用したシングルサインオンを通じた認証決定の取得 performing-authorization-flow-using-service-token-single-sign-on-method
前提条件 prerequisites-scenario-performing-authorization-flow-using-service-token-single-sign-on-method
サービストークンを使用してシングルサインオンを通じて認証フローを実行する前に、次の前提条件が満たされていることを確認します。
- 外部 ID サービスは、複数のデバイスとプラットフォームにまたがって、すべてのアプリケーション
JWS対してペイロードとして一貫した情報を返す必要があります。 - 最初のストリーミングアプリケーションは、一意のユーザー識別子を取得し、それを指定するすべてのリクエストの AD-Service-Token ヘッダーの一部として
JWSペイロードを含める必要があります。 - 2 つ目のストリーミングアプリケーションでは、ユーザーが選択したリソースを再生する前に、認証決定を取得する必要があります。
ワークフロー workflow-steps-scenario-performing-authorization-flow-using-service-token-single-sign-on-method
次の図に示すように、サービストークンを使用してシングルサインオンを通じて認証フローを実装するには、指定された手順を実行します。
サービストークンを使用したシングルサインオンを通じた認証決定の取得
-
ID サービスによる認証: 2 つ目のストリーミングアプリケーションは、Adobe Pass システムの外部で ID サービスを呼び出し、一意のユーザー ID に関連付けられた
JWSペイロードを取得します。 -
一意のユーザー ID を JWS として返す: 2 番目のストリーミングアプリケーションは、基本的なセキュリティ条件が満たされていることを確認するために応答データを検証します。
- ペイロードが期限切れではありません。
- ペイロードが署名されました。
-
認証決定の取得: 2 番目のストリーミングアプリケーションは、決定の承認エンドポイントを呼び出して、特定のリソースの認証決定を取得するために必要なすべてのデータを収集します。
note important IMPORTANT 次の項目について詳しくは、 特定の mvpd を使用した認証決定の取得API ドキュメントを参照してください。 serviceProvider、mvpd、resourcesなど、すべての 必須 パラメーターAuthorizationやAP-Device-Identifierなど、すべての 必須 ヘッダー- すべての オプション パラメーターおよびヘッダー
ストリーミングアプリケーションは、リクエストを行う前に、一意のユーザー識別子に有効な値が含まれていることを確認する必要があります。 ヘッダーについて詳 AD-Service-Tokenくは、AD-Service-Token ドキュメントを参照してください。 -
シングルサインオンプロファイルの検索: Adobe Pass サーバーは、受信したパラメーターとヘッダーに基づいて有効なシングルサインオンプロファイルを識別します。
-
リクエストされたリソースの MVPD 決定を取得: Adobe Pass サーバーは MVPD 認証エンドポイントを呼び出して、ストリーミングアプリケーションから受信した特定のリソースに関する
PermitまたはDenyの決定を取得します。 -
メディアトークン
Permit決定を返す: 決定の承認エンドポイント応答には、Permit決定とメディアトークンが含まれています。note important IMPORTANT 決定応答で提供される情報について詳しくは、 特定の mvpd を使用した認証の決定の取得API ドキュメントを参照してください。 決定の認証エンドポイントは、基本条件が満たされていることを確認するためにリクエストデータを検証します。 - required パラメーターおよびヘッダーは有効である必要があります。
- 指定した
serviceProviderとmvpdの統合はアクティブである必要があります。
検証に失敗した場合は、エラー応答が生成され、 拡張エラーコードドキュメントに従った追加情報が提供されます。 -
メディアトークンでストリームを開始: 2 番目のストリーミングアプリケーションは、メディアトークンを使用してコンテンツを再生します。
-
詳細を含んだ決定
Deny返す: 決定の承認承認エンドポイント応答には、 拡張エラーコードドキュメントに従ったDeny決定とエラーペイロードが含まれています。note important IMPORTANT 決定応答で提供される情報について詳しくは、 特定の mvpd を使用した認証の決定の取得API ドキュメントを参照してください。 決定の認証エンドポイントは、基本条件が満たされていることを確認するためにリクエストデータを検証します。 - required パラメーターおよびヘッダーは有効である必要があります。
- 指定した
serviceProviderとmvpdの統合はアクティブである必要があります。
検証に失敗した場合は、エラー応答が生成され、 拡張エラーコードドキュメントに従った追加情報が提供されます。 -
決定の詳細
Deny処理: 2 番目のストリーミングアプリケーションは、応答からのエラー情報を処理し、それを使用して、オプションで特定のメッセージをユーザーインターフェイスに表示できます。