Partager via


Domaines PlayReady

Vous pouvez gérer l’accès au contenu pour plusieurs clients via une seule entité, appelée domaine PlayReady. Étant donné que PlayReady introduit l’acquisition simplifiée de licences pour les clients mobiles et incorporés, le scénario dans lequel les clients partagent l’accès au service est aujourd’hui plus courant. Les domaines fournissent un accès de service simplifié et plus robuste pour plusieurs clients, y compris les clients d’appareils mobiles.

PlayReady permet aux clients d’avoir des identités clientes extensibles. Cette identité étendue est stockée sur un certificat sur le client et est associée à une entité (un domaine). PlayReady considère que les clients disposant d’informations d’identification pour un domaine particulier sont membres de ce domaine et leur accorde des droits associés à l’appartenance à ce domaine.

Un contrôleur de domaine PlayReady gère l’appartenance au domaine. Le contrôleur de domaine détermine ce que représente le domaine (un utilisateur, une famille ou un groupe d’utilisateurs, par exemple) et contient une liste d’entités qui lui sont associées.

Remarque

Un domaine PlayReady n’est pas le même que les domaines réseau ou Web.

Gestion de domaine

Avant de pouvoir créer un domaine, le contrôleur de domaine doit acquérir un certificat racine auprès d’une autorité de certification. Une fois que le contrôleur de domaine a un certificat racine, il peut créer des certificats pour chaque domaine qui utilise le certificat d’autorité de certification comme racine d’approbation.

Lorsqu’un client rejoint un domaine, le client reçoit un certificat de domaine pour ce domaine. Si un certificat dans la chaîne de certificats de domaine est compromis, les certificats de la chaîne de contenu deviennent invalidés. Une fois les certificats existants invalidés, un nouveau certificat racine doit être acquis à partir de l’autorité de certification et le contrôleur de domaine doit réémettre les certificats de domaine.

Liaison de domaine

Dans certains scénarios, les clés de contenu protégées par des clés privées de domaine sont transmises uniquement aux entités associées ou « jointes à » un domaine pour ce contenu particulier. Avant que le client cible puisse recevoir des clés pour le contenu, le client doit être joint au domaine pour ce contenu. Les clients cibles peuvent joindre directement un domaine (généralement pour les téléphones qui disposent d’une connectivité Web).

La figure suivante illustre une jointure de domaine.

Direct Domain Join

Dans la figure ci-dessus, le client cible envoie un défi de jointure de domaine (1) et le contrôleur de domaine répond ensuite directement au client cible (2). Le Kit de développement logiciel (SDK) PlayReady Server contient les interfaces permettant de gérer les messages de demande de jointure.

Le Kit de développement logiciel (SDK) PlayReady Server fournit la fonctionnalité permettant de gérer les clients joints à un domaine. Par exemple, PlayReady peut supprimer un appareil d’un domaine si l’utilisateur a acheté un nouvel appareil et souhaite supprimer son ancien appareil du domaine. Les développeurs peuvent créer un portail de gestion des appareils à l’aide d’un service Web ou d’une application qui peut activer cette fonctionnalité.

Renouvelabilité

Le renouvellement de domaine permet de mettre à niveau les certificats de domaine sans invalider le contenu acquis précédemment. Sans renouvellement, les violations de contenu d’une entité sur un domaine nécessitent que toutes les entités du domaine réacquirent leur contenu protégé. Le renouvellement est activé en invalidant tous les certificats actuels dans un domaine lorsque la version est révisée, puis en ajoutant un certificat plus récent associé à une nouvelle clé privée. Chaque fois que le nouveau contenu est acquis, le client doit être lié à la nouvelle version.

Remarque

Le renouvellement est différent de la révocation, car le contenu des certificats invalidés est toujours lu sur les appareils associés au domaine et les appareils continuent de fonctionner.