PlayReady ドメインと呼ばれる 1 つのエンティティを使用して、複数のクライアントのコンテンツ アクセスを管理できます。 PlayReady では、モバイル クライアントと埋め込みクライアントのライセンス取得が簡略化されているため、クライアントがサービス アクセスを共有するシナリオが一般的になりました。 ドメインは、モバイル デバイス クライアントを含む複数のクライアントに対して、簡素化された堅牢なサービス アクセスを提供します。
PlayReady は、クライアントが拡張可能なクライアント ID を持つ機能を追加します。 この拡張 ID は、クライアント上の証明書に格納され、エンティティ (ドメイン) に関連付けられます。 PlayReady は、特定のドメインの資格情報を持つクライアントをそのドメインのメンバーと見なし、そのドメインのメンバーシップに関連付けられている権限を付与します。
PlayReady ドメイン コントローラーは、ドメイン メンバーシップを管理します。 ドメイン コントローラーは、ドメインが何を表すか (ユーザー、ファミリ、またはユーザーのグループなど) を決定し、それに関連付けられているエンティティの一覧を保持します。
注
PlayReady ドメインは、ネットワーク ドメインまたは Web ドメインと同じではありません。
ドメインの管理
ドメインを作成する前に、ドメイン コントローラーは証明機関 (CA) からルート証明書を取得する必要があります。 ドメイン コントローラーは、ルート証明書を取得したら、信頼のルートとして CA 証明書を使用するドメインごとに証明書を作成できます。
クライアントがドメインに参加すると、クライアントはそのドメインのドメイン証明書を受け取ります。 ドメイン証明書チェーン内の証明書が侵害された場合、コンテンツ チェーン内の証明書は無効になります。 既存の証明書が無効になったら、CA から新しいルート証明書を取得し、ドメイン コントローラーでドメイン証明書を再発行する必要があります。
ドメイン バインド
一部のシナリオでは、ドメイン秘密キーによって保護されたコンテンツ キーは、その特定のコンテンツのドメインに関連付けられているエンティティまたは "参加済み" エンティティにのみ送信されます。 ターゲット クライアントがコンテンツのキーを受け取る前に、そのコンテンツのドメインにクライアントを参加させる必要があります。 ターゲット クライアントはドメインに直接参加できます (Web 接続を持つ電話の場合に一般的)。
次の図は、ドメイン参加を示しています。
上の図では、ターゲット クライアントがドメイン参加チャレンジ (1) を送信し、ドメイン コントローラーがターゲット クライアント (2) に直接応答します。 PlayReady Server Software Development Kit (SDK) には、結合要求メッセージを処理するためのインターフェイスが含まれています。
PlayReady Server SDK には、ドメインに参加しているクライアントを管理する機能が用意されています。 たとえば、ユーザーが新しいデバイスを購入し、以前のデバイスをドメインから削除する場合、PlayReady はドメインからデバイスを削除できます。 開発者は、Web サービスまたはこの機能を有効にできるアプリケーションを使用して、デバイス管理ポータルを作成できます。
更新可能性
ドメインの更新可能性により、以前に取得したコンテンツを無効にすることなく、ドメイン証明書をアップグレードできます。 更新ができない場合、ドメイン上の 1 つのエンティティのコンテンツ侵害では、ドメイン上のすべてのエンティティが保護されたコンテンツを再取得する必要があります。 更新可能性は、バージョンが変更されたときにドメイン内のすべての現在の証明書を無効にしてから、新しい秘密キーに関連付けられている新しいバージョンの証明書を追加することで有効になります。 新しいコンテンツが取得されるたびに、クライアントは新しいバージョンにバインドする必要があります。
注
無効な証明書のコンテンツはドメインに関連付けられているデバイスで引き続き再生され、デバイスは引き続き機能するため、更新可能性は失効とは異なります。