Domínios PlayReady
Você pode gerenciar o acesso ao conteúdo para vários clientes por meio de uma única entidade, chamada de domínio PlayReady. Como o PlayReady apresenta a aquisição simplificada de licenças para clientes móveis e inseridos, o cenário em que os clientes estão compartilhando o acesso ao serviço é hoje mais comum. Os domínios fornecem acesso de serviço simplificado e mais robusto para vários clientes, incluindo clientes de dispositivo móvel.
O PlayReady adiciona a capacidade de os clientes terem identidades de cliente extensíveis. Essa identidade estendida é armazenada em um certificado no cliente e está associada a uma entidade (um domínio). O PlayReady considera os clientes com credenciais para um domínio específico serem membros desse domínio e concede a eles direitos associados à associação nesse domínio.
Um controlador de domínio PlayReady gerencia a associação de domínio. O controlador de domínio determina o que o domínio representa (um usuário, uma família ou um grupo de usuários, por exemplo) e contém uma lista de entidades associadas a ele.
Observação
Um domínio PlayReady não é o mesmo que domínios da Rede ou da Web.
Antes de criar um domínio, o controlador de domínio deve adquirir um certificado raiz de uma AC (autoridade de certificação). Depois que o controlador de domínio tiver um certificado raiz, ele poderá criar certificados para cada domínio que usa o certificado de AC como uma raiz de confiança.
Quando um cliente ingressa em um domínio, o cliente recebe um certificado de domínio para esse domínio. Caso um certificado na cadeia de certificados de domínio seja comprometido, os certificados na cadeia de conteúdo serão invalidados. Depois que os certificados existentes forem invalidados, um novo certificado raiz deverá ser adquirido da AC e o controlador de domínio deverá reemissar certificados de domínio.
Em alguns cenários, as chaves de conteúdo protegidas por chaves privadas de domínio são transmitidas apenas para entidades associadas ou "ingressadas" em um domínio para esse conteúdo específico. Antes que o cliente de destino possa receber chaves para conteúdo, o cliente deve ser ingressado no domínio desse conteúdo. Os clientes de destino podem ingressar diretamente em um domínio (típico para telefones que têm conectividade com a Web).
A figura a seguir ilustra uma junção de domínio.
Na figura acima, o cliente de destino envia um desafio de junção de domínio (1) e o controlador de domínio responde diretamente ao cliente de destino (2). O SDK (PlayReady Server Software Development Kit) contém as interfaces para lidar com mensagens de solicitação de junção.
O SDK do PlayReady Server fornece a funcionalidade para gerenciar clientes ingressados em um domínio. Por exemplo, o PlayReady pode remover um dispositivo de um domínio se o usuário tiver comprado um novo dispositivo e quiser remover seu dispositivo mais antigo do domínio. Os desenvolvedores podem criar um portal de gerenciamento de dispositivos usando um serviço Web ou um aplicativo que pode habilitar essa funcionalidade.
A renovação de domínio permite que os certificados de domínio sejam atualizados sem invalidar o conteúdo adquirido anteriormente. Sem a renovação, as violações de conteúdo de uma entidade em um domínio exigiriam que todas as entidades no domínio requisição do conteúdo protegido. A renovabilidade é habilitada invalidando todos os certificados atuais em um domínio quando a versão é revisada e, em seguida, adicionando um certificado com versão mais recente associado a uma nova chave privada. Sempre que um novo conteúdo é adquirido, o cliente deve se associar à nova versão.
Observação
A renovação é diferente da revogação porque o conteúdo para certificados invalidados ainda é reproduzido em dispositivos associados ao domínio e os dispositivos continuam funcionando.