Домены PlayReady
Вы можете управлять доступом к содержимому для нескольких клиентов с помощью одной сущности, называемой доменом PlayReady. Так как PlayReady представляет упрощенное приобретение лицензий для мобильных и внедренных клиентов, в этом сценарии, в котором клиенты совместно используют доступ к службам, в настоящее время более распространен. Домены обеспечивают упрощенный и надежный доступ к службам для нескольких клиентов, включая клиенты мобильных устройств.
PlayReady позволяет клиентам иметь расширяемые удостоверения клиентов. Это расширенное удостоверение хранится в сертификате на клиенте и связано с сущностью (доменом). PlayReady рассматривает клиенты с учетными данными для определенного домена как членов этого домена и предоставляет им права, связанные с членством в этом домене.
Контроллер домена PlayReady управляет членством в домене. Контроллер домена определяет, что представляет домен (например, пользователь, семья или группа пользователей) и содержит список связанных с ним сущностей.
Примечание
Домен PlayReady не совпадает с сетевыми или веб-доменами.
Перед созданием домена контроллер домена должен получить корневой сертификат из центра сертификации (ЦС). После того как контроллер домена имеет корневой сертификат, он может создавать сертификаты для каждого домена, который использует сертификат ЦС в качестве корня доверия.
Когда клиент присоединяется к домену, клиент получает сертификат домена для этого домена. В случае компрометации сертификата в цепочке сертификатов домена сертификаты в цепочке содержимого становятся недействительными. После того как существующие сертификаты становятся недействительными, необходимо получить новый корневой сертификат из ЦС, а контроллер домена должен повторно получить сертификаты домена.
В некоторых сценариях ключи содержимого, защищенные закрытыми ключами домена, передаются только сущностям, связанным с доменом или присоединенным к домену для этого конкретного содержимого. Прежде чем целевой клиент сможет получать ключи для содержимого, клиент должен быть присоединен к домену для этого содержимого. Целевые клиенты могут напрямую присоединиться к домену (обычно для телефонов с веб-подключением).
На следующем рисунке показано присоединение к домену.
На приведенном выше рисунке целевой клиент отправляет запрос на присоединение к домену (1), а затем контроллер домена напрямую отвечает на целевой клиент (2). Пакет средств разработки программного обеспечения (SDK) playReady Server содержит интерфейсы для обработки сообщений запроса на присоединение.
Пакет SDK для сервера PlayReady предоставляет функции управления клиентами, присоединенными к домену. Например, PlayReady может удалить устройство из домена, если пользователь приобрел новое устройство и хочет удалить его или ее более старое устройство из домена. Разработчики могут создать портал управления устройствами с помощью веб-службы или приложения, которое может включить эту функцию.
Возможность продления домена позволяет обновлять сертификаты домена без отмены ранее приобретенного содержимого. Без возможности продления нарушение безопасности содержимого одной сущности в домене потребует от всех сущностей в домене для повторного получения защищенного содержимого. Возможность продления включается путем отмены всех текущих сертификатов в домене при изменении версии и последующем добавлении нового сертификата, связанного с новым закрытым ключом. При получении нового содержимого клиент должен привязаться к новой версии.
Примечание
Возможность продления отличается от отзыва, так как содержимое для недействительных сертификатов по-прежнему воспроизводится на устройствах, связанных с доменом, и устройства продолжают работать.