PlayReady ドメイン

PlayReady ドメインと呼ばれる 1 つのエンティティを使用して、複数のクライアントのコンテンツ アクセスを管理できます。 PlayReady では、モバイル クライアントと埋め込みクライアントのライセンス取得が簡略化されているため、クライアントがサービス アクセスを共有するシナリオは、現在より一般的です。 ドメインは、モバイル デバイス クライアントを含む複数のクライアントに対して、簡素化され、より堅牢なサービス アクセスを提供します。

PlayReady は、クライアントが拡張可能なクライアント ID を持つ機能を追加します。 この拡張 ID は、クライアント上の証明書に格納され、エンティティ (ドメイン) に関連付けられています。 PlayReady は、特定のドメインの資格情報を持つクライアントをそのドメインのメンバーと見なし、そのドメインのメンバーシップに関連付けられた権限を付与します。

PlayReady ドメイン コントローラーがドメイン メンバーシップを管理します。 ドメイン コントローラーは、ドメインが何を表すか (ユーザー、ファミリ、ユーザーのグループなど) を決定し、それに関連付けられているエンティティの一覧を保持します。

ドメインの管理

ドメインを作成する前に、ドメイン コントローラーは証明機関 (CA) からルート証明書を取得する必要があります。 ドメイン コントローラーがルート証明書を取得したら、CA 証明書を信頼のルートとして使用するドメインごとに証明書を作成できます。

クライアントがドメインに参加すると、クライアントはそのドメインのドメイン証明書を受け取ります。 ドメイン証明書チェーン内の証明書が侵害された場合、コンテンツ チェーン内の証明書は無効になります。 既存の証明書が無効になった後、CA から新しいルート証明書を取得し、ドメイン コントローラーがドメイン証明書を再発行する必要があります。

ドメイン バインド

一部のシナリオでは、ドメイン秘密キーによって保護されたコンテンツ キーは、その特定のコンテンツのドメインに関連付けられているエンティティまたは "参加済み" エンティティにのみ送信されます。 ターゲット クライアントがコンテンツのキーを受け取る前に、そのコンテンツのドメインにクライアントを参加させる必要があります。 ターゲット クライアントは、ドメインに直接参加できます (通常、Web 接続を持つ電話の場合)。

次の図は、ドメイン参加を示しています。

上の図では、ターゲット クライアントからドメイン参加チャレンジ (1) が送信され、ドメイン コントローラーがターゲット クライアント (2) に直接応答します。 PlayReady Server Software Development Kit (SDK) には、結合要求メッセージを処理するためのインターフェイスが含まれています。

PlayReady Server SDK には、ドメインに参加しているクライアントを管理する機能が用意されています。 たとえば、ユーザーが新しいデバイスを購入し、ドメインから以前のデバイスを削除する場合、PlayReady はドメインからデバイスを削除できます。 開発者は、Web サービスまたはこの機能を有効にできるアプリケーションを使用して、デバイス管理ポータルを作成できます。

更新可能性

ドメインの更新可能性により、以前に取得したコンテンツを無効にすることなく、ドメイン証明書をアップグレードできます。 更新可能性がなければ、ドメイン上の 1 つのエンティティのコンテンツ違反では、ドメイン上のすべてのエンティティが保護されたコンテンツを再取得する必要があります。 更新可能性は、バージョンが変更されたときにドメイン内のすべての現在の証明書を無効にし、新しい秘密キーに関連付けられている新しいバージョンの証明書を追加することによって有効になります。 新しいコンテンツが取得されるたびに、クライアントは新しいバージョンにバインドする必要があります。