Domaines PlayReady

Vous pouvez gérer l’accès au contenu pour plusieurs clients via une seule entité, appelée domaine PlayReady. Étant donné que PlayReady introduit l’acquisition simplifiée de licences pour les clients mobiles et incorporés, le scénario dans lequel les clients partagent l’accès au service est aujourd’hui plus courant. Les domaines offrent un accès de service simplifié et plus robuste pour plusieurs clients, y compris les clients d’appareils mobiles.

PlayReady ajoute la possibilité pour les clients d’avoir des identités clientes extensibles. Cette identité étendue est stockée sur un certificat sur le client et est associée à une entité (un domaine). PlayReady considère que les clients disposant d’informations d’identification pour un domaine particulier sont membres de ce domaine et leur accorde des droits associés à l’appartenance à ce domaine.

Un contrôleur de domaine PlayReady gère l’appartenance au domaine. Le contrôleur de domaine détermine ce que représente le domaine (un utilisateur, une famille ou un groupe d’utilisateurs, par exemple) et contient une liste d’entités qui lui sont associées.

Gestion de domaine

Avant de pouvoir créer un domaine, le contrôleur de domaine doit acquérir un certificat racine auprès d’une autorité de certification. Une fois que le contrôleur de domaine a un certificat racine, il peut créer des certificats pour chaque domaine qui utilise le certificat d’autorité de certification comme racine d’approbation.

Lorsqu’un client rejoint un domaine, le client reçoit un certificat de domaine pour ce domaine. Si un certificat dans la chaîne de certificats de domaine est compromis, les certificats de la chaîne de contenu deviennent invalidés. Une fois les certificats existants invalidés, un nouveau certificat racine doit être acquis auprès de l’autorité de certification et le contrôleur de domaine doit réémettre les certificats de domaine.

Liaison de domaine

Dans certains scénarios, les clés de contenu protégées par des clés privées de domaine sont transmises uniquement aux entités associées ou « jointes à » d’un domaine pour ce contenu particulier. Avant que le client cible puisse recevoir des clés pour le contenu, le client doit être joint au domaine pour ce contenu. Les clients cibles peuvent joindre directement un domaine (généralement pour les téléphones disposant d’une connectivité Web).

La figure suivante illustre une jointure de domaine.

Dans la figure ci-dessus, le client cible envoie un défi de jointure de domaine (1) et le contrôleur de domaine répond ensuite directement au client cible (2). Le Kit de développement logiciel (SDK) PlayReady Server contient les interfaces permettant de gérer les messages de demande de jointure.

Le Kit de développement logiciel (SDK) PlayReady Server fournit la fonctionnalité de gestion des clients joints à un domaine. Par exemple, PlayReady peut supprimer un appareil d’un domaine si l’utilisateur a acheté un nouvel appareil et souhaite supprimer son ancien appareil du domaine. Les développeurs peuvent créer un portail de gestion des appareils à l’aide d’un service Web ou d’une application qui peut activer cette fonctionnalité.

Renouvelabilité

Le renouvellement du domaine permet la mise à niveau des certificats de domaine sans invalider le contenu acquis précédemment. Sans renouvellement, les violations de contenu d’une entité sur un domaine nécessitent que toutes les entités du domaine réacquirent leur contenu protégé. Le renouvellement est activé en invalidant tous les certificats actuels dans un domaine lorsque la version est révisée, puis en ajoutant un certificat version plus récente associé à une nouvelle clé privée. Chaque fois que le nouveau contenu est acquis, le client doit se lier à la nouvelle version.