Présentation
Ce document détaille la configuration de la manière dont vous pouvez utiliser votre fournisseur d'identité basé sur OIDC pour authentifier vos spectateurs dans les applications Brightcove Beacon. Avant d'entrer dans les détails, il est utile d'avoir une vue d'ensemble du processus. Considérez votre application Beacon comme un guichet automatique bancaire. Ce dont l'utilisateur a besoin, c'est d'une carte bancaire pour accéder à l'argent au guichet automatique. De même, votre spectateur a besoin d'un identifiant pour accéder aux vidéos de votre application Beacon. Voici un tableau reliant les entités dans l'analogie:
| ATM/carte bancaire | Application Beacon |
|---|---|
| GUICHET AUTOMATIQUE | Application Beacon |
| Fonctionnalité/connectivité ATM pour autoriser la transaction | OAuth 2.0 |
| Carte bancaire | Jeton Web JSON (JWT) d'OIDC |
| Procédure d'émission d'une carte bancaire | OIDC |
Tout comme la carte bancaire doit avoir le guichet automatique et les fonctionnalités sous-jacentes de cet appareil, OIDC doit disposer d'OAuth pour fonctionner. On dit souvent que l'OIDC se trouve au-dessus-fr/ d'OAuth.
Configuration et test de l'authentification
Effectuez les tâches suivantes pour configurer et tester votre fournisseur d'identité OIDC avec Beacon:
- Obtenez auprès de Brightcove les URL de rappel à ajouter au fournisseur OIDC en tant qu'URI de redirection autorisés. Le fournisseur d'identité utilise ces URI pour rediriger les utilisateurs avec leur code d'autorisation URL de connexion vers des environnements d'assurance qualité et de test. Les deux environnements spécifient les URI de redirection pour rediriger l'utilisateur avec son code d'autorisation.
- Mettre en œuvre et fournir des points de terminaison d'API à l'équipe de livraison OTT pour les réponses suivantes:
- Jeton d'accès (JWT)
- Jeton d'identification (JWT)
- jeton d'actualisation
- Info utilisateur
- Autoriser
- Codes de couplage - requis uniquement si Smart TV, Android TV, Fire TV ou Apple TV font partie du champ d'application ; voir les notes relatives à Roku
- JWKS
- Déconnexion
- OpenID Connect Discovery (/.well-known/openid-configuration) - S'il est correctement configuré et fourni, l'équipe de livraison OTT peut découvrir les points de terminaison et fournir un ticket d'ingénierie Beacon comme indiqué à l'étape f. Ci-dessous
- Configurez les URL de redirection pour la connexion et la déconnexion en tant qu'URL de redirection autorisées, si votre fournisseur d'identité l'exige.
- Créez un ID client pour toutes les applications concernées et transmettez-les à l'équipe de livraison OTT.
- Crée des utilisateurs de test dans votre fournisseur d'identité et fournit des identifiants de test à l'équipe de livraison OTT.
Pour votre information, les entités Brightcove vont ensuite:
- L'équipe de livraison OTT crée un ticket avec les données des étapes 2 et 5 ci-dessus pour Beacon CMS dans le tableau OTT.
- L'équipe de livraison OTT crée un ticket avec les données des étapes 4 et 5 ci-dessus pour les applications Beacon Beacon dans le tableau OTT.
- L'équipe Beacon CMS configure Beacon CMS avec les URL de l'étape 6 ci-dessus.
- Les équipes d'applications Beacon configurent les applications avec l'ID client de l'étape 5 ci-dessus et testent le développement avec les utilisateurs de test fournis.
- Les équipes QA de l'équipe de livraison OTT valident l'authentification de bout en bout avant de qualifier les versions pour la version UAT.
Tokens et réponse des utilisateurs
Trois jetons sont impliqués pour que votre fournisseur d'identité basé sur OIDC authentifie vos spectateurs, à savoir:
- jeton d'accès
- id_token
- jeton refresh_token
Jeton d'accès
Le jeton d'accès doit avoir les revendications suivantes pour la prise en charge de l'authentification uniquement:
- sous
- baiser
- exp
- iat
- AUD (uniquement si demandé)
Voici un exemple de réponse de jeton d'accès que votre point de terminaison de jeton de fournisseur OIDC peut fournir:
Voici le jeton d'accès décodé:
Jeton d'identification
Le jeton d'identification doit avoir les revendications suivantes pour la prise en charge de l'authentification uniquement:
- sous
- baiser
- exp
- iat
- dollar australien
- nonce
Voici un exemple de réponse de jeton d'identification que votre point de terminaison de jeton de fournisseur OIDC peut fournir:
Voici le jeton d'identification décodé:
jeton d'actualisation
Le jeton d'actualisation n'est qu'un identifiant. Il ne contient aucune donnée. Les données sont le jeton lui-même.
Réponse aux informations utilisateur
La réponse aux informations utilisateur est un objet JSON et doit comporter les champs suivants pour la prise en charge de l'authentification uniquement:
- sous
- Nom/Surnom/Full_Name/DisplayName (un ou plusieurs)
- courriel
Voici un exemple de réponse aux informations utilisateur:
Problèmes connus
- Pour les implémentations Roku, un engagement personnalisé auprès de Brightcove Global Services est requis. Cela est dû aux exigences de certification de Roku. Si vous ne le faites pas, Roku refusera la publication de la chaîne dans la boutique Roku. Pour plus d'informations, consultez le document d'authentification sur l'appareil de Roku.