Configurare i criteri di autorizzazione della chiave simmetricaConfigure Content Key Authorization Policy

OverviewOverview

Servizi multimediali di Microsoft Azure consente di distribuire flussi MPEG-DASH, Smooth Streaming e HTTP-Live-Streaming (HLS) protetti con Advanced Encryption Standard (AES) con chiavi di crittografia a 128 bit o Microsoft PlayReady DRM.Microsoft Azure Media Services enables you to deliver MPEG-DASH, Smooth Streaming, and HTTP-Live-Streaming (HLS) streams protected with Advanced Encryption Standard (AES) (using 128-bit encryption keys) or Microsoft PlayReady DRM. AMS consente anche di recapitare flussi DASH crittografati con Widevine DRM.AMS also enables you to deliver DASH streams encrypted with Widevine DRM. PlayReady e Widewine vengono crittografati in base alle specifiche della crittografia comune (ISO/IEC 23001-7 CENC).Both PlayReady and Widevine are encrypted per the Common Encryption (ISO/IEC 23001-7 CENC) specification.

Servizi multimediali offre anche un servizio di distribuzione di chiavi/licenze dal quale i client possono ottenere chiavi AES o licenze PlayReady/Widevine per riprodurre contenuti crittografati.Media Services also provides a Key/License Delivery Service from which clients can obtain AES keys or PlayReady/Widevine licenses to play the encrypted content.

Questo articolo illustra come usare il Portale di Azure per configurare i criteri di autorizzazione della chiave simmetrica.This article shows how to use the Azure portal to configure the content key authorization policy. La chiave può essere usata in un secondo momento per crittografare i contenuti dinamicamente.The key can later be used to dynamically encrypt your content. Attualmente è possibile crittografare i formati di streaming seguenti: HLS, MPEG DASH e Smooth Streaming.Currently you can encrypt the following streaming formats: HLS, MPEG DASH, and Smooth Streaming. Non è possibile crittografare i download progressivi.You cannot encrypt progressive downloads.

Quando un lettore richiede un flusso impostato per la crittografia dinamica, Servizi multimediali usa la chiave configurata per crittografare dinamicamente i contenuti con la crittografia DRM o AES.When a player requests a stream that is set to be dynamically encrypted, Media Services uses the configured key to dynamically encrypt your content using AES or DRM encryption. Per decrittografare il flusso, il lettore richiede la chiave dal servizio di distribuzione delle chiavi.To decrypt the stream, the player requests the key from the key delivery service. Per decidere se l'utente è autorizzato a ottenere la chiave, il servizio valuta i criteri di autorizzazione specificati.To decide whether or not the user is authorized to get the key, the service evaluates the authorization policies that you specified for the key.

Se si prevede di usare più chiavi di contenuti o si desidera specificare un URL di servizio di distribuzione di chiavi/licenze diverso dal servizio di distribuzione delle chiavi di Servizi multimediali, usare Media Services SDK per .NET o le API REST.If you plan to have multiple content keys or want to specify a Key/License Delivery Service URL other than the Media Services key delivery service, use Media Services .NET SDK or REST APIs.

Configurare i criteri di autorizzazione della chiave simmetrica mediante Media Services .NET SDKConfigure Content Key Authorization Policy using Media Services .NET SDK

Configurare i criteri di autorizzazione della chiave simmetrica mediante l'API REST di Servizi multimedialiConfigure Content Key Authorization Policy using Media Services REST API

Considerazioni applicabili:Some considerations apply:

  • Quando l'account AMS viene creato, un endpoint di streaming predefinito viene aggiunto all'account con stato Arrestato.When your AMS account is created a default streaming endpoint is added to your account in the Stopped state. Per avviare lo streaming dei contenuti e sfruttare i vantaggi della creazione dinamica dei pacchetti e della crittografia dinamica, l'endpoint di streaming deve trovarsi nello stato In esecuzione.To start streaming your content and take advantage of dynamic packaging and dynamic encryption, your streaming endpoint has to be in the Running state.
  • L'asset deve contenere un set di file MP4 o Smooth Streaming a velocità in bit adattiva.Your asset must contain a set of adaptive bitrate MP4s or adaptive bitrate Smooth Streaming files. Per altre informazioni, vedere l'articolo relativo alla codifica di un asset.For more information, see Encode an asset.
  • Il servizio di distribuzione delle chiavi memorizza nella cache l'oggetto ContentKeyAuthorizationPolicy e gli oggetti correlati (opzioni e restrizioni) per 15 minuti.The Key Delivery service caches ContentKeyAuthorizationPolicy and its related objects (policy options and restrictions) for 15 minutes. Se si crea un oggetto ContentKeyAuthorizationPolicy e si specifica di usare una restrizione Token, quindi si esegue il test della configurazione e si aggiornano i criteri impostando una restrizione Open, il passaggio dei criteri alla versione Open richiede circa 15 minuti.If you create a ContentKeyAuthorizationPolicy and specify to use a “Token” restriction, then test it, and then update the policy to “Open” restriction, it will take roughly 15 minutes before the policy switches to the “Open” version of the policy.
  • L'endpoint di streaming AMS imposta il valore dell'intestazione CORS 'Access-Control-Allow-Origin' nella risposta preliminare come il carattere jolly '*'.AMS streaming endpoint sets the value of the CORS 'Access-Control-Allow-Origin' header in preflight response as the wildcard '*'. Questo funziona bene con la maggior parte dei lettori, tra cui Azure Media Player, Roku, JW e altri.This works well with most players including our Azure Media Player, Roku and JW, and others. Tuttavia, alcuni lettori che usano dashjs non funzionano perché, con la modalità delle credenziali impostata su "include", XMLHttpRequest nella loro dashjs non consente il carattere jolly "*" come valore di "'Access-Control-Allow-Origin".However, some players that leverage dashjs do not work since, with credentials mode set to “include”, XMLHttpRequest in their dashjs does not allow wildcard “*” as the value of “'Access-Control-Allow-Origin”. Come soluzione alternativa a questa limitazione in dashjs, se si ospita il client da un singolo dominio, Servizi multimediali di Azure può specificare tale dominio nell'intestazione della risposta preliminare.As a workaround to this limitation in dashjs, if you are hosting your client from a single domain, Azure Media Services can specify that domain in the preflight response header. È possibile fare ciò mediante l'apertura di un ticket di supporto tramite il portale di Azure.You can reach out by opening a support ticket through Azure portal.

Procedura: Configurare i criteri di autorizzazione della chiave simmetricaHow to: configure the key authorization policy

Per configurare i criteri di autorizzazione della chiave simmetrica, selezionare la pagina PROTEZIONE DEL CONTENUTO .To configure the key authorization policy, select the CONTENT PROTECTION page.

Servizi multimediali supporta più modalità di autenticazione degli utenti che eseguono richieste di chiavi.Media Services supports multiple ways of authenticating users who make key requests. I criteri di autorizzazione della chiave simmetrica possono avere restrizioni di autorizzazione di tipo open, token o IP (la restrizione IP può essere configurata con REST o con .NET SDK).The content key authorization policy can have open, token, or IP authorization restrictions (IP can be configured with REST or .NET SDK).

Restrizione OpenOpen restriction

Se si applica una restrizione open, il sistema distribuisce la chiave a chiunque ne faccia richiesta.The open restriction means the system delivers the key to anyone who makes a key request. Questa restrizione può essere utile a scopo di test.This restriction might be useful for testing purposes.

OpenPolicy

Restrizione TokenToken restriction

Per scegliere il criterio con restrizione token, premere il pulsante TOKEN .To choose the token restricted policy, press the TOKEN button.

I criteri con restrizione token devono essere accompagnati da un token rilasciato da un servizio STS (Secure Token Service, servizio token di sicurezza).The token restricted policy must be accompanied by a token issued by a Secure Token Service (STS). Servizi multimediali supporta i token nei formati Simple Web Tokens (SWT) e JSON Web Token (JWT).Media Services supports tokens in the Simple Web Tokens (SWT) format and JSON Web Token (JWT) format. Per informazioni, vedere Autenticazione dei token JWT.For information, see JWT token authentication.

Servizi multimediali non fornisce servizi token di sicurezza.Media Services does not provide Secure Token Services. Per il rilascio di token è possibile creare un servizio token di sicurezza personalizzato oppure usare il Servizio di controllo di accesso di Microsoft Azure.You can create a custom STS or leverage Microsoft Azure ACS to issue tokens. Il servizio token di sicurezza deve essere configurato in modo da creare un token firmato con la chiave specificata e rilasciare le attestazioni specificate nella configurazione della restrizione token.The STS must be configured to create a token signed with the specified key and issue claims that you specified in the token restriction configuration. Il servizio di distribuzione delle chiavi di Servizi multimediali restituisce la chiave di crittografia al client se il token è valido e le attestazioni nel token corrispondono a quelle configurate per la chiave simmetrica.The Media Services key delivery service will return the encryption key to the client if the token is valid and the claims in the token match those configured for the content key. Per altre informazioni, vedere l'articolo relativo all' uso di Servizio di controllo di accesso di Azure per il rilascio di token.For more information, see Use Azure ACS to issue tokens.

Quando si configurano i criteri di restrizione token, è necessario specificare i parametri primary verification key, issuer e audience.When configuring the token restricted policy, you must specify the primary verification key, issuer and audience parameters. Il parametro primary verification key include la chiave usata per firmare il token. Il parametro issuer è il servizio token di sicurezza che emette il token.The primary verification key contains the key that the token was signed with, issuer is the secure token service that issues the token. Il parametro audience (talvolta denominato scope) descrive l'ambito del token o la risorsa a cui il token autorizza l'accesso.The audience (sometimes called scope) describes the intent of the token or the resource the token authorizes access to. Il servizio di distribuzione delle chiavi di Servizi multimediali verifica che i valori nel token corrispondano ai valori nel modello.The Media Services key delivery service validates that these values in the token match the values in the template.

PlayReadyPlayReady

Quando si protegge il contenuto con PlayReady, è necessario includere nei criteri di autorizzazione una stringa XML che definisce il modello di licenza PlayReady.When protecting your content with PlayReady, one of the things you need to specify in your authorization policy is an XML string that defines the PlayReady license template. Per impostazione predefinita, vengono definiti i seguenti criteri:By default, the following policy is set:

trueNonpersistentAllowed true Nonpersistent Allowed

È possibile fare clic sul pulsante importa xml criterio e specificare codice XML differente, conforme allo schema XML definito qui.You can click the import policy xml button and provide a different XML that conforms to the XML Schema defined here.

Passaggi successiviNext steps

Analizzare i percorsi di apprendimento di Servizi multimediali.Review Media Services learning paths.

Altre informazioni sui percorsi di apprendimento di Servizi multimediali di Azure:Read about the Azure Media Services learning paths:

Fornire commenti e suggerimentiProvide feedback

Usare il forum di suggerimenti degli utenti per fornire commenti e suggerimenti su come migliorare Servizi multimediali di Azure.Use the User Voice forum to provide feedback and make suggestions on how to improve Azure Media Services. È anche possibile passare direttamente a una delle categorie seguenti:You also can go directly to one of the following categories: