Vue d'ensemble : Restrictions de lecture Brightcove

Dans cette rubrique, vous découvrirez différentes stratégies de gestion de la lecture vidéo à l'aide des restrictions de lecture de Brightcove.

Introduction

Que votre contenu soit destiné à un public interne ou externe, gratuit ou monétisé, les restrictions de lecture Brightcove offrent le bon niveau de sécurité du contenu pour s'adapter à votre cas d'utilisation tout en permettant aux téléspectateurs d'accéder au contenu depuis n'importe quel appareil, n'importe où.

Cette fonctionnalité vous permet de définir différents scénarios de diffusion de votre contenu, notamment :

  • Où votre contenu est disponible
  • Comment le contenu est diffusé
  • Quand le contenu peut être consulté
  • Qui peut regarder votre contenu

Consultez l'article du blog : C'est plus qu'une simple sécurité – c'est une question d'intégrité de la marque et de vos engagements clients

Caractéristiques

La flexibilité de cette fonctionnalité permet de s'adapter à un certain nombre de cas d'utilisation différents.

Fonctionnalités clés de restriction de lecture
Caractéristique DRM requis JWT requis Droit de lecture requis
Restrictions IP Non Oui
Restrictions de pays Non Oui
Restrictions de code postal Non Oui
Zone de marché désignée (DMA) Non Oui
Les restrictions de domaine Non Oui
Programmation date/heure Non Oui
Horaires récurrents Non Oui
Restrictions de proxy Non Oui
Contrôle des droits Non Oui
Protection des clés de licence Oui Oui
Concurrence de flux Oui Oui
Concurrence générique des flux Oui
Enregistrement de l'appareil Oui Oui
Vérification des restrictions à mi-parcours Oui Oui
Repli HDCP Oui

Paquets

Plusieurs packages de sécurité sont disponibles pour les restrictions de lecture.

Packs de fonctionnalités de restriction de lecture
Caractéristique Niveau de sécurité 1 Niveau de sécurité 2 Niveau de sécurité 3
Restrictions géographiques Restrictions IP Oui Oui Oui
Pays Oui Oui Oui
Codes postaux américains Non Oui Oui
DMA des États-Unis Non Oui Oui
Les restrictions de domaine Oui Oui Oui
Programmation date/heure De base (date de début et de fin) Oui Oui Oui
Récurrent Non Oui Oui
Restrictions de proxy Non Oui Oui
Contrôle des droits Non Oui Oui
Protection des clés de licence Non Oui Oui
HDCP Fallback Non Oui Oui
Concurrence de flux Non Non Oui
Concurrence générique des flux Non Non Oui
Enregistrement de l'appareil Non Non Oui
Vérification des restrictions à mi-parcours Non Non Oui

Quels produits prennent en charge les restrictions de lecture ?

Les produits Brightcove suivants prennent en charge les restrictions de lecture :

  • Nuage vidéo : VOD et Live
  • Événements virtuels
  • Campagne
  • Engager
  • Galerie

Comment les restrictions de lecture sont-elles appliquées ?

Les restrictions de lecture peuvent être appliquées comme suit :

Restrictions au niveau des actifs

Les restrictions au niveau des actifs sont définies dans les droits de lecture.

Vous pouvez utiliser des restrictions de lecture au niveau de l'élément lorsque vous souhaitez restreindre la diffusion pour les éléments suivants :

  • Région (Géo-restrictions)
  • Heure (Planification)
  • Domaine
  • Type de proxy

Région

Les restrictions géographiques limitent les endroits où le contenu de votre flux peut être consulté dans le monde entier. Voici quelques options :

  • Adresses IP
  • CIDR
  • Codes postaux (uniquement disponible pour les codes postaux américains)
  • DMA (uniquement disponible pour les DMA américains)
  • Des pays

À déterminer - Les restrictions géographiques ont une règle globale qui définit le comportement global comme suit :

  • Lorsque la règle globale est définie sur Tout autoriser, elle autorise toute la lecture et vous pouvez mettre des régions sur liste noire.
  • Lorsque la règle globale est définie sur Tout bloquer, elle bloque toute lecture et vous pouvez ajouter des régions à la liste blanche.

Temps

La planification vous permet de définir une fenêtre de disponibilité pour diffuser votre contenu avec deux options :

  • Dates spécifiques
  • Récurrent pour des jours et des heures spécifiques

Domaine

Les restrictions de domaine vous permettent de définir des domaines où vous souhaitez autoriser ou bloquer le streaming.

Procuration

Les restrictions de proxy empêchent la diffusion de contenu lorsqu'un proxy est en place. Cinq types de proxy sont disponibles (pour plus de détails, consultez le tableau sous la liste) :

  • anonymous
  • corporate
  • hosting
  • public
  • transparent
Propriétés du proxy des droits de lecture
Champ Type Description
blocked_proxies Objet Propriétés liées aux droits de procuration
blocked_proxies.anonymous Booléen L'adresse IP du client n'est pas disponible. Comprend les services qui changent d'emplacement pour battre les DRM, les points TOR, les proxys temporaires et d'autres services de masquage.
blocked_proxies.corporate Booléen Généralement considéré comme inoffensif, mais l'emplacement peut être une préoccupation. Identifiez si plusieurs utilisateurs sont mandatés via un ou plusieurs emplacements centraux et peuvent partager une seule adresse IP apparente sur le réseau.
blocked_proxies.hosting Booléen L'adresse IP appartient à une installation d'hébergement et est susceptible d'être un proxy, car les utilisateurs finaux ne se trouvent généralement pas dans une installation d'hébergement.
blocked_proxies.public Booléen Plusieurs utilisateurs mandatés à partir d'un emplacement permettant un accès Internet public.
blocked_proxies.transparent Booléen L'adresse IP du client est disponible via les en-têtes HTTP, bien que la valeur ne soit pas nécessairement fiable (par exemple, elle peut être usurpée).

Cas d'utilisation au niveau des actifs

Cas d'utilisation

Voici quelques cas d'utilisation possibles :

Limiter le contenu par code postal

  • But

    Shari (producteur Web chez Sports League) souhaite limiter l'accès au contenu par code postal, afin que les téléspectateurs dans le code postal de l'événement sportif ne puissent pas diffuser l'événement

  • Solution

    Shari peut définir des droits de lecture pour mettre en liste noire les codes postaux par région aux États-Unis. Étant donné que le contenu est public (il n'y a pas d'autorisations de gestion d'application middleware), les droits de lecture doivent être définis comme non sécurisés. Lorsque les droits de lecture sont définis, Shari les attribuera à chaque élément multimédia.

Limiter le contenu par pays/adresse IP

  • But

    Dylan (CMO) souhaite limiter l'accès au contenu par pays, afin que les téléspectateurs puissent diffuser de n'importe où, sauf en Ukraine et en Corée. Étant donné que l'équipe de développement est située en Corée, Dylan doit autoriser le streaming à partir d'une adresse IP spécifique en Corée.

  • Solution

    Dylan peut définir un droit de lecture pour bloquer l'Ukraine et la Corée, et ajouter une adresse IP autorisée depuis la Corée. Étant donné que le contenu de Dylan est public, chaque droit de lecture doit autoriser un accès non sécurisé. Lorsque les droits de lecture sont définis, Dylan les attribuera à chaque élément multimédia.

Définir des restrictions au niveau des actifs

Les droits de lecture vous permettent de spécifier des restrictions pour la lecture vidéo. Ces droits seront stockés dans le API des droits de lecture et chaque ensemble se voit attribuer un identifiant unique (playback_right_id). Un ensemble de droits peut être associé à zéro ou plusieurs vidéos.

Lorsqu'une vidéo possède un playback_right_id, les restrictions spécifiées dans l'objet Playback Rights s'appliquent à TOUTES les demandes relatives à cette vidéo.

Ce diagramme montre le cheminement entre la vidéo et la demande de licence de l'utilisateur et la lecture.

Droits de lecture
Droits de lecture

Les restrictions au niveau des actifs peuvent être définies en utilisant soit :

Utilisation des API Brightcove

Vous pouvez utiliser les API de Brightcove pour définir des restrictions au niveau des actifs. Ces étapes peuvent être utilisées avec Brightcove Player, les SDK natifs ou votre propre lecteur.

  1. Tout d'abord, utilisez le API des droits de lecture pour créer une restriction.

  2. Ensuite, utilisez le API CMS pour associer la restriction à vos ressources vidéo.

  3. Pour plus de détails, consultez le Implémentation des droits de lecture document.

Utilisation de Video Cloud Studio

Vous pouvez également utiliser Video Cloud Studio pour définir des restrictions au niveau des actifs. Ces étapes peuvent être utilisées avec Brightcove Player ou les SDK natifs.

  1. Élargir la ADMINISTRER menu déroulant et sélectionnez Droits de lecture.

    Administrateur de Video Cloud Studio
    Administrateur de Video Cloud Studio

  2. Pour plus de détails, consultez le Gestion des droits de lecture document.

  3. Naviguez vers le Médias module et sélectionnez le Nom lien pour votre vidéo pour voir ses détails.

  4. Faites défiler jusqu'au Restrictions de lecture rubrique et cliquez sur le Éditer bouton.

  5. Développez le menu déroulant et sélectionnez la restriction que vous souhaitez associer à cette vidéo.

    Affectation des restrictions du module média
    Affectation des restrictions du module média
  6. Sélectionnez Enregistrer.

  7. Une fois que vous avez défini vos restrictions de lecture et les avez associées aux vidéos, vous êtes prêt à configurer votre lecteur.

    Pour plus de détails, consultez le Configurez votre lecteur section du document Mise en œuvre des droits de lecture.

Remarques

  • Avec les droits de lecture, le contenu n'a pas besoin d'être crypté
  • Par défaut, un jeton valide est nécessaire pour diffuser un actif avec des droits de lecture. Mais, vous pouvez définir les droits de lecture pour ne pas exiger de jeton.
  • Par défaut, toutes les ressources ont un droit de lecture qui permet de diffuser à tout le monde, partout, à tout moment
  • Chaque compte Video Cloud a jusqu'à 100 droits de lecture
  • Les droits de lecture fonctionnent avec les restrictions de l'API Video Cloud/CMS (pays et programmation). Les restrictions CMS pour un actif sont validées avant tout droit de lecture
  • Les droits de lecture ne fonctionnent pas avec les restrictions de clé de stratégie (domaine et géo). Lors de l'utilisation des droits de lecture avec le lecteur Web ou les SDK natifs, la clé de stratégie est supprimée. Cela signifie que les restrictions définies avec la clé de stratégie seront ignorées.
  • Les droits de lecture ne peuvent pas être supprimés dans Studio ; uniquement activés ou désactivés (ils peuvent être supprimés à l'aide de l'API Playback Rights)

Restrictions d'exécution

Pour restreindre la diffusion en continu au moment de l'exécution, vous aurez besoin d'un jeton Web JSON (JWT) avec des autorisations spécifiques (revendications). Ce jeton est envoyé à chaque demande de flux.

Cette fonctionnalité nécessite que vous mettiez en œuvre une solution middleware entre votre système de gestion des utilisateurs (UMS) et le service de lecture de Brightcove.

Les restrictions suivantes peuvent être définies lors de l'exécution :

  • Droits de lecture
  • Tags
  • Liste des contenus
  • User-agent spécifique
  • Limite de flux simultanés
  • Limite d'appareil

Droits de lecture

Vous pouvez soit attribuer des droits de lecture à une ressource (voir Restrictions au niveau des actifs), ou vous pouvez les définir au moment de l'exécution en utilisant le prid Réclamer.

Tags

Au moment de l'exécution, vous pouvez identifier les actifs avec des valeurs de balise spécifiques à autoriser pour la diffusion en continu. Ces balises sont définies avec le tags Réclamer. Vous pouvez regrouper des vidéos avec des balises en utilisant le Module média dans le Video Cloud Studio de Brightcove.

Le service Restrictions de lecture vérifiera les balises associées à chaque vidéo. Si au moins une des balises correspond à la liste du jeton JWT, la vidéo est visible.

Les balises du jeton JWT seront répertoriées sous la forme d'un tableau de balises.

Liste des contenus

En utilisant le vids réclamation, vous pouvez spécifier, au moment de l'exécution, une liste d'actifs pour permettre la diffusion en continu.

Contrôles des droits

Une vérification des droits définit les droits d'accès de l'utilisateur final au moment de l'exécution en fonction des ID vidéo et/ou des balises. Cela implique de définir les revendications suivantes dans le JWT :

  • prid
  • vids
  • tags

Si un prid (Playback Rights ID) est défini dans le JWT, le droit de lecture de l'asset sera alors écrasé.

User-agent spécifique

Pour autoriser le streaming à partir d'un user-agent spécifique, utilisez le ua Réclamer. Pour l'utiliser, votre contenu doit être crypté et vous devez définir un indicateur de compte qui nécessite un JWT sur les licences. Contactez votre Customer Success Manager pour activer cet indicateur de compte.

Limite de flux simultanés

La limitation des flux simultanés par utilisateur décourage les téléspectateurs de partager leurs informations d'identification avec des amis qui n'ont pas de compte. Avec les limites de flux simultanés, vous définissez le nombre de flux vidéo qu'un utilisateur spécifique peut regarder à un moment donné.

Pour cette fonctionnalité, le contenu doit être chiffré DRM ou HLSe.

Pour plus de détails, consultez le Limitation des flux simultanés par spectateur document.

Limite d'appareil

Lors de l'exécution, il est possible de limiter le nombre d'appareils de streaming pour un utilisateur. Pour cela, le contenu doit être chiffré DRM ou HLSe.

L'enregistrement de l'appareil se produit lorsqu'une demande de licence DRM est effectuée, auquel moment un identifiant unique est attribué à chaque appareil. À chaque demande de licence, la limite d'appareils est vérifiée et appliquée.

Par exemple, l'éditeur doit se conformer aux exigences des propriétaires de contenu pour limiter le nombre d'appareils associés à un même spectateur à 2 appareils. Une fois cette limite atteinte, si le spectateur essaie de diffuser le contenu sur un troisième appareil, comme un téléviseur connecté, la lecture sera refusée. Cette fonctionnalité permet aux éditeurs de contenu d'atteindre les objectifs de monétisation et de minimiser les accès non autorisés.

Pour plus de détails, consultez le Implémentation des limites de périphérique document.

Cas d'utilisation d'exécution

Cas d'utilisation

Voici quelques cas d'utilisation possibles :

Autoriser l'accès payant

  • But

    Liz (Event Planner) souhaite autoriser uniquement les utilisateurs payants à accéder au contenu en direct et en VOD d'un événement. Elle veut également empêcher le partage de liens.

  • Solution

    Pour ce cas d'utilisation, chaque utilisateur connecté qui demande du contenu à la plate-forme doit avoir un jeton avec les revendications suivantes :

    • uid = "{unique user-id}"
    • climit = 1
    • cbeh = “BLOCK_NEW_USER”

    Tout le contenu (en direct ou VOD) doit être crypté avec DRM.

    Avec ces autorisations, chaque utilisateur connecté peut diffuser du contenu en direct ou en VOD tant qu'il se trouve sur le même appareil et le même réseau. Si l'utilisateur partage ses informations d'identification de plate-forme dans le délai de validité du jeton, un autre utilisateur essayant de diffuser du contenu ne pourra pas le faire. Avec les vérifications à mi-parcours de la fonctionnalité, Liz peut garantir ce comportement pour l'ensemble du flux de contenu.

Bloquer les nouveaux flux

  • But

    Harry (client OTT) veut s'assurer que les utilisateurs de sa plate-forme peuvent afficher le contenu, mais un seul actif à la fois.

  • Solution

    Pour le cas d'utilisation de Harry, chaque utilisateur connecté qui demande du contenu à partir de sa plate-forme doit avoir un jeton valide avec les revendications suivantes

    • uid = "{unique user-id}"
    • climit = 1
    • cbeh = “BLOCK_NEW”

    Tout le contenu (en direct ou VOD) doit être crypté avec DRM.

    Le comportement de ce cas est similaire au cas d'utilisation de Liz. La principale différence est que les utilisateurs de Harry ne pourront pas regarder différents actifs en même temps tant que le jeton est valide. Avec les vérifications à mi-parcours de la fonctionnalité toutes les 5 minutes, Harry peut garantir ce comportement.

Limiter les flux simultanés

  • But

    Shari (producteur Web chez Sports League) souhaite limiter les flux simultanés à 1, pour un contenu spécifique.

  • Solution

    Dans ce cas, chaque utilisateur connecté doit avoir un jeton avec les revendications suivantes :

    • uid = "{unique user-id}"
    • vids = ["asset 1","asset 2","asset 3"]
    • climit = 1
    • cbeh = “BLOCK_NEW”

Définition des restrictions d'exécution

Pour utiliser les restrictions d'exécution, procédez comme suit :

  1. Mettre en œuvre un middleware

    Cette fonctionnalité nécessite que vous mettiez en œuvre une solution middleware entre votre système de gestion des utilisateurs (UMS) et le service de lecture de Brightcove.

  2. Créer un JWT

    Créez un jeton Web JSON valide (JWT signé avec votre clé privée) avec des autorisations spécifiques (revendications). Pour plus de détails, consultez le Créer un JSON Web Token (JWT) document.

  3. Configurer le lecteur

    Le jeton est transmis avec la demande de lecture. Si le jeton n'est pas valide ou a expiré, l'accès au contenu sera restreint. Le joueur doit être configuré pour utiliser le jeton.

    Lecteur Web

    Pour plus de détails sur la configuration du lecteur Web Brightcove, consultez le Protection de clé/licence avec Brightcove Player document.

    Lecteur natif Android ou iOS

    Pour plus de détails sur la configuration du lecteur natif pour Android ou iOS, consultez le Protection de clé/licence avec les SDK natifs document.

    Votre propre joueur

    Si vous utilisez uniquement le JWT avec votre lecteur, aucune configuration supplémentaire n'est nécessaire. Si vous utilisez les droits de lecture avec votre lecteur, consultez le Configurez votre lecteur section du document Mise en œuvre des droits de lecture.

Remarques

  • Pour utiliser le ua , maxip et maxu réclamations, vous avez besoin des éléments suivants :
    • Le contenu doit être crypté
    • Votre compte doit avoir des JWT requis sur les demandes de licence (protection des clés de licence activée). Contactez votre Customer Success Manager pour plus de détails.
  • Pour utiliser le climit et dlimit réclamations, vous avez besoin des éléments suivants :
    • Le contenu doit être crypté avec DRM
    • Votre compte doit être activé pour CSL avec l'indicateur Vérifier les droits activé. Contactez votre Customer Success Manager pour plus de détails.
  • Chaque jeton a une date d'expiration et elle doit être définie lors de sa création. Vos intégrations sont responsables du maintien du processus de renouvellement.
  • Par défaut, les vérifications à mi-parcours ont lieu toutes les 5 minutes.

Protection des clés de licence

La protection des clés de licence offre un niveau de sécurité supplémentaire lors de la diffusion de contenu protégé par DRM avec Dynamic Delivery. Ceci est particulièrement utile pour les clients qui souhaitent contrôler l'accès à leur contenu et empêcher le partage non autorisé de contenu.

La protection de contenu DRM ou HLSe utilise des demandes de licence/clé, qui peuvent protéger chaque demande de flux, avec l'utilisation d'un jeton Web JSON (JWT).

Cas d'utilisation

Vous pouvez utiliser cette fonctionnalité lorsque votre contenu doit être public mais à partir d'une demande de confiance. Par exemple, les diffuseurs régionaux avec un contenu exclusif crypté avec HLSe veulent s'assurer que seules les demandes de sa plate-forme accèdent au contenu. Cela signifie que les téléspectateurs peuvent uniquement diffuser du contenu à partir de votre plate-forme. Ils ne pourront pas le diffuser en dehors de la plate-forme, même avec les URL de diffusion.

Activation de la protection des clés de licence

Pour configurer votre compte pour la protection des clés de licence, contactez votre Customer Success Manager pour activer l'indicateur de protection des clés de licence.

Utilisation de la protection des clés de licence

Pour utiliser la protection des clés de licence, procédez comme suit :

  1. Mettre en œuvre un middleware

    Cette fonctionnalité nécessite que vous mettiez en œuvre une solution middleware entre votre système de gestion des utilisateurs (UMS) et le service de lecture de Brightcove.

  2. Créer un JWT

    Avec cette fonctionnalité activée, chaque clé ou demande de licence pour déchiffrer le contenu nécessite un jeton Web JSON valide (JWT signé avec votre clé privée). Pour plus de détails, consultez le Créer un JSON Web Token (JWT) document.

  3. Configurer le lecteur

    Le jeton est transmis avec la demande de lecture. Si le jeton n'est pas valide ou a expiré, l'accès au contenu sera restreint. Le joueur doit être configuré pour utiliser le jeton.

    Lecteur Web

    Pour plus d'informations sur la configuration du lecteur Web Brightcove, consultez le Restrictions de lecture avec Brightcove Player document.

    Lecteur natif Android ou iOS

    Pour plus de détails sur la configuration du lecteur natif pour Android ou iOS, consultez le Restrictions de lecture avec les SDK natifs document.

    Votre propre joueur

    Pour utiliser le JWT avec votre lecteur, aucune configuration supplémentaire n'est requise.

Remarques

  • Cette fonction peut être utilisée sans utiliser les droits de lecture.
  • Le jeton JWT ne nécessite pas de permissions spécifiques (claims). Il suffit de le signer avec votre clé privée.
  • Votre contenu doit être crypté HLSe ou DRM.

Contraintes

Les limitations suivantes s'appliquent à cette fonctionnalité :

  • Pour HLSe (AES-128), le jeton sera ajouté à la demande de manifeste principal et se propagera à l'URL de la clé de chiffrement. Étant donné que ces URL sont ajoutées au manifeste principal, les clients doivent envisager de restreindre le nombre d'utilisations pour minimiser l'exposition de leur contenu.
  • Pour HLSe (AES-128), les joueurs feront plusieurs demandes lors de la lecture d'une vidéo, généralement une par rendu. Le maxu montant de la demande doit être suffisamment élevé pour tenir compte de ces demandes. Vous devriez envisager des réclamations supplémentaires pour minimiser l'exposition de votre contenu. Le changement de rendu demandera une nouvelle licence.
  • Le suivi des réclamations maxu et des Maxip est finalement cohérent. Cela signifie que si un jeton utilisant ces revendications est réutilisé plusieurs fois en succession rapide, il est possible de voir ce jeton accepté plus de fois que ces revendications ne le déclarent. Le suivi devient cohérent en quelques secondes et après cette fenêtre, le jeton sera bloqué comme prévu.
  • Actuellement, le filigrane judiciaire n'est pas pris en charge avec la protection des clés de licence.