מדריך למשתמשים חדשים של רשם מאמתים

סקירה כללית

בקטע הזה מפורט תהליך ההצטרפות של רשמי מאמתים לשירות הזהויות של Google Wallet.

אם אתם רשומים כמאמתים (לדוגמה, חברה לאימות זהויות שמאמתת בשם ישויות אחרות), אתם פועלים כרשות אישורים (CA) משלכם, וחותמים על בקשות אימות זהות עבור הצדדים הסופיים המסתמכים (RP) שאתם מנהלים.

תהליך ההצטרפות

שלב 1: בדיקת העסק ותנאי השירות

מאשרים את התנאים וההגבלות ושולחים את הפרטים: ממלאים את טופס ההצטרפות של רשם מאמתים כדי לאשר את התנאים וההגבלות של Google Wallet Verifier Registrar ולהתחיל בתהליך ההצטרפות.

שלב 2: יצירת יחסי אמון (הגדרת רשות אישורים בסיסית)

‫Google Wallet משתמשת במודל של שרשרת אמון.

שליחת אישור בסיס: שולחים ל-Google את אישור CA של רשות האישורים.
‫Google תוסיף את אישור הבסיס שלכם למאגר האישורים המהימנים של Google Wallet, וכך תוכל לאמת את כל האישורים שאתם מנפיקים ל-RPs של משתמשי הקצה.

שלב 3: סיום ההצטרפות ל-RP

לכל End RP שאתם חותמים עליו, אתם צריכים:

לעדכן את Google: משתמשים בטופס הקליטה של לקוח רשם מאמת כדי להודיע ל-Google על ה-RP החדש ועל תרחיש השימוש המיועד שלו.
הגדרת מטא-נתונים: מאכלסים את פרטי התצוגה של ספק ה-RP (שם, לוגו, כתובת URL של מדיניות הפרטיות) ומגדירים שם ייחודי גלובלי (נושא) באישור שלו.

מפרטים טכניים

א. פרופיל האישור

הבקשות צריכות להיות חתומות על ידי אישורי X.509 v3 סטנדרטיים שנוצרו באמצעות P-256 / ECDSA ומכילים תוסף מותאם אישית של Google:

מזהה OID של תוסף בהתאמה אישית: 1.3.6.1.4.1.11129.10.1
רמת החומרה: לא קריטית.
תוכן: גיבוב SHA256 של RelyingPartyMetadataBytes, מקודד ב-ASN.1 OCTET STRING.

ב. סכימת מטא-נתונים (CBOR)

המטא-נתונים חייבים להיות מקודדים בפורמט CBOR.

; in CDDL for CBOR encoding
; schemaVersion = "v1"

RelyingPartyMetadataBytes = #6.24(bstr .cbor RelyingPartyMetadata)


RelyingPartyMetadata = {
  "schema_version": tstr,
  "display": DisplayInfo,
  "aggregator_info": DisplayInfo  ; Optional: include to show your branding alongside the RP
}

DisplayInfo = {
  "display_name": tstr,
  "logo_uri": tstr,             ; See note below on brand guidelines
  "privacy_policy_uri": tstr
}

הlogo_uri צריך לעמוד בדרישות הנחיות המיתוג של Google Wallet.

ג. שילוב של OpenID4VP

כוללים את המטא-נתונים בקידוד base64url באובייקט client_metadata:

{
  "client_metadata": {
    "vp_formats_supported": { ... },
    "gw_rp_metadata_bytes": "<base64url encoding of RelyingPartyMetadataBytes>"
  },
  "nonce": "...",
  "response_mode": "dc_api",
  "response_type": "vp_token"
}

תאימות וביטול

מעקב אחר מקרים של שימוש לרעה: Google עוקבת אחרי פעילות זדונית של RP ותודיע לכם על כל מקרה של שימוש לרעה שתזהה.
ביטול מהיר של אישורים: עליכם לבטל במהירות אישורים של ספקי זהויות שמתבצעת בהם התנהלות פוגעת, ולפרסם רשימה מעודכנת של אישורים שבוטלו (CRL).
ביקורת: Google שומרת יומנים אנונימיים כדי לוודא שבקשות RP תואמות לתרחישי השימוש הרשומים שלהן.

השלבים הבאים

כדי להתחיל בתהליך ההצטרפות, פנו לנציג Google עם אישור ה-Root CA המוצע ועם הרשימה הראשונית של ספקי ה-RP שלכם.

מדריך למשתמשים חדשים של רשם מאמתים קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.