개요
이 섹션에서는 인증 기관 등록자가 Google 월렛 ID 서비스에 온보딩하는 단계별 절차를 설명합니다.
인증 대리인 등록기관 (예: 다른 법인을 대신하여 인증하는 IDV 회사)은 자체 인증 기관 (CA) 역할을 하여 관리하는 다운스트림 최종 신뢰 당사자 (RP)의 신원 요청에 서명합니다.
온보딩 프로세스
1단계: 비즈니스 검토 및 서비스 약관 (ToS)
- 심사: Google에서 심사 프로세스 및 보안 표준을 검토합니다.
- 서비스 약관에 서명: Google 월렛 인증 기관 등록처 서비스 약관에 서명해야 합니다.
2단계: 신뢰 설정 (루트 CA 설정)
Google 월렛은 신뢰 체인 모델을 사용합니다.
- 루트 인증서 제출: 루트 CA 인증서를 Google에 제공합니다.
- Google에서 루트 인증서를 Google 월렛 트러스트 저장소에 추가하여 최종 RP에 발급한 인증서를 확인할 수 있습니다.
3단계: RP 온보딩 종료
서명하는 각 최종 RP에 대해 다음을 충족해야 합니다.
- Google에 알림: 지정된 접수 양식 (출시 예정)을 사용하여 새 RP와 의도된 사용 사례를 Google에 알립니다.
- 메타데이터 구성: RP의 표시 정보 (이름, 로고, 개인정보처리방침 URL)를 입력하고 인증서에 전역적으로 고유한 식별 이름 (주체)을 설정합니다.
기술 사양
A. 인증서 프로필
요청은 P-256 / ECDSA를 사용하여 생성되고 맞춤 Google 확장 프로그램을 포함하는 표준 X.509 v3 인증서로 서명되어야 합니다.
- 맞춤 확장 프로그램 OID:
1.3.6.1.4.1.11129.10.1 - 콘텐츠: ASN.1
OCTET STRING로 인코딩된RelyingPartyMetadataBytes의 SHA256 해시입니다.
B. 메타데이터 스키마 (CBOR)
메타데이터는 CBOR 형식으로 인코딩해야 합니다.
; in CDDL for CBOR encoding
; schemaVersion = "v1"
RelyingPartyMetadataBytes = #6.24(bstr .cbor RelyingPartyMetadata)
RelyingPartyMetadata = {
"schema_version": tstr,
"display": DisplayInfo,
"aggregator_info": DisplayInfo ; Optional: include to show your branding alongside the RP
}
DisplayInfo = {
"display_name": tstr,
"logo_uri": tstr, ; See note below on brand guidelines
"privacy_policy_uri": tstr
}
logo_uri은 Google 월렛 브랜드 가이드라인을 따라야 합니다.
C. OpenID4VP 통합
client_metadata 객체에 base64url로 인코딩된 메타데이터를 포함합니다.
{
"client_metadata": {
"vp_formats_supported": { ... },
"gw_rp_metadata_bytes": "<base64url encoding of RelyingPartyMetadataBytes>"
},
"nonce": "...",
"response_mode": "dc_api",
"response_type": "vp_token"
}
규정 준수 및 취소
- 악용 모니터링: Google은 악의적인 RP 활동을 모니터링하고 감지된 악용 사례를 알려줍니다.
- 즉시 해지: 악용 RP의 인증서를 즉시 해지하고 업데이트된 인증서 해지 목록 (CRL)을 게시해야 합니다.
- 감사: Google은 RP 요청이 등록된 사용 사례와 일치하는지 확인하기 위해 익명처리된 로그를 유지합니다.
다음 단계
온보딩을 시작하려면 제안된 루트 CA 인증서와 초기 최종 RP 목록을 Google 담당자에게 문의하세요.