دليل إعداد مسجّل جهات التحقّق

نظرة عامة

يوضّح هذا القسم الخطوات التفصيلية التي يجب اتّباعها لتسجيل جهات التسجيل التي تتحقّق من الهوية في خدمة إدارة الهوية من محفظة Google.

بصفتك مسجّلاً للجهات الموثوقة لإثبات الهوية (مثل شركة إثبات الهوية (IDV) تتحقّق من الهوية بالنيابة عن كيانات أخرى)، يمكنك العمل كهيئة إصدار الشهادات (CA) خاص بك، وتوقيع طلبات إثبات الهوية الخاصة بجهات الطرف الثالث النهائية التي تديرها.

عملية الإعداد

الخطوة 1: مراجعة النشاط التجاري وبنود الخدمة

• قبول بنود الخدمة وإرسال التفاصيل: املأ نموذج استيعاب عملية إعداد مسجّل جهة التحقّق لقبول بنود خدمة مسجّل جهة التحقّق في "محفظة Google" وبدء عملية الإعداد.

الخطوة 2: إنشاء الثقة (إعداد مرجع التصديق الجذر)

تستخدم "محفظة Google" نموذج سلسلة الثقة.

• إرسال شهادة الجذر: قدِّم شهادة CA الجذر إلى Google.
• ستضيف Google شهادة الجذر الخاصة بك إلى مخزن شهادات الجذر الموثوق بها في "محفظة Google"، ما يتيح لها التحقّق من أي شهادات تصدرها إلى الجهات الاعتمادية النهائية.

الخطوة 3: إنهاء عملية إعداد "الشريك الموثوق به"

يجب استيفاء الشروط التالية لكلّ "نقطة نهاية" من نقاط نهاية الشبكة التي تشترك فيها:

• إبلاغ Google: استخدِم نموذج إعداد عميل مسجّل جديد في خدمة التحقّق لإبلاغ Google بمزوّد الهوية الجديد وحالة الاستخدام المقصودة.
• إعداد البيانات الوصفية: املأ معلومات العرض الخاصة بجهة الاعتماد (الاسم والشعار وعنوان URL لسياسة الخصوصية) واضبط اسمًا مميزًا فريدًا على مستوى العالم (الموضوع) في شهادتها.

المواصفات الفنية

أ. نموذج الشهادة

يجب توقيع الطلبات باستخدام شهادات X.509 الإصدار 3 العادية التي تم إنشاؤها باستخدام P-256 / ECDSA والتي تحتوي على إضافة Google مخصّصة:

• معرّف العنصر المخصّص للإضافة: 1.3.6.1.4.1.11129.10.1
• مستوى الأهمية: غير مهم.
• المحتوى: تجزئة SHA256 لـ RelyingPartyMetadataBytes، بترميز ASN.1 OCTET STRING

ب. مخطط البيانات الوصفية (CBOR)

يجب ترميز البيانات الوصفية بتنسيق CBOR.

; in CDDL for CBOR encoding
; schemaVersion = "v1"

RelyingPartyMetadataBytes = #6.24(bstr .cbor RelyingPartyMetadata)


RelyingPartyMetadata = {
  "schema_version": tstr,
  "display": DisplayInfo,
  "aggregator_info": DisplayInfo  ; Optional: include to show your branding alongside the RP
}

DisplayInfo = {
  "display_name": tstr,
  "logo_uri": tstr,             ; See note below on brand guidelines
  "privacy_policy_uri": tstr
}

يجب أن يلتزم logo_uri بإرشادات العلامة التجارية لتطبيق "محفظة Google".

ج. دمج OpenID4VP

أدرِج البيانات الوصفية المرمَّزة بنظام base64url في العنصر client_metadata:

{
  "client_metadata": {
    "vp_formats_supported": { ... },
    "gw_rp_metadata_bytes": "<base64url encoding of RelyingPartyMetadataBytes>"
  },
  "nonce": "...",
  "response_mode": "dc_api",
  "response_type": "vp_token"
}

الامتثال والإبطال

• مراقبة إساءة الاستخدام: تراقب Google أي نشاط ضار في "الشركاء الموثوق بهم"، وسيتم إشعارك بأي إساءة استخدام يتم رصدها.
• الإبطال الفوري: عليك إبطال شهادات الجهات الاعتمادية المسيئة على الفور ونشر قائمة محدَّثة بالشهادات الباطلة (CRL).
• التدقيق: تحتفظ Google بسجلّات مجهولة الهوية للتأكّد من أنّ طلبات RP تتطابق مع حالات الاستخدام المسجّلة.

الخطوات التالية

لبدء عملية الإعداد، يُرجى التواصل مع ممثل Google الذي تتعامل معه وإرسال شهادة CA الجذر المقترَحة وقائمة أولية بموفّري خدمات الدفع النهائيين.