Descripción general
En esta sección, se describe el proceso paso a paso para que los registradores de verificadores se integren con el servicio de identidad de Google Wallet.
Como registrador de verificadores (por ejemplo, una empresa de IDV que realiza verificaciones en nombre de otras entidades), actúas como tu propia autoridad certificadora (AC) y firmas solicitudes de identidad para las partes usuarias finales (RP) que administras.
Proceso de integración
Paso 1: Revisión comercial y Condiciones del Servicio (CdS)
- Acepta las CdS y envía tus datos: Completa el formulario de admisión para la integración de registradores de verificadores para aceptar las Condiciones del Servicio para registradores de verificadores de Google Wallet y comenzar la integración.
Paso 2: Establecimiento de confianza (configuración de la AC raíz)
Google Wallet usa un modelo de cadena de confianza.
- Envía el certificado raíz: Proporciona tu certificado de AC raíz a Google.
- Google agregará tu certificado raíz al almacén de confianza de Google Wallet, lo que le permitirá verificar cualquier certificado que emitas a tus RP finales.
Paso 3: Integración de la RP final
Para cada RP final que firmes, debes hacer lo siguiente:
- Informa a Google: Usa el formulario de admisión para la integración de clientes de registradores de verificadores para notificar a Google sobre la nueva RP y su caso de uso previsto.
- Configura los metadatos: Completa la información que se muestra de la RP (nombre, logotipo, URL de la Política de Privacidad) y establece un nombre distintivo (sujeto) único a nivel global en su certificado.
Especificaciones técnicas
A. Perfil de certificado
Las solicitudes deben estar firmadas por certificados X.509 v3 estándar generados con P-256 / ECDSA y que contengan una extensión personalizada de Google:
- OID de extensión personalizada:
1.3.6.1.4.1.11129.10.1 - Importancia: No crítica
- Contenido: Un hash SHA256 de
RelyingPartyMetadataBytes, codificado en unOCTET STRINGASN.1
B. Esquema de metadatos (CBOR)
Los metadatos deben estar codificados en formato CBOR.
; in CDDL for CBOR encoding
; schemaVersion = "v1"
RelyingPartyMetadataBytes = #6.24(bstr .cbor RelyingPartyMetadata)
RelyingPartyMetadata = {
"schema_version": tstr,
"display": DisplayInfo,
"aggregator_info": DisplayInfo ; Optional: include to show your branding alongside the RP
}
DisplayInfo = {
"display_name": tstr,
"logo_uri": tstr, ; See note below on brand guidelines
"privacy_policy_uri": tstr
}
El logo_uri debe cumplir con los Lineamientos de la marca de Google Wallet.
C. Integración de OpenID4VP
Incluye los metadatos codificados en base64url en el objeto client_metadata:
{
"client_metadata": {
"vp_formats_supported": { ... },
"gw_rp_metadata_bytes": "<base64url encoding of RelyingPartyMetadataBytes>"
},
"nonce": "...",
"response_mode": "dc_api",
"response_type": "vp_token"
}
Cumplimiento y revocación
- Supervisión de abusos: Google supervisa la actividad maliciosa de la RP y te notificará cualquier abuso detectado.
- Revocación inmediata: Debes revocar de inmediato los certificados de las RP abusivas y publicar una lista de revocación de certificados (CRL) actualizada.
- Auditoría: Google mantiene registros anonimizados para garantizar que las solicitudes de RP coincidan con sus casos de uso registrados.
Próximos pasos
Para comenzar la integración, comunícate con tu representante de Google con el certificado de AC raíz propuesto y tu lista inicial de RP finales.