Présentation
Cette section décrit la procédure pas à pas à suivre par les bureaux d'enregistrement des validateurs pour s'intégrer au service Google Wallet Identity.
En tant qu'autorité d'enregistrement de validation (par exemple, une entreprise IDV effectuant des validations pour le compte d'autres entités), vous agissez en tant qu'autorité de certification (CA) et signez les demandes d'identité pour les parties utilisatrices finales (RP) en aval que vous gérez.
Processus d'intégration
Étape 1 : Examen de l'entreprise et conditions d'utilisation
- Acceptez les conditions d'utilisation et envoyez vos informations : remplissez le formulaire d'intégration de l'organisme d'enregistrement des validateurs pour accepter les conditions d'utilisation de Google Wallet pour les organismes d'enregistrement des validateurs et commencer l'intégration.
Étape 2 : Établissement de la confiance (configuration de l'autorité de certification racine)
Google Wallet utilise un modèle de chaîne de confiance.
- Envoyer le certificat racine : fournissez votre certificat CA racine à Google.
- Google ajoutera votre certificat racine au magasin de confiance Google Wallet, ce qui lui permettra de valider tous les certificats que vous émettez pour vos RP finaux.
Étape 3 : Mettre fin à l'intégration des RP
Pour chaque RP de fin que vous signez, vous devez :
- Informez Google : utilisez le formulaire d'intégration du client du registre du validateur pour informer Google du nouveau RP et de son cas d'utilisation prévu.
- Configurer les métadonnées : renseignez les informations à afficher du RP (nom, logo, URL des règles de confidentialité) et définissez un nom unique et distinctif (sujet) dans son certificat.
Spécifications techniques
A. Profil de certificat
Les requêtes doivent être signées par des certificats X.509 v3 standards générés à l'aide de P-256 / ECDSA et contenant une extension Google personnalisée :
- OID d'extension personnalisée :
1.3.6.1.4.1.11129.10.1 - Criticité : non critique.
- Contenu : hachage SHA256 de
RelyingPartyMetadataBytes, encodé dans unOCTET STRINGASN.1.
B. Schéma de métadonnées (CBOR)
Les métadonnées doivent être encodées au format CBOR.
; in CDDL for CBOR encoding
; schemaVersion = "v1"
RelyingPartyMetadataBytes = #6.24(bstr .cbor RelyingPartyMetadata)
RelyingPartyMetadata = {
"schema_version": tstr,
"display": DisplayInfo,
"aggregator_info": DisplayInfo ; Optional: include to show your branding alongside the RP
}
DisplayInfo = {
"display_name": tstr,
"logo_uri": tstr, ; See note below on brand guidelines
"privacy_policy_uri": tstr
}
Le logo_uri doit respecter les Consignes relatives à la marque Google Wallet.
C. Intégration OpenID4VP
Incluez les métadonnées encodées en base64url dans l'objet client_metadata :
{
"client_metadata": {
"vp_formats_supported": { ... },
"gw_rp_metadata_bytes": "<base64url encoding of RelyingPartyMetadataBytes>"
},
"nonce": "...",
"response_mode": "dc_api",
"response_type": "vp_token"
}
Conformité et révocation
- Surveillance des utilisations abusives : Google surveille les activités malveillantes liées aux RP et vous avertit en cas d'utilisation abusive détectée.
- Révocation rapide : vous devez révoquer rapidement les certificats des RP abusifs et publier une liste de révocation de certificats (CRL) mise à jour.
- Audit : Google conserve des journaux anonymisés pour s'assurer que les demandes RP correspondent à leurs cas d'utilisation enregistrés.
Étapes suivantes
Pour commencer l'intégration, contactez votre représentant Google en lui fournissant le certificat de CA racine que vous proposez et votre liste initiale de RP finaux.