Przegląd
W tej sekcji opisujemy krok po kroku proces wdrażania w usłudze tożsamości Portfela Google dla rejestratorów weryfikatorów.
Jako rejestrator weryfikatorów (np. firma zajmująca się weryfikacją tożsamości, która weryfikuje tożsamość w imieniu innych podmiotów) pełnisz rolę własnego urzędu certyfikacji, który podpisuje żądania tożsamości dla zarządzanych przez Ciebie podmiotów zależnych.
Proces wdrażania
Krok 1. Sprawdzenie firmy i Warunki korzystania z usługi
- Zaakceptuj Warunki korzystania z usługi i prześlij swoje dane: wypełnij formularz rejestracji rejestratora weryfikatorów, aby zaakceptować Warunki korzystania z usługi Portfela Google dla rejestratorów weryfikatorów i rozpocząć proces wdrażania.
Krok 2. Ustanowienie zaufania (konfiguracja głównego urzędu certyfikacji)
Portfel Google korzysta z modelu łańcucha zaufania.
- Prześlij certyfikat główny: Prześlij do Google certyfikat CA.
- Google doda Twój certyfikat główny do magazynu zaufania Portfela Google, co umożliwi weryfikację wszystkich certyfikatów wydanych przez Ciebie podmiotom zależnym.
Krok 3. Wdrażanie podmiotów zależnych
W przypadku każdego podmiotu zależnego, dla którego podpisujesz certyfikat, musisz:
- Poinformować Google: użyj formularza rejestracji klienta rejestratora weryfikatorów, aby powiadomić Google o nowym podmiocie zależnym i jego przewidywanym zastosowaniu.
- Skonfigurować metadane: uzupełnij informacje wyświetlane podmiotu zależnego (nazwa, logo, adres URL polityki prywatności) i ustaw unikalną na całym świecie nazwę wyróżniającą (podmiot) w jego certyfikacie.
Specyfikacja techniczna
A. Profil certyfikatu
Żądania muszą być podpisane standardowymi certyfikatami X.509 v3 wygenerowanymi za pomocą P-256 / ECDSA i zawierającymi niestandardowe rozszerzenie Google:
- Niestandardowy identyfikator OID rozszerzenia:
1.3.6.1.4.1.11129.10.1 - Krytyczność: niekrytyczne.
- Treść: identyfikator SHA256
RelyingPartyMetadataByteszakodowany w formacie ASN.1OCTET STRING.
B. Schemat metadanych (CBOR)
Metadane muszą być zakodowane w formacie CBOR.
; in CDDL for CBOR encoding
; schemaVersion = "v1"
RelyingPartyMetadataBytes = #6.24(bstr .cbor RelyingPartyMetadata)
RelyingPartyMetadata = {
"schema_version": tstr,
"display": DisplayInfo,
"aggregator_info": DisplayInfo ; Optional: include to show your branding alongside the RP
}
DisplayInfo = {
"display_name": tstr,
"logo_uri": tstr, ; See note below on brand guidelines
"privacy_policy_uri": tstr
}
logo_uri musi być zgodny ze wskazówkami dotyczącymi marki Portfela Google.
C. Integracja OpenID4VP
Dołącz metadane zakodowane w formacie base64url do obiektu client_metadata:
{
"client_metadata": {
"vp_formats_supported": { ... },
"gw_rp_metadata_bytes": "<base64url encoding of RelyingPartyMetadataBytes>"
},
"nonce": "...",
"response_mode": "dc_api",
"response_type": "vp_token"
}
Zgodność ze standardami i odwoływanie
- Monitorowanie nadużyć: Google monitoruje złośliwą aktywność podmiotów zależnych i powiadomi Cię o wykrytych nadużyciach.
- Szybkie odwoływanie: musisz szybko odwołać certyfikaty podmiotów zależnych, które dopuszczają się nadużyć, i opublikować zaktualizowaną listę odwołanych certyfikatów.
- Audyt: Google przechowuje anonimowe dzienniki, aby mieć pewność, że żądania podmiotów zależnych są zgodne z zarejestrowanymi przypadkami użycia.
Dalsze kroki
Aby rozpocząć wprowadzanie, skontaktuj się z przedstawicielem Google i prześlij proponowany certyfikat CA oraz wstępną listę podmiotów zależnych.