คู่มือการเริ่มต้นใช้งานสำหรับผู้รับจดทะเบียนที่ตรวจสอบ

ภาพรวม

ส่วนนี้จะอธิบายกระบวนการทีละขั้นตอนสำหรับผู้รับจดทะเบียนผู้ยืนยันในการเริ่มต้นใช้งานบริการระบุตัวตนของ Google Wallet

ในฐานะผู้รับจดทะเบียนที่ทำการยืนยัน (เช่น บริษัท IDV ที่ทำการยืนยันในนามของ เอนทิตีอื่นๆ) คุณจะทำหน้าที่เป็นผู้ออกใบรับรอง (CA) ของคุณเอง โดยลงนาม ในคำขอระบุตัวตนสำหรับผู้ให้บริการที่เกี่ยวข้อง (RP) ที่คุณจัดการ

กระบวนการเริ่มต้นใช้งาน

ขั้นตอนที่ 1: การตรวจสอบธุรกิจและข้อกำหนดในการให้บริการ (ToS)

ยอมรับข้อกำหนดในการให้บริการและส่งรายละเอียด: กรอกแบบฟอร์มการเตรียมความพร้อมผู้ใช้งานใหม่สำหรับผู้รับจดทะเบียนที่ยืนยันตัวตนเพื่อยอมรับข้อกำหนดในการให้บริการสำหรับผู้รับจดทะเบียนที่ยืนยันตัวตนของ Google Wallet และเริ่มการเตรียมความพร้อมผู้ใช้งานใหม่

ขั้นตอนที่ 2: การสร้างความน่าเชื่อถือ (การตั้งค่า CA หลัก)

Google Wallet ใช้โมเดลห่วงโซ่แห่งความน่าเชื่อถือ

ส่งใบรับรองรูท: ส่งใบรับรอง CA รูทให้ Google
Google จะเพิ่มใบรับรองรูทของคุณลงใน Trust Store ของ Google Wallet เพื่อให้สามารถยืนยันใบรับรองที่คุณออกให้กับ End RP ได้

ขั้นตอนที่ 3: สิ้นสุดการเริ่มต้นใช้งาน RP

สำหรับแต่ละ End RP ที่คุณลงนาม คุณต้องดำเนินการต่อไปนี้

แจ้ง Google: ใช้แบบฟอร์มการเริ่มต้นใช้งานไคลเอ็นต์ของ Verifier Registrar เพื่อแจ้งให้ Google ทราบเกี่ยวกับ RP ใหม่และกรณีการใช้งานที่ต้องการ
กำหนดค่าข้อมูลเมตา: ป้อนข้อมูลที่แสดงของ RP (ชื่อ โลโก้ URL ของนโยบายความเป็นส่วนตัว) และตั้งชื่อที่แตกต่าง (Subject) ที่ไม่ซ้ำกันทั่วโลกในใบรับรอง

ข้อกำหนดทางเทคนิค

ก. โปรไฟล์ใบรับรอง

คำขอต้องได้รับการลงนามโดยใบรับรอง X.509 v3 มาตรฐานที่สร้างขึ้นโดยใช้ P-256 / ECDSA และมีส่วนขยาย Google ที่กำหนดเอง

OID ของส่วนขยายที่กำหนดเอง: 1.3.6.1.4.1.11129.10.1
ความสำคัญ: ไม่สำคัญ
เนื้อหา: แฮช SHA256 ของ RelyingPartyMetadataBytes ที่เข้ารหัสใน ASN.1 OCTET STRING

เคล็ดลับ: คุณใช้ใบรับรองผู้ลงนามระดับกลางระหว่าง CA รูทกับใบรับรอง RP ได้ ซึ่งจะช่วยให้คุณจัดเก็บใบรับรองรูท ที่มีอายุการใช้งานยาวนาน (เช่น ใน HSM) ได้อย่างปลอดภัยเพื่อลงนามในใบรับรองระดับกลาง ในการปฏิบัติงานเป็นครั้งคราว จากนั้นจะใช้ใบรับรองดังกล่าวเพื่อลงนามในใบรับรองย่อยของ RP ปลายทาง ซึ่งช่วยให้หมุนเวียนได้ง่ายขึ้นในกรณีที่มีการละเมิดโดยไม่ส่งผลต่อรูท

ข. สคีมาข้อมูลเมตา (CBOR)

ข้อมูลเมตาต้องได้รับการเข้ารหัสในรูปแบบ CBOR

; in CDDL for CBOR encoding
; schemaVersion = "v1"

RelyingPartyMetadataBytes = #6.24(bstr .cbor RelyingPartyMetadata)


RelyingPartyMetadata = {
  "schema_version": tstr,
  "display": DisplayInfo,
  "aggregator_info": DisplayInfo  ; Optional: include to show your branding alongside the RP
}

DisplayInfo = {
  "display_name": tstr,
  "logo_uri": tstr,             ; See note below on brand guidelines
  "privacy_policy_uri": tstr
}

logo_uri ต้องปฏิบัติตามหลักเกณฑ์การใช้แบรนด์ Google Wallet

ค. การผสานรวม OpenID4VP

ใส่ข้อมูลเมตาที่เข้ารหัส base64url ในออบเจ็กต์ client_metadata ดังนี้

{
  "client_metadata": {
    "vp_formats_supported": { ... },
    "gw_rp_metadata_bytes": "<base64url encoding of RelyingPartyMetadataBytes>"
  },
  "nonce": "...",
  "response_mode": "dc_api",
  "response_type": "vp_token"
}

การปฏิบัติตามข้อกำหนดและการเพิกถอน

การตรวจสอบการละเมิด: Google จะตรวจสอบกิจกรรม RP ที่เป็นอันตรายและจะแจ้งให้คุณทราบหากตรวจพบการละเมิด
การเพิกถอนทันที: คุณต้องเพิกถอนใบรับรองสำหรับ RP ที่ละเมิดทันทีและเผยแพร่รายการยกเลิกใบรับรอง (CRL) ที่อัปเดตแล้ว
การตรวจสอบ: Google จะเก็บรักษาบันทึกที่ลบข้อมูลระบุตัวบุคคลออกเพื่อให้แน่ใจว่าคำขอ RP ตรงกับกรณีการใช้งานที่ลงทะเบียนไว้

ขั้นตอนถัดไป

หากต้องการเริ่มการเริ่มต้นใช้งาน โปรดติดต่อตัวแทนของ Google พร้อมใบรับรอง CA รูทที่เสนอและรายการ RP ปลายทางเริ่มต้น