Doğrulayıcı Kayıt Kuruluşu İlk Katılım Rehberi

Genel Bakış

Bu bölümde, doğrulayıcı tescil ettirenlerin Google Cüzdan Kimlik hizmetini kullanmaya başlaması için adım adım izlenecek süreç açıklanmaktadır.

Doğrulayıcı kayıt operatörü olarak (ör. diğer varlıklar adına doğrulama yapan bir kimlik doğrulama şirketi), kendi sertifika yetkiliniz (CA) olarak hareket eder ve yönettiğiniz aşağı akışta yer alan nihai güvenen taraflar (RP) için kimlik isteklerini imzalarsınız.

İlk katılım süreci

1. adım: İşletme incelemesi ve Hizmet Şartları

• Hizmet Şartları'nı kabul edip bilgilerinizi gönderin: Google Cüzdan Doğrulayıcı Kayıt Operatörü Hizmet Şartları'nı kabul etmek ve ilk katılım sürecini başlatmak için Doğrulayıcı Kayıt Operatörü İlk Katılım Formu'nu doldurun.

2. adım: Güven oluşturma (kök CA kurulumu)

Google Cüzdan, güven zinciri modeli kullanır.

• Kök Sertifika Gönderme: Kök CA sertifikanızı Google'a gönderin.
• Google, kök sertifikanızı Google Cüzdan güvenilir sertifika deposuna ekler. Böylece, son RP'lerinize verdiğiniz tüm sertifikalar doğrulanabilir.

3. adım: RP ilk katılımını sonlandırın

Her bir End RP için şunları yapmanız gerekir:

• Google'ı bilgilendirin: Yeni RP'yi ve amaçlanan kullanım alanını Google'a bildirmek için Doğrulayıcı Kayıt Operatörü İstemci İlk Katılım Formu'nu kullanın.
• Meta Verileri Yapılandırma: RP'nin görüntüleme bilgilerini (Ad, Logo, Gizlilik Politikası URL'si) doldurun ve sertifikasında genel olarak benzersiz bir ayırt edici ad (konu) ayarlayın.

Teknik özellikler

C. Sertifika profili

İstekler, P-256 / ECDSA kullanılarak oluşturulan ve özel bir Google uzantısı içeren standart X.509 v3 sertifikalarıyla imzalanmalıdır:

• Özel Uzantı OID'si: 1.3.6.1.4.1.11129.10.1
• Önem derecesi: Kritik olmayan.
• İçerik: RelyingPartyMetadataBytes öğesinin ASN.1 OCTET STRING içinde kodlanmış bir SHA256 karması.

B. Meta veri şeması (CBOR)

Meta veriler CBOR biçiminde kodlanmalıdır.

; in CDDL for CBOR encoding
; schemaVersion = "v1"

RelyingPartyMetadataBytes = #6.24(bstr .cbor RelyingPartyMetadata)


RelyingPartyMetadata = {
  "schema_version": tstr,
  "display": DisplayInfo,
  "aggregator_info": DisplayInfo  ; Optional: include to show your branding alongside the RP
}

DisplayInfo = {
  "display_name": tstr,
  "logo_uri": tstr,             ; See note below on brand guidelines
  "privacy_policy_uri": tstr
}

logo_uri, Google Cüzdan Marka Kuralları'na uygun olmalıdır.

C. OpenID4VP entegrasyonu

Base64url kodlu meta verileri client_metadata nesnesine ekleyin:

{
  "client_metadata": {
    "vp_formats_supported": { ... },
    "gw_rp_metadata_bytes": "<base64url encoding of RelyingPartyMetadataBytes>"
  },
  "nonce": "...",
  "response_mode": "dc_api",
  "response_type": "vp_token"
}

Uygunluk ve iptal

• Kötüye Kullanımı İzleme: Google, kötü amaçlı RP etkinliğini izler ve tespit edilen kötüye kullanımları size bildirir.
• Hızlı İptal: Kötüye kullanımda bulunan RP'ler için sertifikaları derhal iptal etmeniz ve güncellenmiş bir Sertifika İptal Listesi (CRL) yayınlamanız gerekir.
• Denetleme: Google, RP isteklerinin kayıtlı kullanım alanlarıyla eşleşmesini sağlamak için anonimleştirilmiş günlükler tutar.

Sonraki adımlar

İlk katılım sürecini başlatmak için önerilen kök CA sertifikanız ve ilk uç RP'ler listenizle birlikte Google temsilcinizle iletişime geçin.