Tổng quan
Phần này trình bày quy trình từng bước để các đơn vị đăng ký xác minh tham gia Dịch vụ nhận dạng của Google Wallet.
Là một đơn vị đăng ký xác minh (ví dụ: một công ty xác minh danh tính (IDV) xác minh thay mặt cho các thực thể khác), bạn đóng vai trò là tổ chức phát hành chứng chỉ (CA) của riêng mình, ký các yêu cầu về danh tính cho các Bên phụ thuộc cuối nguồn (RP) mà bạn quản lý.
Quy trình giới thiệu
Bước 1: Đánh giá doanh nghiệp và Điều khoản dịch vụ (ToS)
- Chấp nhận Điều khoản dịch vụ và gửi thông tin của bạn: Điền vào Biểu mẫu đăng ký ban đầu cho Người đăng ký xác minh để chấp nhận Điều khoản dịch vụ của Google Wallet cho Người đăng ký xác minh và bắt đầu quy trình thiết lập ban đầu.
Bước 2: Thiết lập mối quan hệ tin cậy (thiết lập CA gốc)
Google Wallet sử dụng mô hình Chuỗi tin cậy.
- Gửi chứng chỉ gốc: Cung cấp chứng chỉ CA gốc cho Google.
- Google sẽ thêm chứng chỉ gốc của bạn vào kho lưu trữ uy tín của Google Wallet, cho phép chứng chỉ này xác minh mọi chứng chỉ mà bạn cấp cho các RP cuối.
Bước 3: Kết thúc quy trình đăng ký tham gia RP
Đối với mỗi End RP mà bạn ký, bạn phải:
- Thông báo cho Google: Sử dụng Biểu mẫu đăng ký ban đầu cho người xác minh và nhà đăng ký để thông báo cho Google về RP mới và trường hợp sử dụng dự kiến của RP đó.
- Định cấu hình siêu dữ liệu: Điền thông tin hiển thị của RP (Tên, Biểu trưng, URL Chính sách quyền riêng tư) và đặt một Tên riêng biệt (Đối tượng) duy nhất trên toàn cầu trong chứng chỉ của họ.
Quy cách kỹ thuật
A. Hồ sơ chứng chỉ
Các yêu cầu phải được ký bằng chứng chỉ X.509 phiên bản 3 tiêu chuẩn được tạo bằng P-256 / ECDSA và chứa một tiện ích tuỳ chỉnh của Google:
- OID tiện ích tuỳ chỉnh:
1.3.6.1.4.1.11129.10.1 - Mức độ nghiêm trọng: Không nghiêm trọng.
- Nội dung: Hàm băm SHA256 của
RelyingPartyMetadataBytes, được mã hoá trong ASN.1OCTET STRING.
B. Lược đồ siêu dữ liệu (CBOR)
Siêu dữ liệu phải được mã hoá ở định dạng CBOR.
; in CDDL for CBOR encoding
; schemaVersion = "v1"
RelyingPartyMetadataBytes = #6.24(bstr .cbor RelyingPartyMetadata)
RelyingPartyMetadata = {
"schema_version": tstr,
"display": DisplayInfo,
"aggregator_info": DisplayInfo ; Optional: include to show your branding alongside the RP
}
DisplayInfo = {
"display_name": tstr,
"logo_uri": tstr, ; See note below on brand guidelines
"privacy_policy_uri": tstr
}
logo_uri phải tuân thủ Nguyên tắc sử dụng thương hiệu của Google Wallet.
C. Tích hợp OpenID4VP
Thêm siêu dữ liệu được mã hoá base64url vào đối tượng client_metadata:
{
"client_metadata": {
"vp_formats_supported": { ... },
"gw_rp_metadata_bytes": "<base64url encoding of RelyingPartyMetadataBytes>"
},
"nonce": "...",
"response_mode": "dc_api",
"response_type": "vp_token"
}
Tuân thủ và thu hồi
- Giám sát hành vi sử dụng sai mục đích: Google giám sát hoạt động RP có hại và sẽ thông báo cho bạn về mọi hành vi sử dụng sai mục đích được phát hiện.
- Thu hồi nhanh chóng: Bạn phải thu hồi nhanh chóng chứng chỉ cho các RP có hành vi sai trái và xuất bản Danh sách thu hồi chứng chỉ (CRL) mới nhất.
- Kiểm tra: Google duy trì nhật ký ẩn danh để đảm bảo các yêu cầu RP khớp với trường hợp sử dụng đã đăng ký.
Các bước tiếp theo
Để bắt đầu tham gia, hãy liên hệ với Đại diện của Google và cung cấp chứng chỉ Root CA đề xuất cũng như danh sách ban đầu về các RP cuối.