Guida all'onboarding del registrar del verificatore

Panoramica

Questa sezione descrive la procedura passo passo per l'onboarding dei registrar di verifica con il servizio di identità di Google Wallet.

In qualità di registrar di verifica (ad esempio, una società di verifica dell'identità che esegue la verifica per conto di altre entità), agisci come una tua autorità di certificazione (CA), firmando le richieste di identità per le parti terze finali (RP) downstream che gestisci.

Operazioni preliminari

Passaggio 1: revisione dell'attività e Termini di servizio (TdS)

  • Accetta i TdS e invia i tuoi dati: compila il modulo di onboarding del registrar di verifica per accettare i Termini di servizio del registrar di verifica di Google Wallet e iniziare l'onboarding.

Passaggio 2: creazione dell'attendibilità (configurazione della CA radice)

Google Wallet utilizza un modello di catena di attendibilità.

  • Invia il certificato radice: fornisci il certificato CA radice a Google.
  • Google aggiungerà il tuo certificato radice all'archivio di attendibilità di Google Wallet, consentendogli di verificare tutti i certificati che emetti per le tue RP finali.

Passaggio 3: onboarding della RP finale

Per ogni RP finale per cui firmi, devi:

  • Informare Google: utilizza il modulo di onboarding del cliente del registrar di verifica per comunicare a Google la nuova RP e il relativo caso d'uso previsto.
  • Configurare i metadati: inserisci le informazioni di visualizzazione della RP (nome, logo, URL delle Norme sulla privacy) e imposta un nome distinto (oggetto) univoco a livello globale nel relativo certificato.

Specifiche tecniche

A. Profilo certificato

Le richieste devono essere firmate da certificati X.509 v3 standard generati utilizzando P-256 / ECDSA e contenenti un'estensione Google personalizzata:

  • OID dell'estensione personalizzata: 1.3.6.1.4.1.11129.10.1
  • Criticità: non critica.
  • Contenuto: un hash SHA256 di RelyingPartyMetadataBytes, codificato in una OCTET STRING ASN.1.

B. Schema dei metadati (CBOR)

I metadati devono essere codificati in formato CBOR.

; in CDDL for CBOR encoding
; schemaVersion = "v1"

RelyingPartyMetadataBytes = #6.24(bstr .cbor RelyingPartyMetadata)


RelyingPartyMetadata = {
  "schema_version": tstr,
  "display": DisplayInfo,
  "aggregator_info": DisplayInfo  ; Optional: include to show your branding alongside the RP
}

DisplayInfo = {
  "display_name": tstr,
  "logo_uri": tstr,             ; See note below on brand guidelines
  "privacy_policy_uri": tstr
}

L'elemento logo_uri deve rispettare le linee guida per il branding di Google Wallet.

C. Integrazione OpenID4VP

Includi i metadati con codifica base64url nell'oggetto client_metadata:

{
  "client_metadata": {
    "vp_formats_supported": { ... },
    "gw_rp_metadata_bytes": "<base64url encoding of RelyingPartyMetadataBytes>"
  },
  "nonce": "...",
  "response_mode": "dc_api",
  "response_type": "vp_token"
}

Conformità e revoca

  • Monitoraggio degli abusi: Google monitora l'attività dannosa delle RP e ti avviserà in caso di abusi rilevati.
  • Revoca rapida: devi revocare immediatamente i certificati per le RP abusive e pubblicare un elenco revoche certificati (CRL) aggiornato.
  • Audit: Google conserva i log anonimizzati per garantire che le richieste RP corrispondano ai casi d'uso registrati.

Passaggi successivi

Per iniziare l'onboarding, contatta il tuo rappresentante di Google con il certificato CA radice proposto e l'elenco iniziale delle RP finali.