Обзор
В этом разделе описан пошаговый процесс подключения регистраторов-верификаторов к сервису Google Wallet Identity.
В качестве регистратора-верификатора (например, компании, занимающейся проверкой данных от имени других организаций) вы выступаете в роли собственного центра сертификации (ЦС), подписывая запросы на идентификацию для конечных заинтересованных сторон (КП), которыми вы управляете.
Процесс адаптации
Шаг 1: Анализ бизнеса и Условия предоставления услуг (Условия обслуживания)
- Примите Условия использования и предоставьте свои данные: Заполните форму заявки на регистрацию верификатора, чтобы принять Условия использования регистратора верификаторов Google Wallet и начать процесс регистрации.
Шаг 2: Установление доверительных отношений (настройка корневого центра сертификации)
Google Wallet использует модель «цепочки доверия».
- Отправка корневого сертификата: Предоставьте Google свой корневой сертификат центра сертификации.
- Google добавит ваш корневой сертификат в хранилище доверенных сертификатов Google Wallet, что позволит ему проверять любые сертификаты, которые вы выдаете своим конечным поставщикам услуг.
Шаг 3: Завершение процесса адаптации в RP.
Для каждого подписанного вами соглашения о завершении ролевой игры вы должны:
- Уведомите Google: используйте форму обратной связи для регистрации новых клиентов регистратора верификаторов, чтобы сообщить Google о новом регистраторе верификаторов и предполагаемом сценарии его использования.
- Настройка метаданных: заполните отображаемую информацию о поставщике услуг (имя, логотип, URL-адрес политики конфиденциальности) и установите глобально уникальное отличительное имя (субъект) в его сертификате.
Технические характеристики
А. Профиль сертификата
Запросы должны быть подписаны стандартными сертификатами X.509 v3, сгенерированными с использованием P-256 / ECDSA и содержащими пользовательское расширение Google:
- Пользовательский OID расширения:
1.3.6.1.4.1.11129.10.1 - Критичность: Некритическая.
- Содержимое: Хэш SHA256 объекта
RelyingPartyMetadataBytes, закодированный вOCTET STRING.
B. Схема метаданных (CBOR)
Метаданные должны быть закодированы в формате CBOR.
; in CDDL for CBOR encoding
; schemaVersion = "v1"
RelyingPartyMetadataBytes = #6.24(bstr .cbor RelyingPartyMetadata)
RelyingPartyMetadata = {
"schema_version": tstr,
"display": DisplayInfo,
"aggregator_info": DisplayInfo ; Optional: include to show your branding alongside the RP
}
DisplayInfo = {
"display_name": tstr,
"logo_uri": tstr, ; See note below on brand guidelines
"privacy_policy_uri": tstr
}
logo_uri должен соответствовать рекомендациям Google Wallet по использованию фирменной символики .
Интеграция C. OpenID4VP
Включите закодированные в base64url метаданные в объект client_metadata :
{
"client_metadata": {
"vp_formats_supported": { ... },
"gw_rp_metadata_bytes": "<base64url encoding of RelyingPartyMetadataBytes>"
},
"nonce": "...",
"response_mode": "dc_api",
"response_type": "vp_token"
}
Соблюдение требований и аннулирование
- Мониторинг злоупотреблений: Google отслеживает вредоносную активность в RP-сетях и уведомит вас о любых обнаруженных нарушениях.
- Оперативное аннулирование: Вы обязаны незамедлительно аннулировать сертификаты, используемые злоупотребляющими механизмами повторного использования, и опубликовать обновленный список аннулированных сертификатов (CRL).
- Аудит: Google ведет анонимизированные журналы, чтобы гарантировать соответствие запросов RP зарегистрированным сценариям использования.
Следующие шаги
Для начала процесса подключения свяжитесь с представителем Google, предоставив предлагаемый корневой сертификат центра сертификации и первоначальный список конечных поставщиков услуг.