總覽
本節將逐步說明驗證者註冊機構如何加入 Google 錢包身分識別服務。
驗證機構註冊機構 (例如,代表其他實體驗證的 IDV 公司) 會擔任自己的憑證授權單位 (CA),為您管理的下游最終信賴方 (RP) 簽署身分要求。
新手上路流程
步驟 1:商家審查和《服務條款》
- 接受《服務條款》並提交詳細資料:填寫驗證機構註冊上線申請表,接受 Google 錢包驗證機構註冊《服務條款》,然後開始上線程序。
步驟 2:建立信任關係 (設定根 CA)
Google 錢包採用信任鏈模型。
- 提交根憑證:將根 CA 憑證提供給 Google。
- Google 會將根憑證新增至 Google 錢包信任存放區,以便驗證您核發給 End RP 的任何憑證。
步驟 3:結束 RP 前置作業
您必須為簽署的每個 End RP 執行下列操作:
- 通知 Google:使用驗證者註冊商用戶端入門表單,通知 Google 新 RP 及其預期用途。
- 設定中繼資料:填入 RP 的顯示資訊 (名稱、標誌、隱私權政策網址),並在憑證中設定全域唯一的識別名稱 (主體)。
技術規格
A. 憑證設定檔
要求必須由使用 P-256 / ECDSA 產生的標準 X.509 v3 憑證簽署,且包含自訂 Google 擴充功能:
- 自訂擴充功能 OID:
1.3.6.1.4.1.11129.10.1 - 重要性:非重大。
- 內容:
RelyingPartyMetadataBytes的 SHA256 雜湊,以 ASN.1OCTET STRING編碼。
B. 中繼資料結構定義 (CBOR)
中繼資料必須以 CBOR 格式編碼。
; in CDDL for CBOR encoding
; schemaVersion = "v1"
RelyingPartyMetadataBytes = #6.24(bstr .cbor RelyingPartyMetadata)
RelyingPartyMetadata = {
"schema_version": tstr,
"display": DisplayInfo,
"aggregator_info": DisplayInfo ; Optional: include to show your branding alongside the RP
}
DisplayInfo = {
"display_name": tstr,
"logo_uri": tstr, ; See note below on brand guidelines
"privacy_policy_uri": tstr
}
logo_uri必須遵守 Google 錢包品牌宣傳指南。
C. 整合 OpenID4VP
在 client_metadata 物件中加入經過 base64url 編碼的中繼資料:
{
"client_metadata": {
"vp_formats_supported": { ... },
"gw_rp_metadata_bytes": "<base64url encoding of RelyingPartyMetadataBytes>"
},
"nonce": "...",
"response_mode": "dc_api",
"response_type": "vp_token"
}
合規和撤銷
- 濫用監控:Google 會監控惡意 RP 活動,並在偵測到任何濫用行為時通知您。
- 立即撤銷:您必須立即撤銷濫用 RP 的憑證,並發布更新的憑證撤銷清單 (CRL)。
- 稽核:Google 會維護匿名記錄,確保 RP 要求符合已註冊的用途。
後續步驟
如要開始導入程序,請與 Google 代表聯絡,並提供建議的根 CA 憑證和初始的終端 RP 清單。