Übersicht
In diesem Abschnitt wird der schrittweise Prozess für die Registrierung von Verifizierern beim Google Wallet Identity Service beschrieben.
Als Verifizierer (z. B. ein Unternehmen zur Identitätsprüfung, das im Namen anderer Unternehmen Verifizierungen durchführt) fungieren Sie als eigene Zertifizierungsstelle (Certificate Authority, CA) und signieren Identitätsanfragen für die nachgelagerten End-Relying Parties (RPs), die Sie verwalten.
Einrichtungsprozess
Schritt 1: Überprüfung des Unternehmens und Nutzungsbedingungen
- Nutzungsbedingungen akzeptieren und Details einreichen: Füllen Sie das Onboarding-Formular für Verifizierer aus, um die Nutzungsbedingungen für Verifizierer von Google Wallet zu akzeptieren und mit der Registrierung zu beginnen.
Schritt 2: Vertrauensbeziehung einrichten (Root-CA-Einrichtung)
Google Wallet verwendet ein Modell der Vertrauenskette.
- Root-Zertifikat einreichen:Senden Sie Ihr Root-CA-Zertifikat an Google.
- Google fügt Ihr Root-Zertifikat dem Google Wallet-Vertrauensspeicher hinzu, damit alle Zertifikate, die Sie für Ihre End-RPs ausstellen, überprüft werden können.
Schritt 3: Onboarding der End-RP
Für jede End-RP, für die Sie signieren, müssen Sie Folgendes tun:
- Google informieren: Verwenden Sie das Onboarding-Formular für Verifizierer-Clients, um Google über die neue RP und den beabsichtigten Anwendungsfall zu informieren.
- Metadaten konfigurieren:Geben Sie die Anzeigeinformationen der RP (Name, Logo, URL der Datenschutzerklärung) an und legen Sie in ihrem Zertifikat einen global eindeutigen Distinguished Name (Subject) fest.
Technische Spezifikationen
A. Zertifikatsprofil
Anfragen müssen mit standardmäßigen X.509 v3-Zertifikaten signiert werden, die mit P-256 / ECDSA generiert wurden und eine benutzerdefinierte Google-Erweiterung enthalten:
- Benutzerdefinierte Erweiterungs-OID:
1.3.6.1.4.1.11129.10.1 - Wichtigkeit:Nicht kritisch
- Inhalt:Ein SHA256-Hash von
RelyingPartyMetadataBytes, codiert in einem ASN.1-OCTET STRING.
B. Metadatenschema (CBOR)
Metadaten müssen im CBOR-Format codiert sein.
; in CDDL for CBOR encoding
; schemaVersion = "v1"
RelyingPartyMetadataBytes = #6.24(bstr .cbor RelyingPartyMetadata)
RelyingPartyMetadata = {
"schema_version": tstr,
"display": DisplayInfo,
"aggregator_info": DisplayInfo ; Optional: include to show your branding alongside the RP
}
DisplayInfo = {
"display_name": tstr,
"logo_uri": tstr, ; See note below on brand guidelines
"privacy_policy_uri": tstr
}
Die logo_uri muss den Google Wallet-Markenrichtlinien entsprechen.
C. OpenID4VP-Integration
Fügen Sie die base64url-codierten Metadaten in das Objekt client_metadata ein:
{
"client_metadata": {
"vp_formats_supported": { ... },
"gw_rp_metadata_bytes": "<base64url encoding of RelyingPartyMetadataBytes>"
},
"nonce": "...",
"response_mode": "dc_api",
"response_type": "vp_token"
}
Compliance und Sperrung
- Missbrauchsüberwachung:Google überwacht böswillige RP-Aktivitäten und benachrichtigt Sie über jeden erkannten Missbrauch.
- Sofortige Sperrung:Sie müssen Zertifikate für missbräuchliche RPs umgehend sperren und eine aktualisierte Zertifikatssperrliste (Certificate Revocation List, CRL) veröffentlichen.
- Audit:Google führt anonymisierte Logs, um sicherzustellen, dass RP-Anfragen mit den registrierten Anwendungsfällen übereinstimmen.
Nächste Schritte
Wenden Sie sich an Ihren Google-Ansprechpartner, um mit der Registrierung zu beginnen. Senden Sie ihm Ihr vorgeschlagenes Root-CA-Zertifikat und Ihre erste Liste der End-RPs.
Antworten auf häufig gestellte Fragen zur Registrierung und Integration finden Sie in den FAQs zu digitaler Identität und Anmeldedaten.