Descripción general
En esta sección, se describe el proceso paso a paso para que los registradores de verificadores se incorporen al servicio de identidad de la Billetera de Google.
Como registrador de verificadores (por ejemplo, una empresa de IDV que realiza verificaciones en nombre de otras entidades), actúas como tu propia autoridad de certificación (CA) y firmas solicitudes de identidad para las partes externas que confían (RP) que administras.
Proceso de integración
Paso 1: Revisión de la empresa y Condiciones del Servicio (CdS)
- Acepta las CdS y envía tus detalles: Completa el formulario de incorporación del registrador de verificadores para aceptar las Condiciones del Servicio del registrador de verificadores de la Billetera de Google y comenzar la incorporación.
Paso 2: Establecimiento de la confianza (configuración de la CA raíz)
La Billetera de Google usa un modelo de cadena de confianza.
- Submit Root Certificate: Proporciona tu certificado de CA raíz a Google.
- Google agregará tu certificado raíz al almacén de confianza de la Billetera de Google, lo que le permitirá verificar los certificados que emitas a tus RP finales.
Paso 3: Finaliza la integración del RP
Para cada RP final que firmes, debes hacer lo siguiente:
- Informa a Google: Usa el formulario de incorporación del cliente del registrador de verificadores para notificar a Google sobre el nuevo RP y su caso de uso previsto.
- Configura los metadatos: Completa la información de visualización del RP (nombre, logotipo, URL de la política de privacidad) y establece un nombre distintivo (sujeto) único a nivel global en su certificado.
Especificaciones técnicas
A. Perfil de certificado
Las solicitudes deben estar firmadas por certificados X.509 v3 estándar generados con P-256 / ECDSA y que contengan una extensión personalizada de Google:
- OID de extensión personalizada:
1.3.6.1.4.1.11129.10.1 - Criticidad: No crítica.
- Contenido: Es un hash SHA256 de
RelyingPartyMetadataBytes, codificado en unOCTET STRINGde ASN.1.
B. Esquema de metadatos (CBOR)
Los metadatos deben estar codificados en formato CBOR.
; in CDDL for CBOR encoding
; schemaVersion = "v1"
RelyingPartyMetadataBytes = #6.24(bstr .cbor RelyingPartyMetadata)
RelyingPartyMetadata = {
"schema_version": tstr,
"display": DisplayInfo,
"aggregator_info": DisplayInfo ; Optional: include to show your branding alongside the RP
}
DisplayInfo = {
"display_name": tstr,
"logo_uri": tstr, ; See note below on brand guidelines
"privacy_policy_uri": tstr
}
El logo_uri debe seguir los Lineamientos de desarrollo de la marca de la Billetera de Google.
C. Integración de OpenID4VP
Incluye los metadatos codificados en Base64URL en el objeto client_metadata:
{
"client_metadata": {
"vp_formats_supported": { ... },
"gw_rp_metadata_bytes": "<base64url encoding of RelyingPartyMetadataBytes>"
},
"nonce": "...",
"response_mode": "dc_api",
"response_type": "vp_token"
}
Cumplimiento y revocación
- Supervisión del abuso: Google supervisa la actividad maliciosa de RP y te notificará si detecta abuso.
- Revocación inmediata: Debes revocar de inmediato los certificados de los RP abusivos y publicar una lista de revocación de certificados (CRL) actualizada.
- Auditoría: Google mantiene registros anonimizados para garantizar que las solicitudes de RP coincidan con sus casos de uso registrados.
Próximos pasos
Para comenzar la integración, comunícate con tu representante de Google y envíale el certificado de la AC raíz que propusiste y la lista inicial de RP finales.
Si tienes preguntas frecuentes sobre la integración y la incorporación, consulta las Preguntas frecuentes sobre identidades y credenciales digitales.