Présentation
Cette section décrit la procédure à suivre pour que les bureaux d'enregistrement des validateurs s'intègrent au service d'identité Google Wallet.
En tant que bureau d'enregistrement des validateurs (par exemple, une entreprise de validation d'identité qui effectue des validations pour le compte d'autres entités), vous agissez en tant qu'autorité de certification (AC) et signez les demandes d'identité pour les parties utilisatrices finales en aval que vous gérez.
Processus d'intégration
Étape 1 : Examen de l'entreprise et conditions d'utilisation
Étape 2 : Établissement de la confiance (configuration de l'autorité de certification racine)
Google Wallet utilise un modèle de chaîne de confiance.
- Envoyez le certificat racine : fournissez votre certificat d'autorité de certification racine à Google.
- Google ajoutera votre certificat racine au magasin de confiance Google Wallet, ce qui lui permettra de valider tous les certificats que vous émettez pour vos parties utilisatrices finales.
Étape 3 : Intégration des parties utilisatrices finales
Pour chaque partie utilisatrice finale pour laquelle vous signez, vous devez :
- Informer Google : utilisez le formulaire d'intégration des clients des bureaux d'enregistrement des validateurs pour informer Google de la nouvelle partie utilisatrice et de son cas d'utilisation prévu.
- Configurer les métadonnées : renseignez les informations à afficher de la partie utilisatrice (nom, logo, URL de la règle de confidentialité) et définissez un nom unique global (objet) dans son certificat.
Spécifications techniques
A. Profil de certificat
Les requêtes doivent être signées par des certificats X.509 v3 standards générés à l'aide de P-256 / ECDSA et contenant une extension Google personnalisée :
- OID d'extension personnalisée :
1.3.6.1.4.1.11129.10.1 - Criticité : non critique.
- Contenu : hachage SHA256 de
RelyingPartyMetadataBytes, encodé dans une chaîneOCTET STRINGASN.1.
B. Schéma de métadonnées (CBOR)
Les métadonnées doivent être encodées au format CBOR.
; in CDDL for CBOR encoding
; schemaVersion = "v1"
RelyingPartyMetadataBytes = #6.24(bstr .cbor RelyingPartyMetadata)
RelyingPartyMetadata = {
"schema_version": tstr,
"display": DisplayInfo,
"aggregator_info": DisplayInfo ; Optional: include to show your branding alongside the RP
}
DisplayInfo = {
"display_name": tstr,
"logo_uri": tstr, ; See note below on brand guidelines
"privacy_policy_uri": tstr
}
Le logo_uri doit respecter les consignes relatives à la marque Google Wallet.
C. Intégration OpenID4VP
Incluez les métadonnées encodées en base64url dans l'objet client_metadata :
{
"client_metadata": {
"vp_formats_supported": { ... },
"gw_rp_metadata_bytes": "<base64url encoding of RelyingPartyMetadataBytes>"
},
"nonce": "...",
"response_mode": "dc_api",
"response_type": "vp_token"
}
Conformité et révocation
- Surveillance des utilisations abusives : Google surveille les activités malveillantes des parties utilisatrices et vous informe de toute utilisation abusive détectée.
- Révocation rapide : vous devez révoquer rapidement les certificats des parties utilisatrices abusives et publier une liste de révocation de certificats (LRC) mise à jour.
- Audit : Google conserve des journaux anonymisés pour s'assurer que les requêtes des parties utilisatrices correspondent à leurs cas d'utilisation enregistrés.
Étapes suivantes
Pour commencer l'intégration, contactez votre représentant Google avec le certificat d'autorité de certification racine que vous proposez et votre liste initiale de parties utilisatrices finales.
Pour obtenir des réponses aux questions fréquentes sur l'intégration, consultez les questions fréquentes sur l'identité et les identifiants numériques.