Guida all'onboarding del registrar del verificatore

Panoramica

Questa sezione descrive la procedura passo passo per i registrar dei verificatori per l'onboarding con il servizio di identità di Google Wallet.

In qualità di registrar del verificatore (ad esempio, una società IDV che esegue la verifica per conto di altre entità), agisci come tua autorità di certificazione (CA), firmando le richieste di identità per le parti terze che fanno affidamento a valle che gestisci.

Procedura di onboarding

Passaggio 1: revisione dell'attività e Termini di servizio (TdS)

• Accetta i Termini di servizio e invia i tuoi dati:compila il modulo di acquisizione per l'onboarding del registrar del verificatore per accettare i Termini di servizio del registrar del verificatore di Google Wallet e iniziare l'onboarding.

Passaggio 2: creazione dell'attendibilità (configurazione della CA radice)

Google Wallet utilizza un modello di catena di attendibilità.

• Invia certificato radice:fornisci a Google il certificato CA radice.
• Google aggiungerà il tuo certificato radice all'archivio di attendibilità di Google Wallet, consentendogli di verificare tutti i certificati che rilasci ai tuoi RP finali.

Passaggio 3: termina l'onboarding del fornitore di servizi di pagamento

Per ogni RP finale che firmi, devi:

• Informa Google:utilizza il modulo di onboarding del client del registrar del verificatore per comunicare a Google il nuovo RP e il suo caso d'uso previsto.
• Configura i metadati:compila le informazioni di visualizzazione del RP (nome, logo, URL delle norme sulla privacy) e imposta un nome distinto (soggetto) univoco a livello globale nel certificato.

Specifiche tecniche

A. Profilo certificato

Le richieste devono essere firmate da certificati X.509 v3 standard generati utilizzando P-256 / ECDSA e contenenti un'estensione Google personalizzata:

• OID estensione personalizzata: 1.3.6.1.4.1.11129.10.1
• Criticità: non critica.
• Contenuto:un hash SHA256 di RelyingPartyMetadataBytes, codificato in un OCTET STRING ASN.1.

B. Schema dei metadati (CBOR)

I metadati devono essere codificati in formato CBOR.

; in CDDL for CBOR encoding
; schemaVersion = "v1"

RelyingPartyMetadataBytes = #6.24(bstr .cbor RelyingPartyMetadata)


RelyingPartyMetadata = {
  "schema_version": tstr,
  "display": DisplayInfo,
  "aggregator_info": DisplayInfo  ; Optional: include to show your branding alongside the RP
}

DisplayInfo = {
  "display_name": tstr,
  "logo_uri": tstr,             ; See note below on brand guidelines
  "privacy_policy_uri": tstr
}

Il logo_uri deve rispettare le linee guida per il branding di Google Wallet.

C. Integrazione OpenID4VP

Includi i metadati con codifica base64url nell'oggetto client_metadata:

{
  "client_metadata": {
    "vp_formats_supported": { ... },
    "gw_rp_metadata_bytes": "<base64url encoding of RelyingPartyMetadataBytes>"
  },
  "nonce": "...",
  "response_mode": "dc_api",
  "response_type": "vp_token"
}

Conformità e revoca

• Monitoraggio degli abusi:Google monitora le attività dannose di RP e ti avvisa in caso di abusi rilevati.
• Revoca immediata:devi revocare immediatamente i certificati per le RP abusive e pubblicare un elenco revoche certificati (CRL) aggiornato.
• Audit: Google conserva i log anonimizzati per garantire che le richieste di RP corrispondano ai casi d'uso registrati.

Passaggi successivi

Per iniziare l'onboarding, contatta il tuo rappresentante di Google e fornisci il certificato CA radice proposto e l'elenco iniziale di RP finali.

Per le domande frequenti sull'onboarding e l'integrazione, consulta le Domande frequenti su identità e credenziali digitali.