개요
이 섹션에서는 검증자 등록기관이 Google 지갑 ID 서비스에 온보딩하는 단계별 프로세스를 설명합니다.
검증자 등록기관 (예: 다른 법인을 대신하여 검증하는 IDV 회사)은 자체 인증 기관 (CA) 역할을 하며 관리하는 다운스트림 최종 신뢰 당사자 (RP)의 ID 요청에 서명합니다.
온보딩 프로세스
1단계: 비즈니스 검토 및 서비스 약관 (ToS)
- 서비스 약관에 동의하고 세부정보 제출: 검증자 등록기관 온보딩 인테이크 양식을 작성하여 Google 지갑 검증자 등록기관 서비스 약관에 동의하고 온보딩을 시작합니다.
2단계: 신뢰 구축 (루트 CA 설정)
Google 지갑은 신뢰 체인 모델을 사용합니다.
- 루트 인증서 제출: Google에 루트 CA 인증서를 제공합니다.
- Google은 루트 인증서를 Google 지갑 신뢰 저장소에 추가하여 최종 RP에 발급하는 인증서를 확인할 수 있도록 합니다.
3단계: 최종 RP 온보딩
서명하는 각 최종 RP에 대해 다음을 수행해야 합니다.
- Google에 알림: 검증자 등록기관 클라이언트 온보딩 양식을 사용하여 Google에 새 RP 및 의도된 사용 사례를 알립니다.
- 메타데이터 구성: RP의 표시 정보 (이름, 로고, 개인 정보처리방침 URL)를 입력하고 인증서에 전역적으로 고유한 고유 이름 (주체) 을 설정합니다.
기술 사양
A. 인증서 프로필
요청은 P-256 / ECDSA 를 사용하여 생성되고 맞춤 Google 확장 프로그램을 포함하는 표준 X.509 v3 인증서로 서명되어야 합니다.
- 맞춤 확장 프로그램 OID:
1.3.6.1.4.1.11129.10.1 - 중요도: 중요하지 않음.
- 콘텐츠: ASN.1
OCTET STRING으로 인코딩된RelyingPartyMetadataBytes의 SHA256 해시입니다.
B. 메타데이터 스키마 (CBOR)
메타데이터는 CBOR 형식으로 인코딩되어야 합니다.
; in CDDL for CBOR encoding
; schemaVersion = "v1"
RelyingPartyMetadataBytes = #6.24(bstr .cbor RelyingPartyMetadata)
RelyingPartyMetadata = {
"schema_version": tstr,
"display": DisplayInfo,
"aggregator_info": DisplayInfo ; Optional: include to show your branding alongside the RP
}
DisplayInfo = {
"display_name": tstr,
"logo_uri": tstr, ; See note below on brand guidelines
"privacy_policy_uri": tstr
}
logo_uri는 Google 지갑 브랜드 가이드라인을 준수해야 합니다.
C. OpenID4VP 통합
client_metadata 객체에 base64url로 인코딩된 메타데이터를 포함합니다.
{
"client_metadata": {
"vp_formats_supported": { ... },
"gw_rp_metadata_bytes": "<base64url encoding of RelyingPartyMetadataBytes>"
},
"nonce": "...",
"response_mode": "dc_api",
"response_type": "vp_token"
}
규정 준수 및 해지
- 악용 모니터링: Google은 악의적인 RP 활동을 모니터링하고 감지된 악용 사례를 알려 드립니다.
- 즉시 해지: 악용 RP의 인증서를 즉시 해지하고 업데이트된 인증서 해지 목록 (CRL)을 게시해야 합니다.
- 감사: Google은 RP 요청이 등록된 사용 사례와 일치하는지 확인하기 위해 익명 처리된 로그를 유지합니다.
다음 단계
온보딩을 시작하려면 제안된 루트 CA 인증서와 최종 RP의 초기 목록을 Google 담당자에게 문의하세요.
온보딩 및 통합에 관한 자주 묻는 질문(FAQ)은 디지털 ID 및 사용자 인증 정보 FAQ를 참고하세요.