Guia de integração do registrador de verificadores

Visão geral

Nesta seção, descrevemos o processo detalhado para registradores de verificadores integrarem o serviço de identidade da Carteira do Google.

Como um registrador de verificação (por exemplo, uma empresa de IDV que faz a verificação em nome de outras entidades), você atua como sua própria autoridade de certificação (CA), assinando solicitações de identidade para as partes confiáveis finais (RPs) downstream que você gerencia.

Processo de integração

Etapa 1: análise da empresa e Termos de Serviço (TOS)

• Aceite os Termos de Serviço e envie seus dados:preencha o formulário de integração do registrador de verificadores para aceitar os Termos de Serviço do registrador de verificadores da Carteira do Google e iniciar a integração.

Etapa 2: estabelecimento de confiança (configuração da autoridade de certificação raiz)

A Carteira do Google usa um modelo de cadeia de confiança.

• Enviar certificado raiz:forneça seu certificado de CA raiz ao Google.
• O Google vai adicionar seu certificado raiz ao repositório de confiança da Carteira do Google, permitindo que ele verifique todos os certificados emitidos para seus RPs finais.

Etapa 3: encerrar a integração do RP

Para cada RP final que você assinar, é necessário:

• Informe o Google:use o formulário de integração do cliente registrador do verificador para notificar o Google sobre o novo RP e o caso de uso pretendido.
• Configurar metadados:preencha as informações de exibição do RP (nome, logotipo, URL da Política de Privacidade) e defina um nome distinto (assunto) globalmente exclusivo no certificado.

Especificações técnicas

A. Perfil do certificado

As solicitações precisam ser assinadas por certificados X.509 v3 padrão gerados usando P-256 / ECDSA e que contenham uma extensão personalizada do Google:

• OID da extensão personalizada:1.3.6.1.4.1.11129.10.1
• Gravidade:não crítica.
• Conteúdo:um hash SHA256 do RelyingPartyMetadataBytes, codificado em um OCTET STRING ASN.1.

B. Esquema de metadados (CBOR)

Os metadados precisam ser codificados no formato CBOR.

; in CDDL for CBOR encoding
; schemaVersion = "v1"

RelyingPartyMetadataBytes = #6.24(bstr .cbor RelyingPartyMetadata)


RelyingPartyMetadata = {
  "schema_version": tstr,
  "display": DisplayInfo,
  "aggregator_info": DisplayInfo  ; Optional: include to show your branding alongside the RP
}

DisplayInfo = {
  "display_name": tstr,
  "logo_uri": tstr,             ; See note below on brand guidelines
  "privacy_policy_uri": tstr
}

O logo_uri precisa seguir as diretrizes da marca da Carteira do Google.

C. Integração com o OpenID4VP

Inclua os metadados codificados em base64url no objeto client_metadata:

{
  "client_metadata": {
    "vp_formats_supported": { ... },
    "gw_rp_metadata_bytes": "<base64url encoding of RelyingPartyMetadataBytes>"
  },
  "nonce": "...",
  "response_mode": "dc_api",
  "response_type": "vp_token"
}

Conformidade e revogação

• Monitoramento de abuso:o Google monitora atividades maliciosas de RP e notifica você sobre qualquer abuso detectado.
• Revogação imediata:é necessário revogar imediatamente os certificados de RPs abusivos e publicar uma lista de revogação de certificados (CRL) atualizada.
• Auditoria:o Google mantém registros anônimos para garantir que as solicitações de RP correspondam aos casos de uso registrados.

Próximas etapas

Para começar a integração, entre em contato com seu representante do Google com o certificado de CA raiz proposto e a lista inicial de RPs finais.

Para perguntas frequentes sobre integração e integração, consulte as Perguntas frequentes sobre identidade e credenciais digitais.