Das Shared Signals Framework (SSF) ist eine von der Community unterstützte Initiative der OpenID Foundation, die sich auf die Entwicklung und Wartung eines Kommunikationsframeworks für Sicherheitsplattformen konzentriert, um Sicherheitsinformationen über standardisierte Ereignisse und Protokolle auszutauschen. Zur Unterstützung der SSF-Initiative implementiert Google Workspace einen SSF-Empfänger zum Erfassen von CAEP-Signalen (Continuous Access Evaluation Profile).
In unserer ersten Version, die jetzt in der geschlossenen Betaphase verfügbar ist, wird das Ereignissignal „Sitzungswiderruf“ unterstützt. Wir möchten im Laufe der Zeit Unterstützung für zahlreiche CAEP-Signale entwickeln, die von verschiedenen Sicherheitsplattformen übertragen werden.
Wenn Sie ein Anbieter von Sicherheitsplattformen sind und CAEP-Signale an Google Workspace senden möchten oder ein Google Workspace-Kunde sind und die Integration von Shared Signals in Ihrer Domain testen möchten, füllen Sie bitte das Registrierungsformular für SSF-Tester aus.
Hinweis:Während der Entwicklungsphase der geschlossenen Beta werden wir sowohl Partner als auch Kunden nach und nach einbinden. Das Einreichen des Formulars ist keine Garantie dafür, dass Sie für die geschlossene Beta ausgewählt werden.
CAEP-Ereignis zum Widerruf von Sitzungen
Google Workspace unterstützt anfangs das CAEP-Ereignis zum Widerrufen von Sitzungen (Continuous Access Evaluation Protocol). Dadurch können andere Dienste Google Workspace benachrichtigen, wenn die Sitzung eines Nutzers widerrufen wurde.
Im Folgenden finden Sie ein Beispiel für das CAEP-Ereignis „Session Revocation“ (Sitzungswiderruf):
{
"aud": "https://sharedsignals.googleapis.com",
"events": {
"https://schemas.openid.net/secevent/caep/event-type/session-revoked": {
"event_timestamp": 1750212646,
"subject": {
"email": "user@domain.com",
"format": "email"
}
}
},
"iat": 1750212646,
"iss": "<issuer_id>",
"jti": "YzBhOTBhMWEtNWVhOS00ZDkxLWFlYTgtMjE1YjliMjQ4YTVh",
"sub_id": {
"email": "user@domain.com",
"format": "email"
}
}
Die Felder im vorherigen JSON-Beispiel sind so definiert:
aud: Zielgruppe. Der Wert musshttps://sharedsignals.googleapis.comsein.events: Eine Karte mit Ereignissen.https://schemas.openid.net/secevent/caep/event-type/session-revoked: Das CAEP-Ereignis.event_timestamp: Zeitstempel des Ereignisses.subject: Der Nutzer, auf den sich das Ereignis bezieht.email: Die E-Mail-Adresse des Nutzers.format: Das Format des Betreffs, in diesem Fallemail.
iat: Herausgegeben bei. Zeitstempel des Ereignisses.iss: Aussteller. Die ID des Dienstes, der das Ereignis gesendet hat.jti: JWT-ID. Eine eindeutige ID für das Ereignis.sub_id: Subjekt-ID. Der Nutzer, auf den sich das Ereignis bezieht.email: Die E-Mail-Adresse des Nutzers.format: Das Format des Betreffs, in diesem Fallemail.
Anwendungsfälle für das Ereignis zum Widerrufen von Sitzungen
Hier sind einige Anwendungsfälle, in denen ein Sender ein Ereignis zum Widerrufen einer Sitzung an den Empfänger von Google senden kann:
- Kontodeaktivierung durch IDP-Partner:Wenn ein Identitätsanbieter (Identity Provider, IDP) ein Nutzerkonto deaktiviert.
- Kontosperrung durch IDP-Partner:Wenn ein IDP ein Nutzerkonto sperrt.
- Nutzer-Risikoereignis von IDP- und EDR-Partnern:Wenn ein IDP- oder EDR-Partner (Endpoint Detection and Response) ein Risiko im Zusammenhang mit dem Nutzer erkennt.
- Änderung der Anmeldedaten durch den Identitätsanbieter:Wenn die Anmeldedaten eines Nutzers im Identitätsanbieter geändert werden.
In all diesen Szenarien kann das Ereignis auf der Senderseite ein Sitzungswiderrufsereignis für den Empfänger von Google auslösen. So lässt sich überprüfen, ob die Sitzungen des Endnutzers in Google Workspace abgemeldet wurden, was die Kontosicherheit erhöht.