El Shared Signals Framework (SSF) es una iniciativa de la comunidad respaldada por la OpenID Foundation, que se enfoca en desarrollar y mantener un framework de comunicación para que las plataformas de seguridad compartan estadísticas de seguridad a través de eventos y protocolos estandarizados. Para respaldar la iniciativa de SSF, Google Workspace implementará un receptor de SSF para transferir los indicadores del Perfil de evaluación de acceso continuo (CAEP).
Nuestra versión inicial, que ya está disponible en la versión beta cerrada, admite el indicador de evento de revocación de sesión. Con el tiempo, nuestro objetivo es desarrollar la compatibilidad con numerosos indicadores del CAEP, transmitidos por una variedad de plataformas de seguridad.
Si eres proveedor de una plataforma de seguridad y te interesa transmitir indicadores del CAEP a Google Workspace, o bien eres cliente de Google Workspace y te interesa probar la integración de Indicadores Compartidos en tu dominio, completa el formulario de inscripción de evaluadores de SSF para expresar tu interés.
Nota: Si bien nos encontramos en una fase de desarrollo de la versión beta cerrada, tenemos la intención de incorporar gradualmente a socios y clientes. El envío del formulario no garantiza la aceptación en la versión beta cerrada.
Evento de revocación de sesión de CAEP
Inicialmente, Google Workspace admite el evento de revocación de sesión del CAEP (Continuous Access Evaluation Protocol). Esto permite que otros servicios notifiquen a Google Workspace cuando se revoca la sesión de un usuario.
A continuación, se muestra un ejemplo del evento de revocación de sesión de CAEP:
{
"aud": "https://sharedsignals.googleapis.com",
"events": {
"https://schemas.openid.net/secevent/caep/event-type/session-revoked": {
"event_timestamp": 1750212646,
"subject": {
"email": "user@domain.com",
"format": "email"
}
}
},
"iat": 1750212646,
"iss": "<issuer_id>",
"jti": "YzBhOTBhMWEtNWVhOS00ZDkxLWFlYTgtMjE1YjliMjQ4YTVh",
"sub_id": {
"email": "user@domain.com",
"format": "email"
}
}
Los campos del ejemplo de JSON anterior se definen de la siguiente manera:
aud: Público. El valor debe serhttps://sharedsignals.googleapis.com.events: Es un mapa de eventos.https://schemas.openid.net/secevent/caep/event-type/session-revoked: Es el evento del CAEP.event_timestamp: Es la marca de tiempo del evento.subject: Es el usuario al que se refiere el evento.email: Es el correo electrónico del usuario.format: Es el formato del asunto, en este caso,email.
iat: Fecha y hora de emisión. Es la marca de tiempo del evento.iss: Es la entidad emisora. Es el ID del servicio que envió el evento.jti: ID del JWT. Un ID único para el evento.sub_id: ID del sujeto. Es el usuario al que se refiere el evento.email: Es el correo electrónico del usuario.format: Es el formato del asunto, en este caso,email.
Casos de uso del evento de revocación de sesión
Estos son algunos casos de uso en los que un transmisor puede enviar un evento de revocación de sesión al receptor de Google:
- Inhabilitación de la cuenta por parte de socios de IdP: Se produce cuando un proveedor de identidad (IdP) inhabilita una cuenta de usuario.
- Suspensión de la cuenta por parte de los socios del IDP: Se produce cuando un IDP suspende una cuenta de usuario.
- Evento de riesgo del usuario por parte de socios de IDP y EDR: Se produce cuando un socio de IDP o de detección y respuesta de extremos (EDR) detecta un riesgo asociado con el usuario.
- Credential Change by IDP: Cuando se cambian las credenciales de un usuario en el IDP
En todas estas situaciones, el evento del lado del transmisor puede activar un evento de revocación de sesión en el receptor de Google, lo que ayuda a verificar que se haya cerrado la sesión del usuario final en Google Workspace, lo que mejora la seguridad de la cuenta.