Le Shared Signals Framework (SSF) est une initiative soutenue par la communauté de l'OpenID Foundation. Elle vise à développer et à gérer un framework de communication permettant aux plates-formes de sécurité de partager des informations sur la sécurité grâce à des événements et des protocoles standardisés. Pour soutenir l'initiative SSF, Google Workspace implémente un récepteur SSF afin d'ingérer les signaux du profil d'évaluation continue des accès (CAEP).
Notre première version, désormais disponible en version bêta fermée, prend en charge le signal d'événement de révocation de session. À terme, nous souhaitons prendre en charge de nombreux signaux CAEP, transmis par différentes plates-formes de sécurité.
Si vous êtes un fournisseur de plate-forme de sécurité et que vous souhaitez transmettre des signaux CAEP à Google Workspace, ou si vous êtes un client Google Workspace et que vous souhaitez tester l'intégration des signaux partagés dans votre domaine, manifestez votre intérêt en remplissant le formulaire d'inscription au testeur SSF.
Remarque : Nous sommes actuellement en phase de développement de la version bêta fermée. Nous prévoyons d'intégrer progressivement les partenaires et les clients. L'envoi du formulaire ne garantit pas l'acceptation à la bêta fermée.
Événement de révocation de session CAEP
Dans un premier temps, Google Workspace est compatible avec l'événement de révocation de session CAEP (Continuous Access Evaluation Protocol). Cela permet à d'autres services d'informer Google Workspace lorsqu'une session utilisateur a été révoquée.
Voici un exemple d'événement de révocation de session CAEP :
{
"aud": "https://sharedsignals.googleapis.com",
"events": {
"https://schemas.openid.net/secevent/caep/event-type/session-revoked": {
"event_timestamp": 1750212646,
"subject": {
"email": "user@domain.com",
"format": "email"
}
}
},
"iat": 1750212646,
"iss": "<issuer_id>",
"jti": "YzBhOTBhMWEtNWVhOS00ZDkxLWFlYTgtMjE1YjliMjQ4YTVh",
"sub_id": {
"email": "user@domain.com",
"format": "email"
}
}
Les champs de l'exemple JSON précédent sont définis comme suit :
aud: audience. La valeur doit êtrehttps://sharedsignals.googleapis.com.events: carte des événements.https://schemas.openid.net/secevent/caep/event-type/session-revoked: événement CAEP.event_timestamp: code temporel de l'événement.subject: utilisateur auquel l'événement fait référence.email: adresse e-mail de l'utilisateur.format: format du sujet,emaildans le cas présent.
iat: date et heure d'émission. Code temporel de l'événement.iss: émetteur. ID du service qui a envoyé l'événement.jti: ID JWT. Un ID unique pour l'événement.sub_id: ID du sujet. Utilisateur auquel l'événement fait référence.email: adresse e-mail de l'utilisateur.format: format du sujet,emaildans le cas présent.
Cas d'utilisation pour l'événement de révocation de session
Voici quelques cas d'utilisation dans lesquels un émetteur peut envoyer un événement de révocation de session au récepteur de Google :
- Désactivation de compte par les partenaires du FdI : lorsqu'un fournisseur d'identité (FdI) désactive un compte utilisateur.
- Suspension de compte par les partenaires IdP : lorsqu'un IdP suspend un compte utilisateur.
- Événement de risque utilisateur par partenaire IDP et EDR : lorsqu'un partenaire IDP ou EDR (Endpoint Detection and Response) détecte un risque associé à l'utilisateur.
- Modification des identifiants par l'IdP : lorsque les identifiants d'un utilisateur sont modifiés dans l'IdP.
Dans tous ces scénarios, l'événement côté émetteur peut déclencher un événement de révocation de session pour le récepteur de Google, ce qui permet de vérifier que les sessions de l'utilisateur final dans Google Workspace sont déconnectées, ce qui renforce la sécurité du compte.