Lo Shared Signals Framework (SSF) è un'iniziativa supportata dalla community di OpenID Foundation, incentrata sullo sviluppo e sulla manutenzione di un framework di comunicazione per le piattaforme di sicurezza per condividere informazioni sulla sicurezza tramite eventi e protocolli standardizzati. Per supportare l'iniziativa SSF, Google Workspace sta implementando un ricevitore SSF per acquisire i segnali del profilo di valutazione dell'accesso continuo (CAEP).
La nostra versione iniziale, ora disponibile in versione beta chiusa, supporta l'indicatore evento Revoca sessione. Nel tempo, il nostro obiettivo è sviluppare il supporto per numerosi indicatori CAEP, trasmessi da una serie di piattaforme di sicurezza.
Se sei un fornitore di piattaforme di sicurezza interessato a trasmettere indicatori CAEP a Google Workspace o un cliente Google Workspace interessato a testare l'integrazione di Shared Signals nel tuo dominio, esprimi il tuo interesse compilando il modulo di registrazione del tester SSF.
Nota:durante la fase di sviluppo della beta chiusa, intendiamo integrare gradualmente partner e clienti. L'invio del modulo non garantisce l'accettazione alla beta chiusa.
Evento di revoca della sessione CAEP
Inizialmente, Google Workspace supporta l'evento di revoca della sessione CAEP (Continuous Access Evaluation Protocol). In questo modo, altri servizi possono inviare una notifica a Google Workspace quando la sessione di un utente è stata revocata.
Di seguito è riportato un esempio dell'evento Revoca sessione CAEP:
{
"aud": "https://sharedsignals.googleapis.com",
"events": {
"https://schemas.openid.net/secevent/caep/event-type/session-revoked": {
"event_timestamp": 1750212646,
"subject": {
"email": "user@domain.com",
"format": "email"
}
}
},
"iat": 1750212646,
"iss": "<issuer_id>",
"jti": "YzBhOTBhMWEtNWVhOS00ZDkxLWFlYTgtMjE1YjliMjQ4YTVh",
"sub_id": {
"email": "user@domain.com",
"format": "email"
}
}
I campi nell'esempio JSON precedente sono definiti come segue:
aud: Pubblico. Il valore deve esserehttps://sharedsignals.googleapis.com.events: una mappa degli eventi.https://schemas.openid.net/secevent/caep/event-type/session-revoked: l'evento CAEP.event_timestamp: timestamp dell'evento.subject: l'utente a cui si riferisce l'evento.email: l'email dell'utente.format: il formato dell'oggetto, in questo casoemail.
iat: Data/ora emissione. Timestamp dell'evento.iss: Emittente. L'ID del servizio che ha inviato l'evento.jti: ID JWT. Un ID univoco per l'evento.sub_id: ID soggetto. L'utente a cui si riferisce l'evento.email: l'email dell'utente.format: il formato dell'oggetto, in questo casoemail.
Casi d'uso per l'evento di revoca della sessione
Di seguito sono riportati alcuni casi d'uso in cui un trasmettitore può inviare un evento di revoca della sessione al destinatario di Google:
- Disattivazione dell'account da parte dei partner IdP: quando un provider di identità (IdP) disattiva un account utente.
- Sospensione dell'account da parte dei partner IdP: quando un IdP sospende un account utente.
- Evento di rischio utente per partner IdP ed EDR: quando un partner IdP o EDR (Endpoint Detection and Response) rileva un rischio associato all'utente.
- Modifica delle credenziali da parte del provider di identità: quando le credenziali di un utente vengono modificate nel provider di identità.
In tutti questi scenari, l'evento sul lato del trasmettitore può attivare un evento di revoca della sessione per il destinatario di Google, contribuendo a verificare che le sessioni dell'utente finale in Google Workspace siano disconnesse, migliorando la sicurezza dell'account.