Przewodnik po integracji z platformą sygnałów udostępnionych Google Workspace (SSF) – zamknięta wersja beta

Shared Signals Framework (SSF) to inicjatywa społecznościowa OpenID Foundation, która koncentruje się na opracowywaniu i utrzymywaniu struktury komunikacyjnej dla platform zabezpieczeń, aby mogły one udostępniać informacje o bezpieczeństwie za pomocą standardowych zdarzeń i protokołów. Aby wspierać inicjatywę SSF, Google Workspace wdraża odbiornik SSF do przetwarzania sygnałów profilu ciągłej oceny dostępu (CAEP).

Pierwsza wersja, która jest obecnie dostępna w ramach zamkniętych testów beta, obsługuje sygnał zdarzenia unieważnienia sesji. Z czasem chcemy wprowadzić obsługę wielu sygnałów CAEP przesyłanych przez różne platformy zabezpieczeń.

Jeśli jesteś dostawcą platformy zabezpieczeń i chcesz przesyłać sygnały CAEP do Google Workspace lub klientem Google Workspace, który chce przetestować integrację sygnałów udostępnionych w swojej domenie, wyraź zainteresowanie, wypełniając formularz rejestracji testera SSF.

Uwaga: w trakcie zamkniętych testów beta planujemy stopniowo wdrażać zarówno partnerów, jak i klientów. Przesłanie formularza nie gwarantuje udziału w zamkniętych testach beta.

Zdarzenie anulowania sesji CAEP

Początkowo Google Workspace obsługuje zdarzenie unieważnienia sesji protokołu CAEP (Continuous Access Evaluation Protocol). Dzięki temu inne usługi mogą powiadamiać Google Workspace o odwołaniu sesji użytkownika.

Oto przykład zdarzenia unieważnienia sesji CAEP:

{
  "aud": "https://sharedsignals.googleapis.com",
  "events": {
    "https://schemas.openid.net/secevent/caep/event-type/session-revoked": {
      "event_timestamp": 1750212646,
      "subject": {
        "email": "user@domain.com",
        "format": "email"
      }
    }
  },
  "iat": 1750212646,
  "iss": "<issuer_id>",
  "jti": "YzBhOTBhMWEtNWVhOS00ZDkxLWFlYTgtMjE1YjliMjQ4YTVh",
  "sub_id": {
    "email": "user@domain.com",
    "format": "email"
  }
}

Pola w poprzednim przykładzie JSON są zdefiniowane w ten sposób:

  • aud: Odbiorcy. Wartość musi wynosić https://sharedsignals.googleapis.com.
  • events: mapa wydarzeń.
    • https://schemas.openid.net/secevent/caep/event-type/session-revoked: zdarzenie CAEP.
      • event_timestamp: sygnatura czasowa zdarzenia.
      • subject: użytkownik, którego dotyczy zdarzenie.
        • email: adres e-mail użytkownika.
        • format: format tematu, w tym przypadku email.
  • iat: Godzina wydania. Sygnatura czasowa zdarzenia.
  • iss: Issuer. Identyfikator usługi, która wysłała zdarzenie.
  • jti: identyfikator JWT. Unikalny identyfikator wydarzenia.
  • sub_id: identyfikator tematu. Użytkownik, którego dotyczy zdarzenie.
    • email: adres e-mail użytkownika.
    • format: format tematu, w tym przypadku email.

Przypadki użycia zdarzenia unieważnienia sesji

Oto kilka przypadków użycia, w których nadawca może wysłać do odbiornika Google zdarzenie unieważnienia sesji:

  1. Wyłączenie konta przez partnerów dostawcy tożsamości: gdy dostawca tożsamości wyłączy konto użytkownika.
  2. Zawieszenie konta przez partnerów IDP: gdy dostawca tożsamości zawiesza konto użytkownika.
  3. Zdarzenie ryzyka użytkownika według dostawców tożsamości i partnerów EDR: gdy dostawca tożsamości lub partner EDR wykryje ryzyko związane z użytkownikiem.
  4. Zmiana danych logowania przez dostawcę tożsamości: gdy dane logowania użytkownika zostaną zmienione u dostawcy tożsamości.

We wszystkich tych scenariuszach zdarzenie po stronie nadawcy może wywołać zdarzenie unieważnienia sesji po stronie odbiorcy Google, co pomaga zweryfikować, czy sesje użytkownika w Google Workspace zostały wylogowane, zwiększając bezpieczeństwo konta.