O Shared Signals Framework (SSF) (link em inglês) é uma iniciativa da comunidade da OpenID Foundation, focada no desenvolvimento e na manutenção de um framework de comunicação para que as plataformas de segurança compartilhem insights de segurança por eventos e protocolos padronizados. Para apoiar a iniciativa SSF, o Google Workspace está implementando um receptor SSF para ingerir sinais do perfil de avaliação de acesso contínuo (CAEP).
Nossa versão inicial, agora disponível na versão Beta fechada, é compatível com o indicador de evento de revogação de sessão. Com o tempo, nossa intenção é desenvolver suporte para vários indicadores da CAEP, transmitidos por diversas plataformas de segurança.
Se você é um fornecedor de plataforma de segurança interessado em transmitir indicadores do CAEP para o Google Workspace ou um cliente do Google Workspace interessado em testar a integração de indicadores compartilhados no seu domínio, preencha o formulário de inscrição do testador do SSF.
Observação:enquanto estamos na fase de desenvolvimento Beta fechada, pretendemos integrar gradualmente parceiros e clientes. O envio do formulário não garante a participação no beta fechado.
Evento de revogação de sessão do CAEP
Inicialmente, o Google Workspace é compatível com o evento de revogação de sessão do CAEP (Continuous Access Evaluation Protocol). Isso permite que outros serviços notifiquem o Google Workspace quando a sessão de um usuário é revogada.
Confira um exemplo do evento de revogação de sessão do CAEP:
{
"aud": "https://sharedsignals.googleapis.com",
"events": {
"https://schemas.openid.net/secevent/caep/event-type/session-revoked": {
"event_timestamp": 1750212646,
"subject": {
"email": "user@domain.com",
"format": "email"
}
}
},
"iat": 1750212646,
"iss": "<issuer_id>",
"jti": "YzBhOTBhMWEtNWVhOS00ZDkxLWFlYTgtMjE1YjliMjQ4YTVh",
"sub_id": {
"email": "user@domain.com",
"format": "email"
}
}
Os campos no exemplo JSON anterior são definidos da seguinte maneira:
aud: público-alvo. O valor precisa serhttps://sharedsignals.googleapis.com.events: um mapa de eventos.https://schemas.openid.net/secevent/caep/event-type/session-revoked: o evento do CAEP.event_timestamp: carimbo de data/hora do evento.subject: o usuário a que o evento se refere.email: o e-mail do usuário.format: o formato do assunto, neste caso,email.
iat: emitido em. Carimbo de data/hora do evento.iss: emissor. O ID do serviço que enviou o evento.jti: ID do JWT. Um ID exclusivo do evento.sub_id: ID do assunto. O usuário a que o evento se refere.email: o e-mail do usuário.format: o formato do assunto, neste caso,email.
Casos de uso para eventos de revogação de sessão
Confira alguns casos de uso em que um transmissor pode enviar um evento de revogação de sessão ao receptor do Google:
- Desativação de conta por parceiros de IdP:quando um provedor de identidade (IdP) desativa uma conta de usuário.
- Suspensão de conta por parceiros de IDP:quando um IDP suspende uma conta de usuário.
- Evento de risco do usuário por IDP e parceiros de EDR:quando um IDP ou parceiro de detecção e resposta de endpoints (EDR) detecta um risco associado ao usuário.
- Mudança de credencial pelo IdP:quando as credenciais de um usuário são alteradas no IdP.
Em todos esses cenários, o evento no lado do transmissor pode acionar um evento de revogação de sessão para o receptor do Google, ajudando a verificar se as sessões do usuário final no Google Workspace foram desconectadas, aumentando a segurança da conta.