คู่มือการผสานรวมเฟรมเวิร์กสัญญาณที่แชร์ (SSF) ของ Google Workspace รุ่นเบต้าแบบปิด

กรอบสัญญาณที่ใช้ร่วมกัน (SSF) เป็นโครงการริเริ่มที่ได้รับการสนับสนุนจากชุมชนของ OpenID Foundation โดยมุ่งเน้นที่การพัฒนากรอบการสื่อสารสำหรับแพลตฟอร์มความปลอดภัยเพื่อแชร์ข้อมูลเชิงลึกด้านความปลอดภัยผ่านเหตุการณ์และโปรโตคอลที่ได้มาตรฐาน Google Workspace จะใช้ตัวรับ SSF เพื่อนำเข้าสัญญาณโปรไฟล์การประเมินการเข้าถึงอย่างต่อเนื่อง (CAEP) เพื่อสนับสนุนโครงการริเริ่ม SSF

การเปิดตัวครั้งแรกของเราซึ่งพร้อมให้บริการในเวอร์ชันเบต้าแบบปิดแล้วรองรับสัญญาณเหตุการณ์การเพิกถอนเซสชัน ในอนาคต เราตั้งใจที่จะพัฒนาการรองรับสัญญาณ CAEP จำนวนมากที่ส่งผ่านโดยแพลตฟอร์มความปลอดภัยต่างๆ

หากคุณเป็นผู้ให้บริการแพลตฟอร์มความปลอดภัยที่สนใจส่งสัญญาณ CAEP ไปยัง Google Workspace หรือลูกค้า Google Workspace ที่สนใจทดสอบการผสานรวมสัญญาณที่แชร์ในโดเมน โปรดแสดงความสนใจโดยกรอกแบบฟอร์มการลงทะเบียนผู้ทดสอบ SSF

โปรดทราบ: ขณะที่เราอยู่ในระยะการพัฒนาเวอร์ชันเบต้าแบบปิด เราตั้งใจที่จะค่อยๆ เตรียมความพร้อมให้ทั้งพาร์ทเนอร์และลูกค้า การส่งแบบฟอร์มไม่ได้เป็นการรับประกันว่าจะได้รับการยอมรับให้เข้าร่วมเวอร์ชันเบต้าแบบปิด

เหตุการณ์การเพิกถอนเซสชัน CAEP

ในตอนแรก Google Workspace จะรองรับเหตุการณ์การเพิกถอนเซสชัน CAEP (โปรโตคอลการประเมินการเข้าถึงอย่างต่อเนื่อง) ซึ่งจะช่วยให้บริการอื่นๆ แจ้งเตือน Google Workspace ได้เมื่อมีการเพิกถอนเซสชันของผู้ใช้

ต่อไปนี้เป็นตัวอย่างเหตุการณ์การเพิกถอนเซสชัน CAEP

{
  "aud": "https://sharedsignals.googleapis.com",
  "events": {
    "https://schemas.openid.net/secevent/caep/event-type/session-revoked": {
      "event_timestamp": 1750212646,
      "subject": {
        "email": "user@domain.com",
        "format": "email"
      }
    }
  },
  "iat": 1750212646,
  "iss": "<issuer_id>",
  "jti": "YzBhOTBhMWEtNWVhOS00ZDkxLWFlYTgtMjE1YjliMjQ4YTVh",
  "sub_id": {
    "email": "user@domain.com",
    "format": "email"
  }
}

ฟิลด์ในตัวอย่าง JSON ก่อนหน้ามีคำจำกัดความดังนี้

  • aud: กลุ่มเป้าหมาย ค่าต้องเป็น https://sharedsignals.googleapis.com
  • events: แผนที่กิจกรรม
    • https://schemas.openid.net/secevent/caep/event-type/session-revoked: กิจกรรม CAEP
      • event_timestamp: การประทับเวลาของเหตุการณ์
      • subject: ผู้ใช้ที่เหตุการณ์อ้างอิงถึง
        • email: อีเมลของผู้ใช้
        • format: รูปแบบของเรื่อง ในกรณีนี้คือ email
  • iat: ออกเวลา การประทับเวลาของเหตุการณ์
  • iss: ผู้ออก รหัสของบริการที่ส่งเหตุการณ์
  • jti: รหัส JWT รหัสที่ไม่ซ้ำกันสำหรับเหตุการณ์
  • sub_id: รหัสเรื่อง ผู้ใช้ที่เหตุการณ์อ้างอิงถึง
    • email: อีเมลของผู้ใช้
    • format: รูปแบบของเรื่อง ในกรณีนี้คือ email

กรณีการใช้งานสำหรับเหตุการณ์การเพิกถอนเซสชัน

กรณีการใช้งานบางส่วนที่เครื่องส่งสามารถส่งเหตุการณ์การเพิกถอนเซสชันไปยังเครื่องรับของ Google มีดังนี้

  1. การปิดใช้บัญชีโดยพาร์ทเนอร์ IdP: เมื่อผู้ให้บริการข้อมูลประจำตัว (IdP) ปิดใช้บัญชีผู้ใช้
  2. การระงับบัญชีโดยพาร์ทเนอร์ IDP: เมื่อ IDP ระงับบัญชีผู้ใช้
  3. เหตุการณ์ความเสี่ยงของผู้ใช้ตาม IDP และพาร์ทเนอร์ EDR: เมื่อพาร์ทเนอร์ IDP หรือการตรวจหาและตอบสนองปลายทาง (EDR) ตรวจพบความเสี่ยงที่เชื่อมโยงกับผู้ใช้
  4. การเปลี่ยนแปลงข้อมูลเข้าสู่ระบบโดย IDP: เมื่อมีการเปลี่ยนแปลงข้อมูลเข้าสู่ระบบของผู้ใช้ใน IDP

ในสถานการณ์ทั้งหมดนี้ เหตุการณ์ในฝั่งเครื่องส่งจะทริกเกอร์เหตุการณ์การเพิกถอนเซสชันไปยังเครื่องรับของ Google ซึ่งจะช่วยยืนยันว่าระบบได้ออกจากระบบเซสชันของผู้ใช้ปลายทางภายใน Google Workspace แล้ว ซึ่งจะช่วยเพิ่มความปลอดภัยของบัญชี