Hướng dẫn tích hợp Khung tín hiệu chung (SSF) của Google Workspace Giai đoạn thử nghiệm BETA khép kín

Shared Signals Framework (SSF) là một sáng kiến được cộng đồng hỗ trợ của OpenID Foundation, tập trung vào việc phát triển và duy trì một khung giao tiếp để các nền tảng bảo mật chia sẻ thông tin chi tiết về bảo mật thông qua các sự kiện và giao thức được tiêu chuẩn hoá. Để hỗ trợ sáng kiến SSF, Google Workspace đang triển khai một SSF Receiver để tiếp nhận các tín hiệu Hồ sơ đánh giá quyền truy cập liên tục (CAEP).

Bản phát hành ban đầu của chúng tôi (hiện có trong giai đoạn Thử nghiệm kín) hỗ trợ tín hiệu sự kiện Thu hồi phiên. Theo thời gian, chúng tôi dự định phát triển khả năng hỗ trợ cho nhiều tín hiệu CAEP do nhiều nền tảng bảo mật truyền tải.

Nếu bạn là nhà cung cấp nền tảng bảo mật muốn truyền tín hiệu CAEP đến Google Workspace hoặc là khách hàng của Google Workspace muốn kiểm thử tính năng tích hợp Shared Signals trong miền của mình, hãy bày tỏ sự quan tâm bằng cách điền vào biểu mẫu đăng ký kiểm thử SSF.

Xin lưu ý: Trong giai đoạn phát triển Thử nghiệm khép kín, chúng tôi dự định từng bước giới thiệu cho cả đối tác và khách hàng. Việc gửi biểu mẫu này không đảm bảo rằng bạn sẽ được chấp nhận tham gia giai đoạn thử nghiệm kín.

Sự kiện thu hồi phiên CAEP

Ban đầu, Google Workspace hỗ trợ Sự kiện thu hồi phiên CAEP (Giao thức đánh giá quyền truy cập liên tục). Điều này cho phép các dịch vụ khác thông báo cho Google Workspace khi phiên của người dùng bị thu hồi.

Sau đây là ví dụ về sự kiện Thu hồi phiên CAEP:

{
  "aud": "https://sharedsignals.googleapis.com",
  "events": {
    "https://schemas.openid.net/secevent/caep/event-type/session-revoked": {
      "event_timestamp": 1750212646,
      "subject": {
        "email": "user@domain.com",
        "format": "email"
      }
    }
  },
  "iat": 1750212646,
  "iss": "<issuer_id>",
  "jti": "YzBhOTBhMWEtNWVhOS00ZDkxLWFlYTgtMjE1YjliMjQ4YTVh",
  "sub_id": {
    "email": "user@domain.com",
    "format": "email"
  }
}

Các trường trong ví dụ JSON trước đó được xác định như sau:

  • aud: Đối tượng. Giá trị phải là https://sharedsignals.googleapis.com.
  • events: Bản đồ sự kiện.
    • https://schemas.openid.net/secevent/caep/event-type/session-revoked: Sự kiện CAEP.
      • event_timestamp: Dấu thời gian của sự kiện.
      • subject: Người dùng mà sự kiện đề cập đến.
        • email: Email của người dùng.
        • format: Định dạng của chủ đề, trong trường hợp này là email.
  • iat: Thời gian phát hành. Dấu thời gian của sự kiện.
  • iss: Tổ chức phát hành. Mã nhận dạng của dịch vụ đã gửi sự kiện.
  • jti: Mã nhận dạng JWT. Mã nhận dạng riêng biệt của sự kiện.
  • sub_id: Mã nhận dạng chủ đề. Người dùng mà sự kiện đề cập đến.
    • email: Email của người dùng.
    • format: Định dạng của chủ đề, trong trường hợp này là email.

Các trường hợp sử dụng Sự kiện thu hồi phiên

Sau đây là một số trường hợp sử dụng mà bộ truyền có thể gửi Sự kiện thu hồi phiên đến bộ nhận của Google:

  1. Đối tác IDP vô hiệu hoá tài khoản: Khi một Nhà cung cấp danh tính (IDP) vô hiệu hoá tài khoản người dùng.
  2. Đối tác IDP tạm ngưng tài khoản: Khi một IDP tạm ngưng tài khoản người dùng.
  3. Sự kiện rủi ro của người dùng theo IDP và Đối tác EDR: Khi một IDP hoặc đối tác Phát hiện và phản hồi điểm cuối (EDR) phát hiện thấy rủi ro liên quan đến người dùng.
  4. Thay đổi thông tin đăng nhập theo IDP: Khi thông tin đăng nhập của người dùng thay đổi trong IDP.

Trong tất cả các trường hợp này, sự kiện ở phía thiết bị truyền có thể kích hoạt sự kiện thu hồi phiên đến thiết bị nhận của Google, giúp xác minh rằng các phiên của người dùng cuối trong Google Workspace đã đăng xuất, từ đó tăng cường bảo mật tài khoản.