共享信号框架 (SSF) 是 OpenID 基金会的一项社区支持计划,旨在开发和维护一个通信框架,使安全平台能够通过标准化事件和协议共享安全洞见。为支持 SSF 计划,Google Workspace 正在实现一个 SSF 接收器,用于接收持续访问评估配置文件 (CAEP) 信号。
我们的初始版本(现已推出封闭式 Beta 版)支持会话撤消事件信号。随着时间的推移,我们打算开发对多种安全平台传输的众多 CAEP 信号的支持。
如果您是安全平台供应商,并且有意向将 CAEP 信号传输到 Google Workspace;或者您是 Google Workspace 客户,并且有意向在自己的网域中测试共享信号集成,请填写 SSF 测试人员注册表单,表达您的意向。
请注意:虽然我们目前处于封闭式 Beta 版开发阶段,但我们打算逐步邀请合作伙伴和客户加入。提交此表单并不能保证您一定会获准参与封闭式 Beta 版测试。
CAEP 会话撤消事件
最初,Google Workspace 支持 CAEP(持续访问评估协议)会话撤消事件。这样一来,其他服务便可在用户会话被撤消时通知 Google Workspace。
以下是 CAEP 会话撤消事件的示例:
{
"aud": "https://sharedsignals.googleapis.com",
"events": {
"https://schemas.openid.net/secevent/caep/event-type/session-revoked": {
"event_timestamp": 1750212646,
"subject": {
"email": "user@domain.com",
"format": "email"
}
}
},
"iat": 1750212646,
"iss": "<issuer_id>",
"jti": "YzBhOTBhMWEtNWVhOS00ZDkxLWFlYTgtMjE1YjliMjQ4YTVh",
"sub_id": {
"email": "user@domain.com",
"format": "email"
}
}
上述 JSON 示例中的字段定义如下:
aud:受众群体。该值必须为https://sharedsignals.googleapis.com。events:一个事件映射。https://schemas.openid.net/secevent/caep/event-type/session-revoked:CAEP 事件。event_timestamp:相应事件的时间戳。subject:相应事件所指的用户。email:用户的电子邮件地址。format:主题的格式,在本例中为email。
iat:颁发时间。事件的时间戳。iss:发行方。发送事件的服务的 ID。jti:JWT ID。事件的唯一 ID。sub_id:主题 ID。相应事件所指的用户。email:用户的电子邮件地址。format:主题的格式,在本例中为email。
会话撤消事件的使用场景
以下是一些用例,其中传送器可以向 Google 的接收器发送会话撤消事件:
- IDP 合作伙伴停用账号:身份提供商 (IDP) 停用用户账号时。
- IDP 合作伙伴暂停账号:当 IDP 暂停用户账号时。
- 按 IDP 和 EDR 合作伙伴划分的用户风险事件:当 IDP 或端点检测和响应 (EDR) 合作伙伴检测到与用户相关的风险时。
- IDP 更改了凭据:当用户的凭据在 IDP 中发生更改时。
在所有这些场景中,发送器端的事件都可以触发 Google 接收器端的会话撤消事件,从而帮助验证 Google Workspace 中的最终用户会话是否已退出,进而增强账号安全性。