共用信號架構 (SSF) 是 OpenID 基金會支援的社群計畫,致力於開發及維護安全性平台通訊架構,透過標準化事件和通訊協定分享安全性深入分析資訊。為支援 SSF 計畫,Google Workspace 將導入 SSF 接收器,用於接收持續存取評估設定檔 (CAEP) 信號。
我們已推出初始版本 (目前為封閉 Beta 版),支援工作階段撤銷事件信號。我們打算在日後支援多種 CAEP 信號,這些信號會由各種安全平台傳輸。
如果您是安全平台供應商,有意將 CAEP 信號傳輸至 Google Workspace;或是 Google Workspace 客戶,有意在網域中測試共用信號整合功能,請填寫 SSF 測試人員註冊表單,表達您的意願。
請注意:我們目前處於 Beta 版封測階段,將逐步開放合作夥伴和客戶使用。提交表單不保證一定能加入封測。
CAEP 工作階段撤銷事件
Google Workspace 最初支援 CAEP (持續存取評估通訊協定) 工作階段撤銷事件。這樣一來,當使用者工作階段遭到撤銷時,其他服務就能通知 Google Workspace。
以下是 CAEP 工作階段撤銷事件的範例:
{
"aud": "https://sharedsignals.googleapis.com",
"events": {
"https://schemas.openid.net/secevent/caep/event-type/session-revoked": {
"event_timestamp": 1750212646,
"subject": {
"email": "user@domain.com",
"format": "email"
}
}
},
"iat": 1750212646,
"iss": "<issuer_id>",
"jti": "YzBhOTBhMWEtNWVhOS00ZDkxLWFlYTgtMjE1YjliMjQ4YTVh",
"sub_id": {
"email": "user@domain.com",
"format": "email"
}
}
上述 JSON 範例中的欄位定義如下:
aud:目標對象。此值必須是https://sharedsignals.googleapis.com。events:活動地圖。https://schemas.openid.net/secevent/caep/event-type/session-revoked:CAEP 事件。event_timestamp:事件的時間戳記。subject:事件所指的使用者。email:使用者的電子郵件地址。format:主體的格式,在本例中為email。
iat:發布時間。事件的時間戳記。iss:發行者。傳送事件的服務 ID。jti:JWT ID。活動的專屬 ID。sub_id:主體 ID。事件所指的使用者。email:使用者的電子郵件地址。format:主體的格式,在本例中為email。
工作階段撤銷事件的用途
以下列舉幾個應用情境,說明傳送器可以將工作階段撤銷事件傳送給 Google 的接收器:
- IDP 合作夥伴停用帳戶:當身分識別提供者 (IDP) 停用使用者帳戶時。
- IDP 合作夥伴停權:IDP 停權使用者帳戶時。
- IDP 和 EDR 合作夥伴提供的使用者風險事件:當 IDP 或端點偵測與回應 (EDR) 合作夥伴偵測到與使用者相關的風險時。
- IDP 變更憑證:當使用者在 IDP 中變更憑證時。
在上述所有情況中,傳送端事件都會觸發 Google 接收端的工作階段撤銷事件,協助驗證使用者是否已登出 Google Workspace 工作階段,進而提升帳戶安全性。