本文為您介紹雲SSO目錄支援的地區,以及可能涉及的跨地區資料轉送問題。
雲SSO目錄地區
建立雲SSO目錄時,您需要選擇一個地區作為雲SSO目錄的所在地區。雲SSO相關資料(包括您在雲SSO管理的身份、許可權和授權關係等資訊)都會儲存在該地區。該目錄所在地區,與您在何處部署ECS、RDS等雲資源無關,您在全球都可以通過雲SSO登入並訪問任何地區的雲資源。
您可以根據您自身需求及您的目標使用者所在地理位置選擇適合您的地區。如果您沒有特殊的考量,一般情況下建議您選擇與目標使用者所在地理位置最為接近的地區,這樣可以進一步提升您的目標使用者的訪問速度。
目前,支援在華東2(上海)、中國(香港)、美國(矽谷)和德國(法蘭克福)四個地區建立目錄。
資料與地區的關係
雲SSO相關資料將會儲存在您建立目錄時選擇的地區。雲SSO相關資料包括使用者資訊、使用者組資訊、多帳號授權關係、RAM使用者同步任務、全域配置等所有您在雲SSO服務內建立和修改的資訊。
當您在非目錄所在的地區訪問雲SSO、建立和更新雲SSO使用者資訊或其他相關配置時,會發生跨地區的API調用,您錄入的使用者資訊資料將會被跨地區傳輸到您選擇的目錄所在的地區進行儲存。而當雲SSO使用者發起登入時,輸入的使用者名稱、密碼、虛擬MFA驗證碼資訊將會被傳輸到您選擇的目錄所在地區進行登入認證,並將認證結果返回登入地,同時在登入地儲存會話資訊,以保證登入的有效性。當雲SSO使用者自主綁定MFA裝置、修改登入密碼時,MFA裝置密鑰、驗證碼、登入密碼資訊將被傳輸到您選擇的目錄所在地區進行登入認證。若您配置並開啟了SCIM使用者同步,使用者名稱和UID、使用者組名資訊會從您的企業身份供應商(IdP)所在地傳輸到您選擇的雲SSO目錄所在地區。以上幾種情境可能會產生跨地區資料轉送。
雲SSO僅支援單一目錄地區,若您需要更改資料存放區地區,您需要將已建立的目錄關閉,然後選擇新的地區重新建立目錄,原目錄的所有資料不支援遷移。同時,修改目錄地區將會變更雲SSO的使用者登入URL。
Global Acceleration
雲SSO海外訪問加速功能目前處於邀測階段,請先聯絡阿里雲的服務經理,申請體驗資格後才能進行試用。
由於雲SSO的目錄資料是地區化儲存的,若您的目錄所在地區選擇在華東2(上海),為了保證雲SSO的使用者從海外地區訪問雲SSO的穩定性,針對以下情境提供了加速能力。該能力不向您額外收取費用。
雲SSO使用者在海外地區發起登入,資訊需要傳輸到目錄所在地區華東2(上海)進行認證。
雲SSO使用者在登入頁面自主管理MFA、登入密碼,資訊需要傳輸到目錄所在地區華東2(上海)進行更新和儲存。
您配置了SCIM使用者同步,由於IdP在海外地區,需要跨地區推送使用者資訊到目錄所在地區華東2(上海)。
您可以通過雲SSO控制台啟用雲SSO的加速能力,獲得加速網域名稱,登入和訪問雲SSO。一旦使用加速網域名稱,您配置的雲SSO相關資料將會首先就近傳輸到距離您的目標使用者最近的阿里雲加速服務存取點,目前雲SSO提供的加速服務存取點位於中國(香港)、美國(矽谷)和德國(法蘭克福),再通過加速網路傳輸到您選擇的目錄所在地區華東2(上海)。若您不希望使用Global Acceleration能力,請使用雲SSO原登入URL登入和訪問。