本文为您介绍云SSO目录支持的地域,以及可能涉及的跨地域数据传输问题。
云SSO目录地域
创建云SSO目录时,您需要选择一个地域作为云SSO目录的所在地域。云SSO相关数据(包括您在云SSO管理的身份、权限和授权关系等信息)都会保存在该地域。该目录所在地域,与您在何处部署ECS、RDS等云资源无关,您在全球都可以通过云SSO登录并访问任何地域的云资源。
您可以根据您自身需求及您的目标用户所在地理位置选择适合您的地域。如果您没有特殊的考量,一般情况下建议您选择与目标用户所在地理位置最为接近的地域,这样可以进一步提升您的目标用户的访问速度。
目前,支持在华东2(上海)、中国(香港)、美国(硅谷)和德国(法兰克福)四个地域创建目录。
数据与地域的关系
云SSO相关数据将会保存在您创建目录时选择的地域。云SSO相关数据包括用户信息、用户组信息、多账号授权关系、RAM用户同步任务、全局配置等所有您在云SSO服务内创建和修改的信息。
当您在非目录所在的地域访问云SSO、创建和更新云SSO用户信息或其他相关配置时,会发生跨地域的API调用,您录入的用户信息数据将会被跨地域传输到您选择的目录所在的地域进行存储。而当云SSO用户发起登录时,输入的用户名、密码、虚拟MFA验证码信息将会被传输到您选择的目录所在地域进行登录认证,并将认证结果返回登录地,同时在登录地保存会话信息,以保证登录的有效性。当云SSO用户自主绑定MFA设备、修改登录密码时,MFA设备密钥、验证码、登录密码信息将被传输到您选择的目录所在地域进行登录认证。若您配置并开启了SCIM用户同步,用户名和UID、用户组名信息会从您的企业身份提供商(IdP)所在地传输到您选择的云SSO目录所在地域。以上几种场景可能会产生跨地域数据传输。
云SSO仅支持单一目录地域,若您需要更改数据存储地域,您需要将已创建的目录关闭,然后选择新的地域重新创建目录,原目录的所有数据不支持迁移。同时,修改目录地域将会变更云SSO的用户登录URL。
全球加速
云SSO海外访问加速功能目前处于邀测阶段,请先联系阿里云的服务经理,申请体验资格后才能进行试用。
由于云SSO的目录数据是地域化存储的,若您的目录所在地域选择在华东2(上海),为了保证云SSO的用户从海外地域访问云SSO的稳定性,针对以下场景提供了加速能力。该能力不向您额外收取费用。
云SSO用户在海外地域发起登录,信息需要传输到目录所在地域华东2(上海)进行认证。
云SSO用户在登录页面自主管理MFA、登录密码,信息需要传输到目录所在地域华东2(上海)进行更新和保存。
您配置了SCIM用户同步,由于IdP在海外地域,需要跨地域推送用户信息到目录所在地域华东2(上海)。
您可以通过云SSO控制台启用云SSO的加速能力,获得加速域名,登录和访问云SSO。一旦使用加速域名,您配置的云SSO相关数据将会首先就近传输到距离您的目标用户最近的阿里云加速服务接入点,目前云SSO提供的加速服务接入点位于中国(香港)、美国(硅谷)和德国(法兰克福),再通过加速网络传输到您选择的目录所在地域华东2(上海)。若您不希望使用全球加速能力,请使用云SSO原登录URL登录和访问。