云SSO地域說明
本文為您介紹云SSO目錄支持的地域,以及可能涉及的跨地域數據傳輸問題。
云SSO目錄地域
創建云SSO目錄時,您需要選擇一個地域作為云SSO目錄的所在地域。云SSO相關數據(包括您在云SSO管理的身份、權限和授權關系等信息)都會保存在該地域。該目錄所在地域,與您在何處部署ECS、RDS等云資源無關,您在全球都可以通過云SSO登錄并訪問任何地域的云資源。
您可以根據您自身需求及您的目標用戶所在地理位置選擇適合您的地域。如果您沒有特殊的考量,一般情況下建議您選擇與目標用戶所在地理位置最為接近的地域,這樣可以進一步提升您的目標用戶的訪問速度。
目前,支持在華東2(上海)、中國(香港)、美國(硅谷)和德國(法蘭克福)四個地域創建目錄。
數據與地域的關系
云SSO相關數據將會保存在您創建目錄時選擇的地域。云SSO相關數據包括用戶信息、用戶組信息、多賬號授權關系、RAM用戶同步任務、全局配置等所有您在云SSO服務內創建和修改的信息。
當您在非目錄所在的地域訪問云SSO、創建和更新云SSO用戶信息或其他相關配置時,會發生跨地域的API調用,您錄入的用戶信息數據將會被跨地域傳輸到您選擇的目錄所在的地域進行存儲。而當云SSO用戶發起登錄時,輸入的用戶名、密碼、虛擬MFA驗證碼信息將會被傳輸到您選擇的目錄所在地域進行登錄認證,并將認證結果返回登錄地,同時在登錄地保存會話信息,以保證登錄的有效性。當云SSO用戶自主綁定MFA設備、修改登錄密碼時,MFA設備密鑰、驗證碼、登錄密碼信息將被傳輸到您選擇的目錄所在地域進行登錄認證。若您配置并開啟了SCIM用戶同步,用戶名和UID、用戶組名信息會從您的企業身份提供商(IdP)所在地傳輸到您選擇的云SSO目錄所在地域。以上幾種場景可能會產生跨地域數據傳輸。
云SSO僅支持單一目錄地域,若您需要更改數據存儲地域,您需要將已創建的目錄關閉,然后選擇新的地域重新創建目錄,原目錄的所有數據不支持遷移。同時,修改目錄地域將會變更云SSO的用戶登錄URL。
全球加速
云SSO海外訪問加速功能目前處于邀測階段,請先聯系阿里云的服務經理,申請體驗資格后才能進行試用。
由于云SSO的目錄數據是地域化存儲的,若您的目錄所在地域選擇在華東2(上海),為了保證云SSO的用戶從海外地域訪問云SSO的穩定性,針對以下場景提供了加速能力。該能力不向您額外收取費用。
云SSO用戶在海外地域發起登錄,信息需要傳輸到目錄所在地域華東2(上海)進行認證。
云SSO用戶在登錄頁面自主管理MFA、登錄密碼,信息需要傳輸到目錄所在地域華東2(上海)進行更新和保存。
您配置了SCIM用戶同步,由于IdP在海外地域,需要跨地域推送用戶信息到目錄所在地域華東2(上海)。
您可以通過云SSO控制臺啟用云SSO的加速能力,獲得加速域名,登錄和訪問云SSO。一旦使用加速域名,您配置的云SSO相關數據將會首先就近傳輸到距離您的目標用戶最近的阿里云加速服務接入點,目前云SSO提供的加速服務接入點位于中國(香港)、美國(硅谷)和德國(法蘭克福),再通過加速網絡傳輸到您選擇的目錄所在地域華東2(上海)。若您不希望使用全球加速能力,請使用云SSO原登錄URL登錄和訪問。