CloudSSO:CloudSSO ディレクトリでサポートされているリージョン

データとリージョンの関係

Alibaba Cloud は、CloudSSO ディレクトリの作成時に選択したリージョンに CloudSSO 関連データを保存します。CloudSSO 関連データには、ユーザー情報、グループ情報、複数アカウント認証データ、Resource Access Management (RAM) ユーザー同期タスク、グローバル構成など、CloudSSO で作成および変更するすべてのデータが含まれます。

CloudSSO ディレクトリが存在するリージョン以外のリージョンから CloudSSO にアクセスしたり、CloudSSO ユーザー情報やその他の関連構成を作成または更新したりすると、リージョン間の API 呼び出しが開始されます。渡されたユーザー情報は、CloudSSO ディレクトリが存在するリージョンに送信されます。CloudSSO ユーザーがログインリクエストを開始すると、ユーザーが渡したユーザー名、パスワード、および仮想多要素認証 (MFA) 検証コードが、認証のために CloudSSO ディレクトリが存在するリージョンに送信されます。その後、認証結果は、ユーザーがログインリクエストを開始したリージョンに返されます。セッション情報もリージョンに保存され、ログインの有効性が保証されます。CloudSSO ユーザーが MFA デバイスをバインドしてログインパスワードを変更すると、MFA デバイスで生成された検証コード、指定された二要素認証メソッドに送信された検証コード、および新しいログインパスワードが、認証のために CloudSSO ディレクトリが存在するリージョンに送信されます。Cross-domain Identity Management (SCIM) 同期を構成して有効にした場合、ユーザー名、UID、およびグループ名は、企業の ID プロバイダー (IdP) の場所から CloudSSO ディレクトリが存在するリージョンに送信されます。前述のシナリオでは、データがリージョン間で送信される場合があります。

CloudSSO ディレクトリは 1 つのリージョンにのみ作成できます。リージョンを変更する場合は、ディレクトリを無効にしてから、目的のリージョンに別のディレクトリを作成する必要があります。以前のディレクトリに保存されていたデータは、新しいリージョンに移行できません。ディレクトリのリージョンを変更すると、CloudSSO ユーザーのログイン URL が変更されます。

Global Accelerator

CloudSSO 関連データは、CloudSSO ディレクトリの作成時に選択したリージョンに保存されます。ディレクトリが中国 (上海) リージョンにある場合、CloudSSO は高速化 URL 機能を無料で提供し、中国本土以外の CloudSSO ユーザーのアクセス安定性を確保します。この機能は、次のシナリオで使用できます。

• CloudSSO ユーザーは、中国本土以外から CloudSSO にアクセスします。認証のために、情報はディレクトリが存在する中国 (上海) リージョンに送信される必要があります。

• CloudSSO ユーザーは、ログインページで MFA デバイスとログインパスワードを管理します。情報は、更新と保存のために、ディレクトリが存在する中国 (上海) リージョンに送信される必要があります。

• SCIM 同期を構成し、IdP が中国本土以外にある場合。ユーザー情報は、ディレクトリが存在する中国 (上海) リージョンに送信される必要があります。

CloudSSO コンソールで高速化機能を有効にして、CloudSSO へのログインとアクセス用の高速化ドメイン名を取得できます。高速化ドメイン名を使用すると、CloudSSO 関連データはまず最寄りの Alibaba Cloud 高速化サービスアクセスポイントに送信されます。現在、CloudSSO は、中国 (香港)、韓国 (ソウル)、米国 (シリコンバレー)、ドイツ (フランクフルト) に高速化サービスアクセスポイントを提供しています。データはその後、高速化ネットワークを介して、ディレクトリが存在する中国 (上海) リージョンに送信されます。Global Accelerator 機能を使用したくない場合は、元の CloudSSO ログイン URL を使用してください。

参考資料

• 中国本土以外からのアクセスを高速化する

• CloudSSO ディレクトリの作成