Beperkingen voor ACS-service
Bijgewerkt: 19 juni 2015
Van toepassing op: Azure
In dit onderwerp worden de maximumwaarden uitgelegd die Microsoft Azure Active Directory Access Control (ook wel bekend als Access Control Service of ACS) verschillende aspecten van de service mogelijk maken.
Ondersteuning voor Google Identity Provider
ACS-naamruimten kunnen hun configuraties van de Google-id-provider migreren van OpenID 2.0 naar OpenID Verbinding maken. De migratie moet vóór 1 juni 2015 zijn voltooid. Zie ACS-naamruimten migreren naar Google OpenID Verbinding maken voor gedetailleerde richtlijnen.
Regels uitgevoerd acht keer per invoertoken
Wanneer ACS een invoertoken ontvangt voor een relying party-toepassing, voert de ACS-regelengine alle regels uit die relying party-toepassing tegelijk. Als de regels aanvullende claims uitvoeren die niet aanwezig zijn in het invoertoken, worden alle regels opnieuw uitgevoerd met die claims als invoerwaarden. Regeluitvoering stopt wanneer er geen nieuwe claims worden uitgegeven nadat een uitvoering is voltooid of acht uitvoeringen zijn voltooid (afhankelijk van wat het eerst gebeurt).
Queryresultaten van beheerservicelimieten
Wanneer u de beheerservice gebruikt om regelgroepen voor regels op te vragen, beperkt de service het queryresultaat tot niet meer dan 100 regels. Dit komt doordat de Beheerservice het OData-protocol (Open Data) gebruikt en 100 objecten tegelijk retourneert (pagiering) standaardgedrag is voor OData-eindpunten.
De resultaatgrootte voor elk van de ACS-entiteiten is als volgt:
Regels: 100
Alles anders: 50
Grotere resultatensets kunnen alleen worden verwerkt door pagiering in uw Management Service-clientcode te implementeren. Zie Procedure voor voorbeelden van paginering: Resultaten laden (WCF Data Services).https://go.microsoft.com/fwlink/?LinkID=193452
Limiet voor binnenkomende claims
Om ervoor te zorgen dat de ACS een beveiligingstoken kan verwerken en uitgeven, moet het aantal claims in het binnenkomende token gelijk zijn aan of niet groter zijn dan 80. Als het aantal binnenkomende claims groter is dan 80, wordt het volgende foutbericht gegenereerd: Het aantal invoerclaims (#) overschrijdt de limiet (80).
Frequentielimiet voor tokenaanvragen
Acs heeft voor elke naamruimte een aanhoudende frequentielimiet van 30 tokenaanvragen per seconde geïmplementeerd om de beschikbaarheid en prestaties van ACS voor alle gebruikers te verbeteren. Deze frequentielimiet per naamruimte wordt gemeten als een gemiddelde voor elke minuut gedurende enkele minuten, dus deze wordt niet geactiveerd door onregelmatige pieken. Als een tokenaanvraagsnelheid van meer dan 30 aanvragen per seconde gedurende een langere periode wordt voortgezet, weigert ACS overtollige tokenaanvragen uit de naamruimte voor de duur van het interval en retourneert een HTTP 429-fout 'Te veel aanvragen' met de ACS90055-foutcode.
ACS weigert ook tokenaanvragen wanneer ACS-resources tijdelijk worden gebruikt door een hoge tokenaanvraagsnelheid van alle naamruimten. In dit geval retourneert ACS een HTTP 503-fout 'Service niet beschikbaar' met de foutcodes ACS90046 (ACS bezet) of ACS60021 (gegevensserver bezet).
Wanneer u HTTP 429- of 503-fouten krijgt, probeert u de aanvragen opnieuw met een back-offtimer, zoals beschreven in acs-richtlijnen voor opnieuw proberen. Als de nieuwe pogingen niet worden verdeeld over toenemende tijdsintervallen, zullen de geaccumuleerde nieuwe pogingen het probleem waarschijnlijk verergeren en de periode verlengen waarin tokenaanvragen worden geweigerd. Als u terugkerende ACS90055-HTTP 429-fouten krijgt omdat uw naamruimte de limiet voor de aanvraagsnelheid van het token overschrijdt, kunt u overwegen uw workload opnieuw te distribueren door één naamruimte te vervangen door verschillende kleinere naamruimten.