Share via

Limitazioni del servizio ACS

  • Articolo

Aggiornamento: 19 giugno 2015

Si applica a: Azure

In questo argomento vengono illustrati i valori massimi che Microsoft Azure Active Directory Controllo di accesso (noti anche come servizio Controllo di accesso o ACS) consentono diversi aspetti del servizio.

Supporto per il provider di identità Google

Gli spazi dei nomi ACS possono eseguire la migrazione delle configurazioni del provider di identità Google da OpenID 2.0 a OpenID Connect. La migrazione deve essere completata prima del 1° giugno 2015. Per indicazioni dettagliate, vedere Migrazione degli spazi dei nomi ACS a Google OpenID Connessione.

Regole eseguite otto volte per ogni token di input

Ogni volta che ACS riceve un token di input per un'applicazione relying party, il motore regole ACS esegue tutte le regole associate all'applicazione relying party contemporaneamente. Se le regole rilasciano attestazioni aggiuntive non presenti nel token di input, vengono eseguite nuovamente tutte le regole con tali attestazioni come valori di input. L'esecuzione delle regole viene interrotta quando, al termine di un'esecuzione, non vengono rilasciate nuove attestazioni oppure dopo otto esecuzioni (a seconda della condizione che si verifica prima).

Risultati delle query sui limiti del servizio di gestione

Quando si usa il servizio di gestione per eseguire query per le regole ai gruppi di regole, i risultati delle query non superano le 100 regole. Il servizio di gestione usa infatti il protocollo Open Data (OData) e prevede la restituzione di 100 oggetti alla volta (paging) come comportamento standard degli endpoint OData.

Le dimensioni dei risultati per ognuna delle entità ACS sono le seguenti:

  • Regole: 100

  • Tutto il resto: 50

Per gestire set di risultati più ampi, è necessario implementare il paging nel codice client del servizio di gestione. Per esempi di paginazione, vedere Procedura: Caricare i risultati di paging (WCF Data Services) (https://go.microsoft.com/fwlink/?LinkID=193452).

Limite delle attestazioni in ingresso

Per consentire all'ACS di elaborare e rilasciare correttamente un token di sicurezza, il numero di attestazioni nel token in ingresso deve essere uguale o non maggiore di 80. Se il numero di attestazioni in ingresso è maggiore di 80, viene generato il messaggio di errore seguente: il numero di attestazioni di input (#) supera il limite (80).If the number of the incoming claims is greater than 80, the following error message is generate: the number of input claims (#) exceed the limit (80).

Limite di frequenza delle richieste di token

Per migliorare la disponibilità e le prestazioni del servizio contenitore di Azure per tutti gli utenti, ACS ha implementato un limite di velocità sostenuto di 30 richieste di token al secondo per ogni spazio dei nomi. Questo limite di frequenza specifico per lo spazio dei nomi viene definito come una media al minuto calcolata in base a più minuti, per evitare che venga attivato in caso di picchi meno frequenti. Se una frequenza di richiesta di token di più di 30 richieste al secondo continua per un periodo prolungato, ACS rifiuta le richieste di token in eccesso dallo spazio dei nomi per la durata dell'intervallo e restituisce un errore HTTP 429 "Troppe richieste" con il codice di errore ACS90055.

ACS rifiuta anche le richieste di token quando le risorse ACS vengono utilizzate temporaneamente da una frequenza elevata di richieste di token da tutti gli spazi dei nomi. In questo caso, ACS restituisce un errore HTTP 503 "Servizio non disponibile" con i codici di errore ACS90046 (ACS occupato) o ACS60021 (server dati occupato).

Quando si ricevono errori HTTP 429 o 503, ripetere le richieste con un timer di back-off, come descritto in Linee guida per i tentativi ACS. Se i nuovi tentativi non vengono distribuiti in intervalli di tempo crescenti, è possibile che i tentativi accumulati accentuino il problema e prolunghino il periodo durante il quale le richieste di token vengono rifiutate. Se vengono restituiti numerosi errori HTTP 429 ACS90055 perché lo spazio dei nomi supera il limite di frequenza delle richieste di token, prendere in considerazione la possibilità di ridistribuire il carico di lavoro sostituendo un singolo spazio dei nomi con più spazi dei nomi di dimensioni inferiori.

Vedere anche

Concetti

Linee guida sulla ripetizione dei tentativi per ACS
Codici di errore di ACS