Limitações do serviço ACS
Atualizado: 19 de junho de 2015
Aplica-se ao Azure
Este tópico explica os valores máximos que Microsoft Azure Active Directory Controle de Acesso (também conhecidos como serviço Controle de Acesso ou ACS) permitem diferentes aspectos do serviço.
Suporte do provedor de identidade do Google
Namespace ACS podem migrar suas configurações do provedor de identidade do Google de OpenID 2.0 para OpenID Connect. A migração deve ser concluída antes de 1º de junho de 2015. Para obter diretrizes detalhadas, consulte Como migrar namespaces ACS para o Conexão do Google OpenID.
Regras executadas oito vezes por token de entrada
Sempre que o ACS recebe um token de entrada para um aplicativo de terceira parte confiável, o mecanismo de regras acs executa todas as regras associadas a esse aplicativo de terceira parte confiável simultaneamente. Se as regras geram declarações adicionais que não estão presentes no token de entrada, todas as regras são executadas novamente tendo essas declarações como valores de entrada. A execução da regra é interrompida quando nenhuma declaração nova é emitida após a conclusão de uma execução ou de oito execuções (o que ocorrer primeiro).
Serviço de gerenciamento limita os resultados da consulta
Ao usar o Serviço de Gerenciamento para consultar regras dos grupos de regras, o serviço limita o resultado da consulta a um máximo de 100 regras. Isso porque o Serviço de Gerenciamento usa o protocolo Open Data (OData) e o retorno de 100 objetos ao mesmo tempo (paginação) é o comportamento padrão dos pontos de extremidade OData.
O tamanho do resultado para cada uma das entidades ACS é o seguinte:
Regras: 100
Todo o resto: 50
Conjuntos de resultados maiores só podem ser processados com a implementação da paginação no código do seu cliente do Serviço de Gerenciamento. Para obter exemplos de paginação, consulte How to: Load Paged Results (WCF Data Services) (https://go.microsoft.com/fwlink/?LinkID=193452).
Limite de declarações de entrada
Para que o ACS processe e emita com êxito um token de segurança, o número de declarações no token de entrada deve ser igual ou não maior que 80. Se o número de declarações de entrada for maior que 80, a seguinte mensagem de erro será gerada: o número de declarações de entrada (#) excederá o limite (80).
Limite na taxa de solicitação de tokens
Para melhorar a disponibilidade e o desempenho do ACS para todos os usuários, o ACS implementou um limite de taxa sustentado de 30 solicitações de token por segundo para cada namespace. Esse limite de taxa por namespace é medido como uma média para cada minuto em vários minutos, de modo que ele não seja acionado por picos infrequentes. Se uma taxa de solicitação de token de mais de 30 solicitações por segundo continuar por um período prolongado, o ACS rejeitará solicitações de token em excesso do namespace durante o intervalo e retornará um erro HTTP 429 "Muitas solicitações" com o código de erro ACS90055.
O ACS também rejeita solicitações de token quando os recursos do ACS são consumidos temporariamente por uma alta taxa de solicitação de token de todos os namespaces. Nesse caso, o ACS retorna um erro HTTP 503 "Serviço indisponível" com os códigos de erro ACS90046 (ACS ocupado) ou ACS60021 (servidor de dados ocupado).
Quando você receber erros HTTP 429 ou 503, tente novamente as solicitações com um temporizador de retirada, conforme discutido nas Diretrizes de Repetição do ACS. Se as tentativas não forem distribuídas em intervalos de tempo crescentes, as tentativas acumuladas provavelmente exacerbarão o problema e prolongarão o período durante o qual as solicitações de token são rejeitadas. Se você está recebendo erros ACS90055-HTTP 429 recorrentes porque o namespace excede o limite da taxa de solicitação de token, considere redistribuir sua carga de trabalho substituindo um namespace por vários namespaces menores.