ACS-Diensteinschränkungen
Aktualisiert: 19. Juni 2015
Gilt für: Azure
In diesem Thema werden die maximal zulässigen Werte erläutert, die Microsoft Azure Active Directory Access Control (auch als Access Control Service oder ACS bezeichnet) für unterschiedliche Aspekte des Diensts zulässig sind.
Google-Identitätsanbieterunterstützung
ACS-Namespaces können ihre Google-Identitätsanbieterkonfigurationen von OpenID 2.0 zu OpenID Connect migrieren. Die Migration muss vor dem 1. Juni 2015 abgeschlossen sein. Ausführliche Anleitungen finden Sie unter Migrieren von ACS-Namespaces zu Google OpenID Verbinden.
Pro Eingabetoken acht Mal ausgeführte Regeln
Wenn ACS ein Eingabetoken für eine Anwendung mit vertrauenden Parteien empfängt, führt das ACS-Regelmodul alle Regeln aus, die dieser vertrauenden Parteianwendung gleichzeitig zugeordnet sind. Wenn die Regeln weitere Ansprüche ausgeben, die nicht im Eingabetoken vorhanden sind, werden alle Regeln erneut mit diesen Ansprüchen als Eingabewerten ausgeführt. Die Regelausführung wird beendet, wenn nach dem Abschluss einer Ausführung keine neuen Ansprüche ausstellt werden oder acht Ausführungen abgeschlossen wurden (je nachdem, welcher Fall zuerst eintritt).
Grenzwerte für Abfrageergebnisse des Verwaltungsdiensts
Wenn der Verwaltungsdienst zum Abfragen von Regelgruppen nach Regeln verwendet wird, schränkt der Dienst das Abfrageergebnis auf maximal 100 Regeln ein. Der Grund liegt darin, dass der Verwaltungsdienst das OData-Protokoll (Open Data) verwendet und die gleichzeitige Rückgabe von 100 Objekten (Paging) das Standardverhalten für OData-Endpunkte darstellt.
Die Ergebnisgröße für jede der ACS-Entitäten lautet wie folgt:
Regeln: 100
Alles andere: 50
Größere Ergebnissätze können nur durch Implementieren von Paging im Clientcode des Verwaltungsdiensts verarbeitet werden. Beispiele für Paginierung finden Sie unter How to: Load Paged Results (WCF Data Services) (https://go.microsoft.com/fwlink/?LinkID=193452).
Grenzwert für eingehende Ansprüche
Damit acS ein Sicherheitstoken verarbeitet und erfolgreich ausgibt, muss die Anzahl der Ansprüche im eingehenden Token gleich oder nicht größer als 80 sein. Wenn die Anzahl der eingehenden Ansprüche größer als 80 ist, wird die folgende Fehlermeldung generiert: Die Anzahl der Eingabeansprüche (#) überschreitet den Grenzwert (80).
Grenzwert für die Tokenanforderungsrate
Um die Verfügbarkeit und Leistung von ACS für alle Benutzer zu verbessern, hat ACS für jeden Namespace eine dauerhafte Rate von 30 Tokenanforderungen pro Sekunde implementiert. Dieses pro Namespace geltende Ratenlimit wird über mehrere Minuten für jede Minute als Mittelwert gemessen, daher wird es nicht durch seltene Spitzenwerte ausgelöst. Wenn eine Tokenanforderungsrate von mehr als 30 Anforderungen pro Sekunde länger fortgesetzt wird, lehnt ACS übermäßige Tokenanforderungen vom Namespace für die Dauer des Intervalls ab und gibt einen HTTP 429 -Fehler "Zu viele Anforderungen" mit dem ACS90055-Fehlercode zurück.
ACS lehnt auch Tokenanforderungen ab, wenn ACS-Ressourcen vorübergehend von einer hohen Tokenanforderungsrate von allen Namespaces genutzt werden. In diesem Fall gibt ACS einen HTTP 503 -Fehler "Dienst nicht verfügbar" mit den Fehlercodes ACS90046 (ACS beschäftigt) oder ACS60021 (Datenserver beschäftigt) zurück.
Wenn Sie HTTP 429- oder 503-Fehler erhalten, wiederholen Sie die Anforderungen mit einem Back-Off-Timer, wie in den ACS-Wiederholungsrichtlinien beschrieben. Wenn die Wiederholungen über eine zunehmende Anzahl von Zeitintervallen nicht verteilt werden, können die akkumulierten Wiederholungen das Problem noch verschlimmern und den Zeitraum verlängern, in dem Tokenanforderungen zurückgewiesen werden. Wenn Sie wiederholt HTTP-Fehler 429 mit dem Fehlercode "ACS90055" erhalten, da Ihr Namespace den Grenzwert für die Tokenanforderungsrate überschreitet, sollten Sie erwägen, die Arbeitslast umzuverteilen, indem Sie einen einzelnen Namespace durch mehrere kleinere Namespaces ersetzen.