Diese Dokumentation wurde archiviert und wird nicht länger gepflegt.

ACS-Diensteinschränkungen

Veröffentlicht: April 2011

Letzte Aktualisierung: Juni 2015

Betrifft: Azure

In diesem Thema werden die maximalen Werte erläutert, die Zugriffssteuerung für Microsoft Azure Active Directory (auch Zugriffssteuerungsdienst oder ACS) für verschiedene Aspekte des Diensts zulässt.

ACS-Namespaces können ihre Google-Identitätsanbieterkonfigurationen von OpenID 2.0 zu OpenID Connect migrieren. Die Migration muss vor dem 1. Juni 2015 abgeschlossen sein. Ausführliche Anweisungen finden Sie unter Migrieren von ACS-Namespaces zu Google OpenID Connect.

Wenn ACS ein Eingabetoken für eine Anwendung der vertrauenden Seite empfängt, führt das ACS-Regelmodul gleichzeitig alle Regeln aus, die dieser Anwendung der vertrauenden Seite zugeordnet sind. Wenn die Regeln weitere Ansprüche ausgeben, die nicht im Eingabetoken vorhanden sind, werden alle Regeln erneut mit diesen Ansprüchen als Eingabewerten ausgeführt. Die Regelausführung wird beendet, wenn nach dem Abschluss einer Ausführung keine neuen Ansprüche ausstellt werden oder acht Ausführungen abgeschlossen wurden (je nachdem, welcher Fall zuerst eintritt).

Wenn der Verwaltungsdienst zum Abfragen von Regelgruppen nach Regeln verwendet wird, schränkt der Dienst das Abfrageergebnis auf maximal 100 Regeln ein. Der Grund liegt darin, dass der Verwaltungsdienst das OData-Protokoll (Open Data) verwendet und die gleichzeitige Rückgabe von 100 Objekten (Paging) das Standardverhalten für OData-Endpunkte darstellt.

Die Ergebnisgröße für jede der ACS-Entitäten lautet wie folgt:

  • Regeln: 100

  • Alle anderen Elemente: 50

Größere Ergebnissätze können nur durch Implementieren von Paging im Clientcode des Verwaltungsdiensts verarbeitet werden. Beispiele für Paging finden Sie unter Vorgehensweise: Laden von Pagingergebnissen (WCF-Datendienste) (http://go.microsoft.com/fwlink/?LinkID=193452).

Damit ACS ein Sicherheitstoken verarbeiten und erfolgreich ausstellen kann, darf die Anzahl der Ansprüche des eingehenden Tokens höchstens 80 sein. Wenn Sie Anzahl der eingehenden Ansprüche größer als 80 ist, wird die folgende Fehlermeldung generiert: Die Anzahl der Eingabeansprüche (Nr.) überschreitet den Grenzwert von (80).

Um die Verfügbarkeit und Leistung von ACS für alle Benutzer zu optimieren, hat ACS ein anhaltendes Ratenlimit von 30 Tokenanforderungen pro Sekunde für jeden Namespace implementiert. Dieses pro Namespace geltende Ratenlimit wird über mehrere Minuten für jede Minute als Mittelwert gemessen, daher wird es nicht durch seltene Spitzenwerte ausgelöst. Wenn eine Tokenanforderungsrate von mehr als 30 Anforderungen pro Sekunde über einen längeren Zeitraum anhält, weist ACS übermäßige Tokenanforderungen vom Namespace für die Dauer des Intervalls zurück und gibt den HTTP-Fehler 429 "Zu viele Anforderungen" mit dem Fehlercode "ACS90055" zurück.

ACS weist auch Tokenanforderungen zurück, wenn ACS-Ressourcen vorübergehend von einer hohen Tokenanforderungsrate von allen Namespaces verbraucht werden. In diesem Fall gibt ACS den HTTP-Fehler 503 "Dienst nicht verfügbar" mit den Fehlercodes "ACS90046" (ACS ausgelastet) oder "ACS60021" (Datenserver ausgelastet) zurück.

Wenn Sie HTTP-Fehler 429 oder 503 erhalten, wiederholen Sie die Anforderungen mit einem Backoff-Timer, wie in den ACS-Wiederholungsrichtlinien beschrieben. Wenn die Wiederholungen über eine zunehmende Anzahl von Zeitintervallen nicht verteilt werden, können die akkumulierten Wiederholungen das Problem noch verschlimmern und den Zeitraum verlängern, in dem Tokenanforderungen zurückgewiesen werden. Wenn Sie wiederholt HTTP-Fehler 429 mit dem Fehlercode "ACS90055" erhalten, da Ihr Namespace den Grenzwert für die Tokenanforderungsrate überschreitet, sollten Sie erwägen, die Arbeitslast umzuverteilen, indem Sie einen einzelnen Namespace durch mehrere kleinere Namespaces ersetzen.

Siehe auch

Anzeigen: