Limitazioni del servizio ACS

Limitazioni del servizio ACS

Pubblicato: aprile 2011

Aggiornamento: giugno 2015

Si applica a: Azure

Questo argomento descrive i valori massimi consentiti da Microsoft Azure Active Directory Access Control (anche noto come Servizio di controllo di accesso o ACS) per i vari aspetti del servizio.

Gli spazi dei nomi ACS possono eseguire la migrazione delle configurazioni del provider di identità Google da OpenID 2.0 a OpenID Connect. La migrazione deve essere completata prima del 1° giugno 2015. Per istruzioni dettagliate, vedere Migrazione degli spazi dei nomi ACS in OpenID Connect di Google.

Ogni volta che ACS riceve un token di input per un'applicazione relying party, il motore regole ACS esegue simultaneamente tutte le regole associate a tale applicazione. Se le regole rilasciano attestazioni aggiuntive non presenti nel token di input, vengono eseguite nuovamente tutte le regole con tali attestazioni come valori di input. L'esecuzione delle regole viene interrotta quando, al termine di un'esecuzione, non vengono rilasciate nuove attestazioni oppure dopo otto esecuzioni (a seconda della condizione che si verifica prima).

Quando si usa il servizio di gestione per eseguire query per le regole ai gruppi di regole, i risultati delle query non superano le 100 regole. Il servizio di gestione usa infatti il protocollo Open Data (OData) e prevede la restituzione di 100 oggetti alla volta (paging) come comportamento standard degli endpoint OData.

Ciascuna delle entità di ACS genera risultati con le seguenti dimensioni:

  • Regole: 100

  • Tutti gli altri oggetti: 50

Per gestire set di risultati più ampi, è necessario implementare il paging nel codice client del servizio di gestione. Per alcuni esempi di paging, vedere Procedura: Caricare risultati di paging (WCF Data Services) (http://go.microsoft.com/fwlink/?LinkID=193452).

Affinché ACS possa elaborare ed emettere un token sicurezza, è necessario che il numero di attestazioni contenute nel token in ingresso sia uguale o inferiore a 80. Se il numero di attestazioni in ingresso è maggiore di 80, viene generato il seguente messaggio di errore: Il numero di attestazioni di input (#) supera il limite (80).

Per migliorare le prestazioni e la disponibilità di ACS per tutti gli utenti, ACS ha implementato un limite di frequenza di 30 richieste di token al secondo (per un periodo di tempo prolungato) per ogni spazio dei nomi. Questo limite di frequenza specifico per lo spazio dei nomi viene definito come una media al minuto calcolata in base a più minuti, per evitare che venga attivato in caso di picchi meno frequenti. Se una frequenza di richiesta di token di oltre 30 richieste al secondo continua per un periodo prolungato, ACS rifiuta le richieste in eccesso provenienti dallo spazio dei nomi per la durata dell'intervallo e restituisce un errore HTTP 429 "Numero eccessivo di richieste" con codice di errore ACS90055.

ACS rifiuta inoltre le richieste di token quando le risorse di ACS risultano temporaneamente utilizzate da un'elevata frequenza di richieste di token da tutti gli spazi dei nomi. In questo caso, ACS restituisce un errore HTTP 503 "Servizio non disponibile" con codici di errore ACS90046 (ACS occupato) o ACS60021 (server dati occupato).

Quando vengono restituiti errori HTTP 429 o 503, ripetere le richieste con un timer di backoff, come viene descritto in Linee guida sulla ripetizione dei tentativi per ACS. Se i nuovi tentativi non vengono distribuiti in intervalli di tempo crescenti, è possibile che i tentativi accumulati accentuino il problema e prolunghino il periodo durante il quale le richieste di token vengono rifiutate. Se vengono restituiti numerosi errori HTTP 429 ACS90055 perché lo spazio dei nomi supera il limite di frequenza delle richieste di token, prendere in considerazione la possibilità di ridistribuire il carico di lavoro sostituendo un singolo spazio dei nomi con più spazi dei nomi di dimensioni inferiori.

Vedere anche

Mostra:
© 2016 Microsoft