Dienstlimits und -einschränkungen für Azure Active Directory B2C
Bevor Sie beginnen, verwenden Sie die Auswahl eines Richtlinientyps oben auf dieser Seite, um den Typ der Richtlinie auszuwählen, die Sie einrichten. Azure Active Directory B2C bietet zwei Methoden zum Definieren der Benutzerinteraktion mit Ihren Anwendungen: vordefinierte Benutzerflows oder vollständig konfigurierbare benutzerdefinierte Richtlinien. Die Schritte, die in diesem Artikel erforderlich sind, unterscheiden sich für jede Methode.
In diesem Artikel werden die Nutzungseinschränkungen und andere Dienstlimits für Azure Active Directory B2C (Azure AD B2C) beschrieben. Diese Grenzwerte dienen dem Schutz, indem Bedrohungen effektiv verwaltet und ein hohes Maß an Dienstqualität sichergestellt wird.
Hinweis
Wenden Sie sich an den Support, um die in diesem Artikel genannten Dienstgrenzwerte zu erhöhen.
Grenzwerte für Benutzer und Verbrauch
Die Anzahl der Benutzer, die sich über einen Azure AD B2C-Mandanten authentifizieren können, wird durch Anforderungslimits begrenzt. Die folgende Tabelle zeigt die Anforderungslimits für Ihren Azure AD B2C-Mandanten.
| Category | Begrenzung |
|---|---|
| Maximale Anzahl von Anforderungen pro IP-Adresse pro Azure AD B2C-Mandant | 6\.000/5 min |
| Maximale Anzahl von Anforderungen pro Azure AD B2C-Mandant | 200/Sek. |
Verwendung von Endpunktanforderungen
Azure AD B2C ist mit den Protokollen OAuth 2.0, OpenID Connect (OIDC) und SAML kompatibel. Es bietet Funktionen für die Benutzerauthentifizierung und einmaliges Anmelden (Single Sign-On, SSO) mit den in der folgenden Tabelle aufgeführten Endpunkten.
Die Häufigkeit der Anforderungen an Azure AD B2C-Endpunkte bestimmt die Gesamtkapazität der Tokenausstellung. Azure AD B2C stellt Endpunkte zur Verfügung, die eine unterschiedliche Anzahl von Anforderungen nutzen. Weitere Informationen dazu, welche Endpunkte von Ihrer Anwendung genutzt werden, finden Sie im Artikel Authentifizierungsprotokolle.
| Endpunkt | Endpunkttyp | Genutzte Anforderungen |
|---|---|---|
| /oauth2/v2.0/authorize | Dynamisch | Variiert 1 |
| /oauth2/v2.0/token | statischen | 1 |
| /openid/v2.0/userinfo | statischen | 1 |
| /.well-known/openid-config | statischen | 1 |
| /discovery/v2.0/keys | statischen | 1 |
| /oauth2/v2.0/logout | statischen | 1 |
| /samlp/sso/login | Dynamisch | Variiert 1 |
| /samlp/sso/logout | statischen | 1 |
1 Der Typ des Benutzerflows bestimmt die Gesamtzahl von Anforderungen, die bei Verwendung dieser Endpunkte genutzt werden.
1 Die Konfiguration Ihrer benutzerdefinierten Richtlinie bestimmt die Gesamtzahl von Anforderungen, die bei Verwendung dieser Endpunkte genutzt werden.
Tokenausstellungsrate
Jeder Typ von Benutzerflow bietet eine einzigartige Benutzeroberfläche und nutzt eine unterschiedliche Anzahl von Anforderungen. Die Tokenausstellungsrate eines Benutzerflows hängt von der Anzahl der Anforderungen ab, die von den statischen und dynamischen Endpunkten genutzt werden. Die folgende Tabelle zeigt die Anzahl der Anforderungen, die an einem dynamischen Endpunkt für jeden Benutzerflow genutzt werden.
| Benutzerflow | Genutzte Anforderungen |
|---|---|
| Registrieren | 6 |
| Anmelden | 4 |
| Zurücksetzen von Kennwörtern | 4 |
| Profilbearbeitung | 4 |
| Registrieren und Anmelden per Telefon | 6 |
Wenn Sie einem Benutzerflow weitere Features hinzufügen, z. B. mehrstufige Authentifizierung, werden mehr Anforderungen genutzt. Die folgende Tabelle zeigt, wie viele zusätzliche Anforderungen genutzt werden, wenn ein Benutzer mit einem dieser Features interagiert.
| Funktion | Zusätzliche genutzte Anforderungen |
|---|---|
| Multi-Faktor-Authentifizierung in Microsoft Entra | 2 |
| Einmaliges E-Mail-Kennwort | 2 |
| Altersbeschränkung | 2 |
| Verbundidentitätsanbieter | 2 |
Die Tokenausstellungsrate pro Sekunde für Ihren Benutzerflow ermitteln Sie wie folgt:
- Verwenden Sie die obigen Tabellen, und addieren Sie die Gesamtzahl der Anforderungen, die am dynamischen Endpunkt genutzt werden.
- Addieren Sie die Anzahl der Anforderungen, die an den statischen Endpunkten basierend auf Ihrem Anwendungstyp erwartet werden.
- Verwenden Sie die folgende Formel, um die Tokenausstellungsrate pro Sekunde zu berechnen.
Tokens/sec = 200/requests-consumed
Die Tokenausstellungsrate einer benutzerdefinierten Richtlinie hängt von der Anzahl der Anforderungen ab, die von den statischen und dynamischen Endpunkten genutzt werden. Die folgende Tabelle zeigt die Anzahl der Anforderungen, die an einem dynamischen Endpunkt für die Azure AD B2C Starter Packs genutzt werden.
| Starter Pack | Szenario | User Journey-ID | Genutzte Anforderungen |
|---|---|---|---|
| LocalAccounts | Anmeldung | SignUpOrSignIn | 2 |
| LocalAccounts SocialAndLocalAccounts | Registrierung | SignUpOrSignIn | 6 |
| LocalAccounts | Profilbearbeitung | ProfileEdit | 2 |
| LocalAccounts SocialAndLocalAccounts SocialAndLocalAccountsWithMfa | Zurücksetzen von Kennwörtern | PasswordReset | 6 |
| SocialAndLocalAccounts | Anmeldung mit Verbundkonto | SignUpOrSignIn | 4 |
| SocialAndLocalAccounts | Registrierung mit Verbundkonto | SignUpOrSignIn | 6 |
| SocialAndLocalAccountsWithMfa | Anmeldung mit lokalem Konto mit MFA | SignUpOrSignIn | 6 |
| SocialAndLocalAccountsWithMfa | Registrierung mit lokalem Konto mit MFA | SignUpOrSignIn | 10 |
| SocialAndLocalAccountsWithMfa | Anmeldung mit Verbundkonto mit MFA | SignUpOrSignIn | 8 |
| SocialAndLocalAccountsWithMfa | Registrierung mit Verbundkonto mit MFA | SignUpOrSignIn | 10 |
Die Tokenausstellungsrate pro Sekunde für eine bestimmte User Journey ermitteln Sie wie folgt:
- Verwenden Sie die obige Tabelle, um die Anzahl der für Ihre User Journey genutzten Anforderungen zu ermitteln.
- Addieren Sie die Anzahl der Anforderungen, die an den statischen Endpunkten basierend auf Ihrem Anwendungstyp erwartet werden.
- Verwenden Sie die folgende Formel, um die Tokenausstellungsrate pro Sekunde zu berechnen.
Tokens/sec = 200/requests-consumed
Berechnen der Tokenausstellungsrate Ihrer benutzerdefinierten Richtlinie
Sie können Ihre eigene benutzerdefinierte Richtlinie erstellen, um einen einzigartigen Authentifizierungsvorgang für Ihre Anwendung bereitzustellen. Die Anzahl der am dynamischen Endpunkt genutzten Anforderungen hängt davon ab, welche Features ein Benutzer durch Ihre benutzerdefinierte Richtlinie durchläuft. Die folgende Tabelle zeigt, wie viele Anforderungen für jedes Feature in einer benutzerdefinierten Richtlinie genutzt werden.
| Funktion | Genutzte Anforderungen |
|---|---|
| Selbstbestätigtes technisches Profil | 2 |
| Technisches Profil für PhoneFactor | 4 |
| E-Mail-Überprüfung (Verified.Email) | 2 |
| Anzeigesteuerelement | 2 |
| Verbundidentitätsanbieter | 2 |
Die Tokenausstellungsrate pro Sekunde für Ihre benutzerdefinierte Richtlinie ermitteln Sie wie folgt:
- Verwenden Sie die obigen Tabellen, um die Gesamtzahl der Anforderungen zu berechnen, die am dynamischen Endpunkt genutzt werden.
- Addieren Sie die Anzahl der Anforderungen, die an den statischen Endpunkten basierend auf Ihrem Anwendungstyp erwartet werden.
- Verwenden Sie die folgende Formel, um die Tokenausstellungsrate pro Sekunde zu berechnen.
Tokens/sec = 200/requests-consumed
Bewährte Methoden
Zum Optimieren der Tokenausstellungsrate sollten Sie die folgenden Konfigurationsoptionen in Betracht ziehen:
- Verlängern der Lebensdauer von Zugriffs- und Aktualisierungstoken
- Verlängern der Lebensdauer der Websitzung für Azure AD B2C
- Aktivieren von Angemeldet bleiben
- Zwischenspeichern der OpenID Connect-Metadatendokumente in Ihren APIs
- Erzwingen von bedingter MFA mithilfe von bedingtem Zugriff
Grenzwerte für die Azure AD B2C-Konfiguration
In der folgenden Tabelle sind die Grenzwerte für die Verwaltungskonfiguration im Azure AD B2C-Dienst aufgeführt.
| Category | Begrenzung |
|---|---|
| Anzahl der Bereiche pro Anwendung | 1.000 |
| Anzahl von benutzerdefinierten Attributenpro Benutzer 1 | 100 |
| Anzahl der Umleitungs-URLs pro Anwendung | 100 |
| Anzahl der Abmelde-URLs pro Anwendung | 1 |
| Zeichenfolgenlimit pro Attribut | 250 Zeichen |
| Anzahl der B2C-Mandanten pro Abonnement | 20 |
| Gesamtanzahl von Objekten (Benutzerkonten und Anwendungen) pro Mandant (Standardlimit) | 1,25 Mio. |
| Gesamtanzahl von Objekten (Benutzerkonten und Anwendungen) pro Mandant (unter Verwendung einer verifizierten benutzerdefinierten Domäne) | 5,25 Mio. |
| Vererbungsebenen in benutzerdefinierten Richtlinien | 10 |
| Anzahl der Richtlinien pro Azure AD B2C-Mandant (Benutzerflows und benutzerdefinierte Richtlinien) | 200 |
| Maximale Dateigröße von Richtlinien | 1024 KB |
| Anzahl von API-Connectors pro Mandant | 20 |
1 Weitere Informationen finden Sie unter Grenzwerte und Einschränkungen für den Microsoft Entra-Dienst.
Nächste Schritte
- Erfahren Sie mehr über Richtlinien für die Drosselung von Microsoft Graph.
- Erfahren Sie mehr über die Unterschiede bei der Validierung für Azure AD B2C-Anwendungen.
- Erfahren Sie mehr über Resilienz durch Best Practices für Entwickler.