ACS-Leistungsrichtlinien
Gilt für
Zugriffssteuerung für Microsoft Azure Active Directory (auch Zugriffssteuerungsdienst oder ACS)
Windows Identity Foundation (WIF)
Zusammenfassung
In diesem Thema werden wichtige Leistungsrichtlinien beschrieben, die Sie berücksichtigen sollten, wenn Sie Anwendungen und Dienste entwickeln, die ACS verwenden. Im Besonderen behandelt das Thema Leitlinien zu Token große und Kryptografie und deren Einfluss auf die Gesamtleistung.
Übersicht
Ganz allgemein sind die Schlüsselattribute von Leistung Antwortzeit, Durchsatz und Ressourcenauslastung. Wenn die Anwendung beispielsweise nur über eingeschränkte Ressourcen, wie etwa Arbeitsspeicher, verfügt, besteht die Gefahr, dass ein Teil der Informationen vom Dateisystem aufgefangen werden muss, das sehr viel langsamer als speicherinterne Vorgänge arbeitet – dies wirkt sich auf die Gesamtreaktionszeit aus. Hier ein weiteres Beispiel – wenn die Anwendung große Datenmengen über ein Netzwerk mit eingeschränkter Bandbreite sendet, führt das zu langsameren Reaktionszeiten als erwünscht. Ein Ansatz zum Beheben von Leistungsproblemen besteht im Hinzufügen weiterer Ressourcen, wie etwa Netzwerkbandbreite, schnellerer CPUs und mehr Arbeitsspeicher. Dieser Ansatz kann helfen, ist aber nicht immer erfolgreich. Ein anderer Ansatz besteht darin, den Code zu verbessern, sodass er weniger Ressourcen beansprucht und weniger Daten austauscht. Im Hinblick auf den Kontext von anspruchsbewussten Anwendungen und was im Rahmen der Kontrolle des Entwicklers liegt, gibt es einige wichtige Faktoren im Zusammenhang mit der Verwendung von ACS, die sich auf die Leistung auswirken, nämlich Token und kryptografische Vorgänge im Zusammenhang mit den Token.
Ziele
Definieren Sie die Aspekte, die sich auf die Leistung in Anwendungen auswirken, die ACS verwenden.
Bereitstellen von Leitlinien zur Verbesserung der Leistung für jeden dieser Aspekte.
Tokengröße und Verschlüsselung
Tokengröße und Verschlüsselung sind wichtige Faktoren unter der Kontrolle des Entwicklers, die sich auf die Leistung von Anwendungen auswirken, die mit ACS integriert sind.
Tokengröße Die Tokengröße wirkt sich in zweierlei Hinsicht auf die Leistung aus. Erstens wirkt sie sich im Hinblick auf die Netzwerkbandbreite bis zu einem gewissen Grad direkt auf die Leistung aus. Je größer das Token ist, desto mehr Netzwerkbandbreite beansprucht es, was zu einer langsameren Gesamtreaktion führt. Zweitens, je größer das Token ist, desto mehr CPU-Zyklen sind zum Überprüfen seiner Integrität und zum Extrahieren der Ansprüche im Token erforderlich. Die Tokenverarbeitung beinhaltet die Analyse des Tokens und seine Deserialisierung in das binäre Format, sodass Ihr Code es verwenden kann, ferner umfasst die Verarbeitung auch verschiedene Kryptografievorgänge, wie etwa die Signaturüberprüfung, und optional die Entschlüsselung. Je größer das Token ist, desto mehr CPU-Zyklen sind zu seiner Verarbeitung erforderlich, was zu höherer Ressourcenauslastung und langsamerer Gesamtreaktion führt. Die Tokengröße hängt von mehreren Faktoren ab: Tokenformat, Kryptografie, die auf das Token angewendet wird, und die Ansprüche im Token. ACS unterstützt SAML-, SWT- und JWT-Token. Im Allgemeinen ist ein SWT- oder ein JWTJWT-Token kleiner als ein SAML-Token, das die entsprechende Menge an Informationen enthält. Weitere Informationen finden Sie unter "Tokenformate", die in ACS unterstützt werden. Allerdings lauern hier Fallstricke, denn verschiedene Tokenformate sind für verschiedene Protokolle und Anwendungsarchitekturen optimiert.
SWT-Token werden über WS-Verbund-, WS-Trust- und OAuth WRAP- oder OAuth 2.0-Protokolle ausgestellt. Dies bedeutet, dass SWT-Token in Webanwendungen, WCF-Services (SOAP) und WCF-Services (REST) verwendet werden können. WIF unterstützt den SWT-Tokenhandler nicht.
SAML-Token werden über WS-Trust und WS-Federation Protokolle ausgegeben. Dies bedeutet, dass SWT-Token in Webanwendungen und WCF-Services (SOAP) verwendet werden können. WIF unterstützt sowohl SAML 2.0- als auch SAML 1.1-Token. Weitere Informationen zu WIF finden Sie im folgenden Thema Windows Identity Foundation
JWT-Token werden über WS-Verbund-, WS-Trust- und OAuth 2.0-Protokolle ausgegeben. Dies bedeutet, dass SWT-Token in Webanwendungen, WCF-Services (SOAP) und WCF-Services (REST) verwendet werden können.
Ein Faktor, der sich am stärksten auf die Tokengröße auswirkt, sind die im Token enthaltenen Ansprüche. Je mehr Ansprüche das Token enthält, desto größer ist es. In den meisten Fällen unterliegen die Ansprüche, die zu einem Token gehören, der Kontrolle des Entwicklers. Die von einer Anwendung verwendeten Ansprüche werden vom Security Token Service (STS) wie AD FS oder ACS hinzugefügt, entfernt oder geändert. ACS verwendet Regelgruppen und Regeln zum Hinzufügen, Entfernen oder Ändern von Ansprüchen in einem Token. Weitere Informationen finden Sie unter Regelgruppen und Regeln.
Verschlüsselung. Verschlüsselung und andere kryptografische Vorgänge, wie etwa Signieren, Signaturprüfung und Entschlüsselung, wirken sich direkt auf die Leistung aus. Kryptografievorgänge verbrauchen aufgrund der beteiligten komplexen Algorithmen Rechenleistung. ACS signiert als Integrität sichernde Maßnahme alle ausgestellten Token, um Manipulationen vorzubeugen. Die Signaturprüfung von Token ist nicht optional. Die Verschlüsselung von Token ist erforderlich, wenn die Anwendung der vertrauenden Seite ein Webdienst ist, der nicht SSL zur Verschlüsselung der Kommunikation verwendet. WCF-basierte Dienste, die SOAP verwenden, erfordern verschlüsselte Eigentumsnachweistoken in Verbindung mit dem WS-Trust-Protokoll. Tokenverschlüsselung ist erforderlich, um sensible Informationen bei der Übertragung über nicht verschlüsselte Kanäle zu schützen. In Fällen, bei denen ein verschlüsselter Kommunikationskanal zum Einsatz kommt, etwa bei SSL-Verschlüsselung, ist die Verwendung von Tokenverschlüsselung optional und kann im Sinne höherer Leistung als entbehrlich angesehen werden.
Weitere Informationen
Konzepte
ACS-Sicherheitsrichtlinien
Verwaltungsrichtlinien für Zertifikate und Schlüssel