Limitations du service ACS
Mise à jour : 19 juin 2015
S’applique à : Azure
Cette rubrique explique les valeurs maximales que Microsoft Azure Active Directory Access Control (également appelées Access Control service ou ACS) permet d’obtenir différents aspects du service.
Prise en charge du fournisseur d'identité Google
Les espaces de noms ACS peuvent migrer leurs configurations de fournisseur d'identité Google d'OpenID 2.0 vers OpenID Connect. La migration doit être terminée avant le 1er juin 2015. Pour obtenir des instructions détaillées, consultez Migration d’espaces de noms ACS vers Google OpenID Connecter.
Règles exécutées huit fois par jeton d'entrée
Chaque fois que ACS reçoit un jeton d’entrée pour une application de partie de confiance, le moteur de règles ACS exécute toutes les règles associées à cette application de partie de confiance simultanément. Si les règles génèrent des revendications supplémentaires absentes du jeton d'entrée, toutes les règles sont réexécutées sans ces revendications comme valeurs d'entrée. L'exécution des règles cesse quand aucune nouvelle revendication n'est émise après une exécution ou quand huit exécutions se sont terminées.
Le service de gestion limite les résultats de requêtes
Lors de l'utilisation du service de gestion pour interroger des groupes de règles afin d'obtenir des règles, le service limite le résultat de requête à 100 règles. Cela est dû au fait que le service de gestion utilise le protocole OData (Open Data) et que retourner 100 objets à la fois (pagination) est un comportement standard pour les points de terminaison OData.
La taille de résultat pour chacune des entités ACS est la suivante :
Règles : 100
Tout le reste: 50
Les jeux de résultats plus grands peuvent être gérés uniquement en implémentant la pagination dans votre code client de service de gestion. Pour obtenir des exemples de pagination, consultez How to: Load Paged Results (WCF Data Services) (https://go.microsoft.com/fwlink/?LinkID=193452).
Limite de revendications entrantes
Pour qu'ACS traite et émette avec succès un jeton de sécurité, le nombre de revendications dans le jeton entrant doit être inférieur ou égal à 80. Si le nombre de revendications entrantes est supérieur à 80, le message d’erreur suivant est généré : le nombre de revendications d’entrée (#) dépasse la limite (80).
Limite de taux de demandes de jetons
Pour améliorer la disponibilité et les performances acS pour tous les utilisateurs, ACS a implémenté une limite de débit soutenue de 30 requêtes de jetons par seconde pour chaque espace de noms. Cette limite par espace de noms est mesurée comme la moyenne de chaque minute sur un laps de temps de plusieurs minutes ; elle n'est donc pas dépassée en cas de pointe ponctuelle. Si un taux de demande de jeton de plus de 30 requêtes par seconde se poursuit pendant une période prolongée, ACS rejette les demandes de jeton excédentaires de l’espace de noms pendant la durée de l’intervalle et retourne une erreur HTTP 429 « Trop de requêtes » avec le code d’erreur ACS900555.
ACS rejette également les demandes de jeton lorsque les ressources ACS sont temporairement consommées par un taux de requête de jeton élevé de tous les espaces de noms. Dans ce cas, ACS retourne une erreur HTTP 503 « Service indisponible » avec les codes d’erreur ACS90046 (ACS occupé) ou ACS60021 (serveur de données occupés).
Lorsque vous obtenez des erreurs HTTP 429 ou 503, réessayez les requêtes avec un minuteur de back-off, comme décrit dans les instructions de nouvelle tentative ACS. Si les nouvelles tentatives ne sont pas distribuées sur des intervalles de temps croissants, les nouvelles tentatives accumulées risquent d'accroître le problème et de prolonger la période pendant laquelle les demandes de jetons sont rejetées. Si vous recevez des erreurs ACS90055-HTTP 429 récurrentes car votre espace de noms dépasse la limite du taux de demandes de jetons, redistribuez votre charge de travail en remplaçant un espace de noms par plusieurs espaces de noms plus petits.
Voir aussi
Concepts
Instructions relatives aux nouvelles tentatives pour ACS
Codes d'erreur ACS