Ограничения службы ACS
Обновлено: 19 июня 2015 г.
Область применения: Azure
В этом разделе описываются максимальные значения, которые Microsoft Azure Active Directory контроль доступа (также называемые службой контроль доступа или ACS) позволяют использовать различные аспекты службы.
Поддержка поставщика удостоверений Google
Пространства имен ACS могут перенести конфигурации поставщика удостоверений Google из OpenID 2.0 в OpenID Connect. Миграция должна быть завершена до 1 июня 2015 г. Подробные инструкции см. в статье о переносе пространств имен ACS в Google OpenID Подключение.
Правила, выполняемые восемь раз для каждого входящего маркера
Каждый раз, когда ACS получает входной маркер для приложения проверяющей стороны, обработчик правил ACS выполняет все правила, связанные с этим приложением проверяющей стороны одновременно. Если правила выдают дополнительные утверждения, отсутствующие во входящем маркере, все правила выполняются еще раз, при этом утверждения используются как входные значения. Выполнение правил прекращается, если новые утверждения не выдаются после завершения выполнения или после выполнения восьми правил.
Служба управления ограничивает результаты запросов
При использовании службы управления для запроса правил у групп правил служба ограничивает результат запроса 100 правил. Это связано с тем, что служба управления использует протокол OData, а стандартные конечные точки OData возвращают 100 объектов за раз (с разбиением на страницы).
Размер результата для каждой сущности ACS выглядит следующим образом:
Правила: 100
Все остальное: 50
Более крупные результирующие наборы можно обработать, только реализуя разбиение на страницы в клиентском коде службы управления. Примеры разбиения на страницы см. в разделе "Практическое руководство. Загрузка страничных результатов (WCF Data Services) (https://go.microsoft.com/fwlink/?LinkID=193452).
Ограничение входящих утверждений
Чтобы служба ACS обрабатывала и успешно выдала маркер безопасности, количество утверждений в входящем маркере должно быть равно или не больше 80. Если число входящих утверждений больше 80, создается следующее сообщение об ошибке: число входных утверждений (#) превышает ограничение (80).
Ограничение скорости запросов маркера
Чтобы повысить доступность и производительность ACS для всех пользователей, СЛУЖБА ACS реализовала устойчивый предел скорости в 30 запросов маркеров в секунду для каждого пространства имен. Это ограничение измеряется как среднее значение для каждой минуты в течение нескольких минут, чтобы на него не влияли случайные пики. Если частота запросов маркера более 30 запросов в секунду продолжается в течение длительного периода, ACS отклоняет лишние запросы маркеров из пространства имен в течение интервала и возвращает ошибку HTTP 429 "Слишком много запросов" с кодом ошибки ACS90055.
ACS также отклоняет запросы маркеров, когда ресурсы ACS временно используются высокой скоростью запросов маркеров из всех пространств имен. В этом случае ACS возвращает ошибку HTTP 503 "Служба недоступна" с кодами ошибок ACS90046 (занят ACS) или ACS60021 (занят сервер данных).
При получении ошибок HTTP 429 или 503 повторите запросы с таймером отката, как описано в руководстве по повторным попыткам ACS. Если повторные попытки не распределяются по увеличивающимся интервалам, накопленные повторы могут ухудшить проблему и удлинить период отклонения запросов. Если ошибки возникают ACS90055-HTTP 429 снова и снова, потому что для пространства имен превышается ограничение скорости запроса маркеров, перераспределите рабочую нагрузку, заменив одно пространство имен на несколько более мелких.