Dela via


Begränsningar för ACS-tjänsten

Uppdaterad: 19 juni 2015

Gäller för: Azure

Det här avsnittet beskriver de högsta värden som Microsoft Azure Active Directory Access Control (även kallat Access Control Service eller ACS) tillåter olika aspekter av tjänsten.

Stöd för Google Identity Provider

ACS-namnområden kan migrera sina konfigurationer för Google-identitetsprovidern från OpenID 2.0 till OpenID Anslut. Migreringen måste slutföras före den 1 juni 2015. Detaljerad vägledning finns i Migrera ACS-namnrymder till Google OpenID Anslut.

Regler som körs åtta gånger per indatatoken

När ACS tar emot en indatatoken för ett förlitande partprogram kör ACS-regelmotorn alla regler som är associerade med det förlitande partprogrammet samtidigt. Om reglerna matar ut ytterligare anspråk som inte finns i indatatoken körs alla regler igen med dessa anspråk som indatavärden. Regelkörningen stoppas när inga nya anspråk utfärdas när en körning har slutförts eller åtta körningar har slutförts (beroende på vilket som inträffar först).

Frågeresultat för hanteringstjänstbegränsningar

När du använder hanteringstjänsten för att fråga regelgrupper efter regler begränsar tjänsten frågeresultatet till högst 100 regler. Det beror på att hanteringstjänsten använder OData-protokollet (Open Data) och att returnera 100 objekt åt gången (växling) är standardbeteendet för OData-slutpunkter.

Resultatstorleken för var och en av ACS-entiteterna är följande:

  • Regler: 100

  • Allt annat: 50

Större resultatuppsättningar kan bara hanteras genom att implementera växling i hanteringstjänstens klientkod. Sidnumreringsexempel finns i How to: Load Paged Results (WCF Data Services) (https://go.microsoft.com/fwlink/?LinkID=193452).

Gräns för inkommande anspråk

För att ACS ska kunna bearbeta och utfärda en säkerhetstoken måste antalet anspråk i den inkommande token vara lika med eller inte större än 80. Om antalet inkommande anspråk är större än 80 genereras följande felmeddelande: Antalet inkommande anspråk (#) överskrider gränsen (80).

Hastighetsgräns för tokenbegäran

För att förbättra TILLGÄNGLIGHET och prestanda för ACS för alla användare har ACS implementerat en varaktig hastighetsgräns på 30 tokenbegäranden per sekund för varje namnområde. Den här hastighetsgränsen per namnområde mäts som ett genomsnitt för varje minut under flera minuter, så den utlöses inte av ovanliga toppar. Om en tokenbegäran på mer än 30 begäranden per sekund fortsätter under en längre period avvisar ACS överflödiga tokenbegäranden från namnområdet under intervallets varaktighet och returnerar ett HTTP 429-fel med felkoden ACS90055.

ACS avvisar också tokenbegäranden när ACS-resurser tillfälligt förbrukas av en hög tokenbegärandefrekvens från alla namnområden. I det här fallet returnerar ACS felet HTTP 503 "Tjänsten är inte tillgänglig" med felkoderna ACS90046 (ACS upptagen) eller ACS60021 (dataservern är upptagen).

När du får HTTP 429- eller 503-fel försöker du igen med en timer för säkerhetskopiering, enligt beskrivningen i riktlinjerna för återförsök i ACS. Om återförsöken inte fördelas över ökande tidsintervall kommer de ackumulerade återförsöken sannolikt att förvärra problemet och förlänga perioden då tokenbegäranden avvisas. Om du får återkommande ACS90055-HTTP 429-fel eftersom namnområdet överskrider hastighetsgränsen för tokenbegäran kan du överväga att omdistribuera arbetsbelastningen genom att ersätta ett enda namnområde med flera mindre namnområden.

Se även

Begrepp

Riktlinjer för återförsök i ACS
ACS-felkoder