Azure Active Directory B2C 服務限制
開始 之前,請使用 此頁面頂端的 [選擇原則類型 選取器] 來選擇您要設定的原則類型。 Azure Active Directory B2C 提供兩種方法來定義使用者如何與您的應用程式互動:透過預先 定義的使用者流程 ,或透過完全可設定 的自訂原則 。 本文中每個方法所需的步驟都不同。
本文概述 Azure Active Directory B2C (Azure AD B2C) 服務的使用限制和其他服務限制。 這些限制可藉由有效管理威脅並確保高等級的服務品質來保護。
使用者/耗用量相關限制
能夠透過 Azure AD B2C 租使用者進行驗證的使用者數目會透過要求限制進行閘道。 下表說明 Azure AD B2C 租使用者的要求限制。
| 類別 | 限制 |
|---|---|
| 每個 Azure AD B2C 租使用者每個 IP 的要求上限 | 6,000/5 分鐘 |
| 每個 Azure AD B2C 租使用者的要求上限 | 200/秒 |
端點要求使用量
Azure AD B2C 符合 OAuth 2.0 、 OpenID 連線 (OIDC) 和 SAML 通訊協定的規範。 其提供使用者驗證和單一登入 (SSO) 功能,其中包含下表所列的端點。
對 Azure AD B2C 端點提出要求的頻率會決定整體權杖發行功能。 Azure AD B2C 會公開端點,其會取用不同數目的要求。 如需應用程式所取用端點的詳細資訊,請參閱驗證通訊協定 一文。
| 端點 | 端點類型 | 取用的要求 |
|---|---|---|
| /oauth2/v2.0/authorize | 動態 | 變化 1 |
| /oauth2/v2.0/token | 靜態 | 1 |
| /openid/v2.0/userinfo | 靜態 | 1 |
| /.well-known/openid-config | 靜態 | 1 |
| /discovery/v2.0/keys | 靜態 | 1 |
| /oauth2/v2.0/logout | 靜態 | 1 |
| /samlp/sso/login | 動態 | 變化 1 |
| /samlp/sso/logout | 靜態 | 1 |
1 使用者流程 的類型 會決定使用這些端點時所取用的要求總數。
1 自訂 原則 的設定會決定使用這些端點時所取用的要求總數。
權杖發行率
每種使用者流程類型都會提供獨特的使用者體驗,並取用不同數目的要求。 使用者流程的權杖發行率取決於靜態和動態端點所取用的要求數目。 下表顯示針對每個使用者流程在動態端點取用的要求數目。
| 使用者流程 | 取用的要求 |
|---|---|
| 註冊 | 6 |
| 登入 | 4 |
| 密碼重設 | 4 |
| 設定檔編輯 | 4 |
| 電話註冊並登入 | 6 |
當您將更多功能新增至使用者流程時,例如多重要素驗證,會耗用更多要求。 下表顯示當使用者與其中一項功能互動時,會取用多少額外的要求。
| 功能 | 已取用的其他要求 |
|---|---|
| Microsoft Entra 多重要素驗證 | 2 |
| 電子郵件一次性密碼 | 2 |
| 年齡管制 | 2 |
| 同盟識別提供者 | 2 |
若要取得使用者流程每秒的權杖發行速率:
- 使用上述資料表來新增在動態端點取用的要求總數。
- 根據您的應用程式類型,在靜態端點上新增預期的要求數目。
- 使用下列公式來計算每秒的權杖發行率。
Tokens/sec = 200/requests-consumed
自訂原則的權杖發行率取決於靜態和動態端點所取用的要求數目。 下表顯示 Azure AD B2C 入門套件 動態端點 所取用的要求數目。
| 入門套件 | 案例 | 使用者旅程圖識別碼 | 取用的要求 |
|---|---|---|---|
| LocalAccounts | 登入 | SignUpOrSignIn | 2 |
| LocalAccounts SocialAndLocalAccounts | 註冊 | SignUpOrSignIn | 6 |
| LocalAccounts | 設定檔編輯 | ProfileEdit | 2 |
| LocalAccounts SocialAndLocalAccounts SocialAndLocalAccountsWithMfa | 密碼重設 | PasswordReset | 6 |
| SocialAndLocalAccounts | 同盟帳戶登入 | SignUpOrSignIn | 4 |
| SocialAndLocalAccounts | 同盟帳戶註冊 | SignUpOrSignIn | 6 |
| SocialAndLocalAccountsWithMfa | 使用 MFA 的本機帳戶登入 | SignUpOrSignIn | 6 |
| SocialAndLocalAccountsWithMfa | 使用 MFA 註冊本機帳戶 | SignUpOrSignIn | 10 |
| SocialAndLocalAccountsWithMfa | 使用 MFA 的同盟帳戶登入 | SignUpOrSignIn | 8 |
| SocialAndLocalAccountsWithMfa | 使用 MFA 註冊同盟帳戶 | SignUpOrSignIn | 10 |
若要取得特定使用者旅程圖的每秒權杖發行速率:
- 使用上表來尋找使用者旅程圖所取用的要求數目。
- 根據您的應用程式類型,在靜態端點上新增預期的要求數目。
- 使用下列公式來計算每秒的權杖發行率。
Tokens/sec = 200/requests-consumed
計算自訂原則的權杖發行率
您可以建立自己的自訂原則,為您的應用程式提供獨特的驗證體驗。 在動態端點取用的要求數目取決於使用者周遊自訂原則的功能。 下表顯示自訂原則中每個功能的取用要求數目。
| 功能 | 取用的要求 |
|---|---|
| 自我判斷技術設定檔 | 2 |
| 電話因素技術設定檔 | 4 |
| 電子郵件驗證 (Verified.Email) | 2 |
| 顯示控制項 | 2 |
| 同盟識別提供者 | 2 |
若要取得自訂原則的每秒權杖發行速率:
- 使用上表來計算在動態端點取用的要求總數。
- 根據您的應用程式類型,在靜態端點上新增預期的要求數目。
- 使用下列公式來計算每秒的權杖發行率。
Tokens/sec = 200/requests-consumed
最佳作法
您可以考慮下列組態選項來優化權杖發行率:
- 增加存取權和重新整理 令牌存留期。
- 增加 Azure AD B2C Web 工作階段存留期。
- 啟用 [讓我保持登入]。
- 快取 API 上的 OpenId 連線 元數據檔。
- 使用 條件式存取強制執行條件式 MFA。
Azure AD B2C 設定限制
下表列出 Azure AD B2C 服務中的系統管理設定限制。
| 類別 | 限制 |
|---|---|
| 每個應用程式的範圍數目 | 1000 |
| 每個使用者的自定義屬性數目 1 | 100 |
| 每個應用程式的重新導向URL數目 | 100 |
| 每個應用程式的註銷 URL 數目 | 1 |
| 每個屬性的字串限制 | 250 個字元 |
| 每個訂用帳戶的 B2C 租用戶數目 | 20 |
| 每個租使用者的物件總數(使用者帳戶和應用程式)(預設限制) | 125 萬 |
| 每個租使用者的物件總數(使用者帳戶和應用程式)(使用已驗證的自訂網域) | 525 萬 |
| 自定義原則中的繼承層級 | 10 |
| 每個 Azure AD B2C 租使用者的原則數目(使用者流程 + 自定義原則) | 200 |
| 原則檔案大小上限 | 1024 KB |
| 每個租使用者的 API 連接器數目 | 20 |