ACS 服務限制
更新日期:2015 年 6 月 19 日
適用對象:Azure
本主題說明Microsoft Azure Active Directory 存取控制 (也稱為存取控制服務或 ACS) 允許服務不同層面的最大值。
Google 身分識別提供者支援
ACS 命名空間可以將其 Google 身分識別提供者組態從 OpenID 2.0 移轉至 OpenID Connect。 移轉必須在 2015 年 6 月 1 日之前完成。 如需詳細指引,請參閱將 ACS 命名空間移轉至 Google OpenID 連線。
每個輸入權杖已執行八次規則
每當 ACS 收到信賴憑證者應用程式的輸入權杖時,ACS 規則引擎就會同時執行與該信賴憑證者應用程式相關聯的所有規則。 如果輸入權杖中沒有規則輸出額外的宣告,則會再執行一次具有這些宣告的所有規則作為輸出值。 在執行完成後沒有再簽發新的宣告,或執行八次後 (以先完成者為準),規則執行就會停止。
管理服務限制查詢結果
使用管理服務來查詢規則群組是否有規則時,服務會將查詢結果限制為不超過 100 個規則。 這是因為管理服務使用 Open Data (OData) 通訊協定,而一次 (分頁) 傳回 100 個物件是 OData 端點的標準行為。
每個 ACS 實體的結果大小如下所示:
規則:100
其他所有專案:50
只能在您的管理服務用戶端節點中實作分頁,才可以處理較大的結果集。 如需分頁範例,請參閱如何:載入分頁結果 (WCF Data Services) (https://go.microsoft.com/fwlink/?LinkID=193452) 。
連入宣告限制
為了讓 ACS 能夠處理並成功發出安全性權杖,傳入權杖中的宣告數目必須等於或不超過 80。 如果傳入宣告的數目大於 80,則會產生下列錯誤訊息: 輸入宣告數目 (#) 超過限制 (80) 。
權杖要求速率限制
為了改善所有使用者的 ACS 可用性和效能,ACS 已針對每個命名空間實作每秒 30 個權杖要求的持續速率限制。 此個別命名空間速率限制是以數分鐘內每分鐘的平均值來測量,所以不是由偶發的尖峰所引起。 如果權杖要求速率超過每秒 30 個要求持續一段時間,ACS 會在間隔期間拒絕命名空間中的過多權杖要求,並傳回 HTTP 429「太多要求」錯誤,並出現 ACS90055 錯誤碼。
ACS 也會在 ACS 資源被所有命名空間的高權杖要求速率暫時取用時,拒絕權杖要求。 在此情況下,ACS 會傳回 HTTP 503「服務無法使用」錯誤,ACS90046 (ACS 忙碌) 或 ACS60021 (資料伺服器忙碌) 錯誤碼。
當您收到 HTTP 429 或 503 錯誤時,請使用回復計時器重試要求,如 ACS 重試指導方針中所述。 如果未依遞增的時間間隔來分散重試,則累積的重試很可能讓問題惡化,並持續一段很長時間都拒絕權杖要求。 如果您因為命名空間超出權杖要求速率限制而不斷收到 ACS90055-HTTP 429 錯誤,請考慮將單一命名空間換成數個較小的命名空間,以重新分配工作量。