Omezení služby ACS
Aktualizováno: 19. června 2015
Platí pro: Azure
Toto téma vysvětluje maximální hodnoty, které Microsoft Azure Active Directory Access Control (označované také jako služba Access Control nebo služba ACS) umožňují různé aspekty služby.
Podpora zprostředkovatele identity Google
Obory názvů služby ACS můžou migrovat konfigurace zprostředkovatele identity Google z OpenID 2.0 na OpenID Připojení. Migrace musí být dokončena před 1. červnem 2015. Podrobné pokyny najdete v tématu Migrace oborů názvů služby ACS na Google OpenID Připojení.
Pravidla se pro každý vstupní token spustila osmkrát
Kdykoli služba ACS obdrží vstupní token pro aplikaci předávající strany, modul pravidel služby ACS spustí všechna pravidla přidružená k této aplikaci předávající strany současně. Pokud pravidla výstupem dalších deklarací identity ve vstupním tokenu nejsou, všechna pravidla se znovu spustí s těmito deklaracemi identity jako vstupními hodnotami. Spuštění pravidla se zastaví, když se po dokončení provádění nevystaví žádné nové deklarace identity nebo se dokončí osm spuštění (podle toho, co nastane dříve).
Výsledky dotazů na omezení služby pro správu
Při použití služby pro správu k dotazování skupin pravidel pro pravidla služba omezuje výsledek dotazu na maximálně 100 pravidel. Důvodem je to, že služba pro správu používá protokol Open Data (OData) a vrací 100 objektů najednou (stránkování) standardní chování koncových bodů OData.
Velikost výsledku pro každou entitu služby ACS je následující:
Pravidla: 100
Všechno ostatní: 50
Větší sady výsledků je možné zpracovat pouze implementací stránkování v klientském kódu služby pro správu. Příklady stránkování najdete v tématu Postupy: Načtení stránkovaných výsledků (WCF Data Services) (https://go.microsoft.com/fwlink/?LinkID=193452).
Limit příchozích deklarací identity
Aby služba ACS mohla zpracovat a úspěšně vydat token zabezpečení, musí být počet deklarací identity v příchozím tokenu roven nebo nesmí být větší než 80. Pokud je počet příchozích deklarací identity větší než 80, vygeneruje se následující chybová zpráva: Počet vstupních deklarací identity (#) překračuje limit (80).
Limit rychlosti požadavků na tokeny
Aby se zlepšila dostupnost a výkon služby ACS pro všechny uživatele, služba ACS implementovala trvalý limit rychlosti 30 požadavků na tokeny za sekundu pro každý obor názvů. Tento limit rychlosti pro jednotlivé obory názvů se měří jako průměr pro každou minutu za několik minut, takže se neaktivuje občasnými špičkami. Pokud míra žádostí tokenu o více než 30 požadavků za sekundu trvá delší dobu, služba ACS odmítne nadbytečné žádosti o tokeny z oboru názvů po dobu trvání intervalu a vrátí chybu HTTP 429 Příliš mnoho požadavků s kódem chyby ACS90055.
Služba ACS také odmítne žádosti o tokeny, pokud jsou prostředky služby ACS dočasně spotřebovány vysokou rychlostí požadavků na token ze všech oborů názvů. V tomto případě služba ACS vrátí chybu HTTP 503 "Služba není k dispozici" s kódy chyb ACS90046 (zaneprázdněný ACS) nebo ACS60021 (zaneprázdněný datovým serverem).
Když dojde k chybám HTTP 429 nebo 503, zkuste žádosti zopakovat pomocí časovače pro návrat, jak je popsáno v pokynech pro opakování služby ACS. Pokud se opakování nedistribuuje v delších časových intervalech, kumulované opakování pravděpodobně problém zkrátí a prodlouží dobu, během které se žádosti o tokeny zamítnou. Pokud dochází k opakovaným chybám ACS90055-HTTP 429, protože váš obor názvů překračuje limit rychlosti požadavků na token, zvažte redistribuci úlohy nahrazením jednoho oboru názvů několika menšími obory názvů.