Recommandations en matière de performances ACS
S'applique à
Microsoft Azure Active Directory Access Control (également appelé Access Control Service ou ACS)
Windows Identity Foundation (WIF)
Résumé
Cette rubrique décrit les principales recommandations en matière de performances que vous devez prendre en compte lorsque vous développez des applications et des services qui utilisent ACS. Elle fournit notamment des recommandations concernant les tailles des jetons et le chiffrement, ainsi que sur leur impact sur les performances globales.
Vue d’ensemble
En général, les principaux facteurs de performances sont le temps de réponse, le débit et l'utilisation des ressources. Par exemple, si l'application possède des ressources mémoire limitées, il est probable que certaines informations accéderont au système de fichiers, ce qui est beaucoup plus lent que les opérations en mémoire, d'où une dégradation du temps de réponse global. Autre exemple : si l'application envoie une grande quantité de données sur un réseau ayant une bande passante limitée, le temps de réponse est moindre que prévu. Pour résoudre les problèmes de performance, une approche consiste à ajouter davantage de ressources telles que de la bande passante réseau, un processeur plus rapide et davantage de mémoire. Cette approche peut parfois aider, mais pas toujours. Une autre approche consiste à améliorer le code pour qu'il utilise moins de ressources et échange moins de données. Compte tenu du contexte des applications prenant en charge les revendications et de ce qui se trouve sous le contrôle du développeur, il existe quelques facteurs clés liés à l’utilisation d’ACS qui affectent les performances, notamment les jetons et les opérations de chiffrement liées aux jetons.
Objectifs
Définissez les aspects qui affectent les performances dans les applications qui utilisent ACS.
Fournir des recommandations concernant l'amélioration des performances pour chacun des aspects.
Taille des jetons et chiffrement
La taille et le chiffrement des jetons sont des facteurs clés sous le contrôle du développeur qui affectent les performances des applications intégrées à ACS.
Taille des jetons. La taille des jetons affecte les performances de deux manières. Tout d'abord, elle affecte directement les performances liées à la bande passante du réseau. Plus le jeton est grand, plus il occupera de bande passante et plus la réponse sera lente. Ensuite, plus le jeton est grand et plus il faut de cycles de processeur pour vérifier l'intégrité et extraire les revendications dans le jeton. Le traitement des jetons comprend leur analyse et leur désérialisation au format binaire pour que votre code puisse les utiliser. Il comprend également plusieurs opérations de chiffrement telles que la validation de la signature et éventuellement le déchiffrement. Plus le jeton est grand, plus le nombre de cycles de processeurs consacrés à son traitement est élevé, ce qui entraîne une plus forte utilisation des ressources et un temps de réponse plus lent. La taille du jeton dépend de plusieurs facteurs : format de jeton, chiffrement appliqué au jeton et revendications dans le jeton. ACS prend en charge les jetons SAML, SWT et JWT. En règle générale, un jeton SWT ou JWTJWT est inférieur à un jeton SAML qui contient une quantité équivalente d’informations. Pour plus d’informations, lisez les formats de jeton pris en charge dans ACS. Il faut toutefois noter que différents formats de jetons sont optimisés pour différents protocoles et différentes architectures d'applications.
Les jetons SWT sont émis sur les protocoles WS-Federation, WS-Trust et OAuth WRAP ou OAuth 2.0. Cela signifie que les jetons SWT peuvent être utilisés dans les applications web, les services WCF (SOAP) et les services WCF (REST). WIF ne prend pas en charge le gestionnaire de jetons SWT.
Les jetons SAML sont émis sur les protocoles WS-Trust et WS-Federation. Cela signifie que les jetons SAML peuvent être utilisés dans les applications web et les services WCF (SOAP). WIF prend en charge les jetons SAML 2.0 et SAML 1.1. En savoir plus sur WIF dans la rubrique suivante Windows Identity Foundation
Les jetons JWT sont émis sur les protocoles WS-Federation, WS-Trust et OAuth 2.0. Cela signifie que les jetons SWT peuvent être utilisés dans les applications web, les services WCF (SOAP) et les services WCF (REST).
L'un des facteurs qui contribuent le plus à la taille du jeton est les revendications qu'il contient. Plus le jeton contient de revendications, plus sa taille est grande. Dans la plupart des cas, les revendications fournies avec le jeton sont contrôlées par le développeur. Les revendications utilisées par une application sont ajoutées, supprimées ou modifiées par le service de jeton de sécurité (STS) comme AD FS ou ACS. ACS utilise des groupes de règles et des règles pour ajouter, supprimer ou modifier des revendications dans un jeton. Pour plus d’informations, lisez les groupes de règles et les règles.
Chiffrement. Le chiffrement et d'autres opérations de chiffrement telles que la signature, la validation de signature et le déchiffrement affectent directement les performances. Les opérations de chiffrement consomment de la puissance de calcul en raison des algorithmes complexes impliqués. ACS signe tous les jetons émis en guise de mesure d'intégrité pour contrer les attaques par falsification. La validation de signature des jetons n'est pas facultative. Le chiffrement des jetons est nécessaire si une application de partie de confiance est un service web qui n'utilise pas le protocole SSL pour chiffrer les communications. Les services WCF qui utilisent SOAP nécessitent des jetons chiffrés avec preuve de possession avec le protocole WS-Trust. Le chiffrement des jetons est nécessaire pour protéger les informations sensibles sur un canal non chiffré. Toutefois, dans les cas où le canal de communication est chiffré, par exemple lors de l'utilisation du chiffrement SSL, l'utilisation du chiffrement des jetons est facultative et peut ne pas être appliquée en vue d'améliorer les performances.
Voir aussi
Concepts
Recommandations en matière de sécurité ACS
Recommandations en matière de gestion de certificats et de clés