Limiti e restrizioni del servizio Azure Active Directory B2C
Prima di iniziare, usare il selettore Scegli un tipo di criterio nella parte superiore di questa pagina per scegliere il tipo di criterio che si sta configurando. Azure Active Directory B2C offre due metodi per definire il modo in cui gli utenti interagiscono con le applicazioni: tramite flussi utente predefiniti o tramite criteri personalizzati completamente configurabili. I passaggi necessari in questo articolo sono diversi per ogni metodo.
Questo articolo descrive i vincoli di utilizzo e altri limiti di servizio per il servizio Azure Active Directory B2C (Azure AD B2C). Questi limiti sono applicati per proteggere gestendo efficacemente le minacce e garantendo un elevato livello di qualità del servizio.
Nota
Per aumentare i limiti del servizio indicati in questo articolo, contattare il supporto tecnico.
Limiti correlati all'utente/consumo
Il numero di utenti in grado di eseguire l'autenticazione tramite un tenant di Azure AD B2C viene gestito tramite limiti di richiesta. La tabella seguente illustra i limiti delle richieste per il tenant di Azure AD B2C.
| Categoria | Limite |
|---|---|
| Numero massimo di richieste per IP per tenant di Azure AD B2C | 6.000/5 minuti |
| Numero massimo di richieste per tenant di Azure AD B2C | 200/sec |
Utilizzo delle richieste di endpoint
Azure AD B2C è conforme ai protocolli OAuth 2.0, OpenID Connect (OIDC) e SAML . Fornisce la funzionalità di autenticazione utente e Single Sign-On (SSO), con gli endpoint elencati nella tabella seguente.
La frequenza delle richieste effettuate agli endpoint di Azure AD B2C determina la funzionalità complessiva di rilascio dei token. Azure AD B2C espone gli endpoint, che usano un numero diverso di richieste. Per altre informazioni sugli endpoint usati dall'applicazione, vedere l'articolo Authentication Protocols (Protocolli di autenticazione).
| Endpoint | Tipo di endpoint | Richieste utilizzate |
|---|---|---|
| /oauth2/v2.0/authorize | Dinamico | Varia 1 |
| /oauth2/v2.0/token | Statico | 1 |
| /openid/v2.0/userinfo | Statico | 1 |
| /.well-known/openid-config | Statico | 1 |
| /discovery/v2.0/keys | Statico | 1 |
| /oauth2/v2.0/logout | Statico | 1 |
| /samlp/sso/login | Dinamico | Varia 1 |
| /samlp/sso/logout | Statico | 1 |
1 Il tipo di flusso utente determina il numero totale di richieste utilizzate quando si usano questi endpoint.
1 La configurazione dei criteri personalizzati determina il numero totale di richieste utilizzate quando si usano questi endpoint.
Frequenza di rilascio dei token
Ogni tipo di flusso utente offre un'esperienza utente univoca e utilizzerà un numero diverso di richieste. La frequenza di rilascio dei token di un flusso utente dipende dal numero di richieste utilizzate dagli endpoint statici e dinamici. La tabella seguente mostra il numero di richieste utilizzate in un endpoint dinamico per ogni flusso utente.
| Flusso utente | Richieste utilizzate |
|---|---|
| Registrarsi | 6 |
| Accedere | 4 |
| Reimpostazione della password | 4 |
| Modifica del profilo | 4 |
| Iscrizione e accesso tramite telefono | 6 |
Quando si aggiungono altre funzionalità a un flusso utente, ad esempio l'autenticazione a più fattori, vengono utilizzate più richieste. Nella tabella seguente viene illustrato il numero di richieste aggiuntive utilizzate quando un utente interagisce con una di queste funzionalità.
| Funzionalità | Richieste aggiuntive utilizzate |
|---|---|
| Autenticazione a più fattori Microsoft Entra | 2 |
| Password monouso tramite posta elettronica | 2 |
| Controllo dell'accesso in base all'età | 2 |
| Provider di identità federato | 2 |
Per ottenere la frequenza di rilascio dei token al secondo per il flusso utente:
- Usare le tabelle precedenti per aggiungere il numero totale di richieste utilizzate nell'endpoint dinamico.
- Aggiungere il numero di richieste previste negli endpoint statici in base al tipo di applicazione.
- Usare la formula seguente per calcolare la frequenza di rilascio dei token al secondo.
Tokens/sec = 200/requests-consumed
La frequenza di rilascio dei token di un criterio personalizzato dipende dal numero di richieste utilizzate dagli endpoint statici e dinamici. La tabella seguente mostra il numero di richieste utilizzate in un endpoint dinamico per gli starter pack di Azure AD B2C.
| Starter Pack | Scenario | ID percorso utente | Richieste utilizzate |
|---|---|---|---|
| LocalAccounts | Accedi | SignUpOrSignIn | 2 |
| LocalAccounts SocialAndLocalAccounts | Iscriversi | SignUpOrSignIn | 6 |
| LocalAccounts | Modifica del profilo | ProfileEdit | 2 |
| LocalAccounts SocialAndLocalAccounts SocialAndLocalAccountsWithMfa | Reimpostazione della password | PasswordReset | 6 |
| SocialAndLocalAccounts | Accesso all'account federato | SignUpOrSignIn | 4 |
| SocialAndLocalAccounts | Iscrizione all'account federato | SignUpOrSignIn | 6 |
| SocialAndLocalAccountsWithMfa | Accesso all'account locale con MFA | SignUpOrSignIn | 6 |
| SocialAndLocalAccountsWithMfa | Iscrizione all'account locale con MFA | SignUpOrSignIn | 10 |
| SocialAndLocalAccountsWithMfa | Accesso all'account federato con MFA | SignUpOrSignIn | 8 |
| SocialAndLocalAccountsWithMfa | Iscrizione all'account federato con MFA | SignUpOrSignIn | 10 |
Per ottenere la frequenza di rilascio dei token al secondo per un determinato percorso utente:
- Usare la tabella precedente per trovare il numero di richieste utilizzate per il percorso utente.
- Aggiungere il numero di richieste previste negli endpoint statici in base al tipo di applicazione.
- Usare la formula seguente per calcolare la frequenza di rilascio dei token al secondo.
Tokens/sec = 200/requests-consumed
Calcolare la frequenza di rilascio dei token dei criteri personalizzati
È possibile creare criteri personalizzati per offrire un'esperienza di autenticazione univoca per l'applicazione. Il numero di richieste utilizzate nell'endpoint dinamico dipende dalle funzionalità che un utente attraversa attraverso i criteri personalizzati. La tabella seguente mostra il numero di richieste utilizzate per ogni funzionalità in un criterio personalizzato.
| Funzionalità | Richieste utilizzate |
|---|---|
| Profilo tecnico autocertificato | 2 |
| Profilo tecnico del fattore telefonico | 4 |
| Verifica tramite posta elettronica (Verified.Email) | 2 |
| Visualizza controllo | 2 |
| Provider di identità federato | 2 |
Per ottenere la frequenza di rilascio dei token al secondo per i criteri personalizzati:
- Usare la tabella precedente per calcolare il numero totale di richieste utilizzate nell'endpoint dinamico.
- Aggiungere il numero di richieste previste negli endpoint statici in base al tipo di applicazione.
- Usare la formula seguente per calcolare la frequenza di rilascio dei token al secondo.
Tokens/sec = 200/requests-consumed
Procedure consigliate
È possibile ottimizzare la frequenza di rilascio dei token considerando le opzioni di configurazione seguenti:
- Aumento della durata dei token di accesso e aggiornamento.
- Aumento della durata della sessione Web di Azure AD B2C.
- Abilitazione di Mantieni l'accesso.
- Memorizzazione nella cache dei documenti di metadati OpenId Connect nelle API.
- Applicazione dell'autenticazione a più fattori condizionale tramite l'accesso condizionale.
Limiti di configurazione di Azure AD B2C
La tabella seguente elenca i limiti di configurazione amministrativa nel servizio Azure AD B2C.
| Categoria | Limite |
|---|---|
| Numero di ambiti per applicazione | 1000 |
| Numero di attributi personalizzati per utente 1 | 100 |
| Numero di URL di reindirizzamento per applicazione | 100 |
| Numero di URL di disconnessione per applicazione | 1 |
| Limite di stringhe per attributo | 250 caratteri |
| Numero di tenant B2C per sottoscrizione | 20 |
| Numero totale di oggetti (account utente e applicazioni) per tenant (limite predefinito) | 1,25 milioni |
| Numero totale di oggetti (account utente e applicazioni) per tenant (usando un dominio personalizzato verificato). Per aumentare questo limite, contattare supporto tecnico Microsoft. | 5,25 milioni |
| Livelli di ereditarietà nei criteri personalizzati | 10 |
| Numero di criteri per tenant di Azure AD B2C (flussi utente e criteri personalizzati) | 200 |
| Dimensioni massime del file di criteri | 1024 KB |
| Numero di connettori API per tenant | 20 |
1 Vedere anche Limiti e restrizioni del servizio Microsoft Entra.
Vedere Limiti specifici del servizio.
Come protezione per i clienti, Microsoft pone alcune restrizioni alla verifica della telefonia per determinati codici di area. Nella tabella seguente sono elencati i codici di area e i relativi limiti corrispondenti.
| Codice regione | Nome area | Limite per tenant per 60 minuti | Limite per tenant per 24 ore |
|---|---|---|---|
| 228 | Togo | 10 | 30 |
| 257 | Uzbeco | 10 | 30 |
| 970 | Stato di Plaestine | 10 | 30 |
| 249 | Sudan | 10 | 30 |
| 226 | Burkina Faso | 10 | 30 |
| 252 | Somalia | 10 | 30 |
| 501 | Belize | 10 | 30 |
| 855 | Cambogia | 50 | 200 |
| 84 | Vietnam | 150 | 500 |
| 94 | Sri Lanka | 100 | 500 |
| 63 | Filippine | 50 | 200 |
| 62 | Indonesia | 50 | 200 |
| 7 | Russia | 100 | 1000 |
| 258 | Mozambico | 50 | 200 |
| 92 | Pakistan | 100 | 1000 |
| 994 | Azerbaigian | 50 | 200 |
| 880 | Bangladesh | 50 | 200 |
| 20 | Egitto | 50 | 200 |
| 260 | Zambia | 50 | 200 |
| 502 | Guatemala | 10 | 50 |
| 255 | Tanzania | 10 | 50 |
| 261 | Madagascar | 10 | 30 |
| 998 | Uzbekistan | 10 | 30 |
| 223 | Mali | 20 | 100 |
| 52 | Messico | 100 | 500 |
| 60 | Malesia | 50 | 200 |
| 221 | Senegal | 10 | 30 |
| 216 | Tunisia | 20 | 100 |
| 503 | El Salvador | 10 | 30 |
| 234 | Nigeria | 20 | 100 |
| 386 | Slovenia | 10 | 50 |
| 591 | Bolivia | 10 | 30 |
| 263 | Zimbabwe | 10 | 30 |
| 261 | Madagascar | 10 | 30 |
| 995 | Georgia | 10 | 30 |
| 993 | Turkmenistan | 10 | 30 |
| 256 | Uganda | 20 | 100 |
| 212 | Marocco | 20 | 100 |
| 856 | Laos | 50 | 200 |
| 224 | Guinea | 20 | 100 |
| 992 | Tagikistan | 10 | 30 |
| 238 | Cabo Verde | 10 | 30 |
Passaggi successivi
- Informazioni sulle linee guida per la limitazione delle richieste di Microsoft Graph
- Informazioni sulle differenze di convalida per le applicazioni Azure AD B2C
- Informazioni sulla resilienza tramite le procedure consigliate per gli sviluppatori