ACS サービスの制限事項

更新日: 2015 年 6 月 19 日

適用先:Azure

このトピックでは、Microsoft Azure Active Directory Access Control (Access Control サービスまたは ACS とも呼ばれます) がサービスのさまざまな側面に対して許可する最大値について説明します。

Google ID プロバイダー サポート

ACS 名前空間では Google ID プロバイダー構成を OpenID 2.0 から OpenID Connect に移行できます。 移行は 2015 年 6 月 1 日までに完了する必要があります。 詳細なガイダンスについては、「ACS 名前空間を Google OpenID Connectに移行する」を参照してください。

入力トークンごとに 8 回実行されるルール

ACS が証明書利用者アプリケーションの入力トークンを受信するたびに、ACS ルール エンジンはその証明書利用者アプリケーションに関連付けられているすべてのルールを同時に実行します。 ルールにより、入力トークンに存在しない出力方向の追加要求が出力されると、これらの要求ですべてのルールが入力値として再度実行されます。 ルールの実行は、実行の完了後に新しい要求が発行されない場合や 8 回の実行が完了した場合に (いずれか早い方の時点で) 停止します。

管理サービスによるクエリ結果の制限

管理サービスを使用してルールのルール グループに対してクエリを実行する場合、サービスによって、クエリ結果が 100 ルール以下に制限されます。 これは、管理サービスが Open Data (OData) プロトコルを使用し、一度に 100 オブジェクトを返すこと (ページング) が OData エンドポイントの標準動作であるためです。

各 ACS エンティティの結果サイズは次のとおりです。

  • ルール: 100

  • その他: 50

より多くの結果セットは、管理サービス クライアント コードにページングを実装することでしか処理できません。 ページ分割の例については、「方法: ページ結果を読み込む (WCF Data Services) (https://go.microsoft.com/fwlink/?LinkID=193452)」を参照してください。

着信要求の制限

ACS がセキュリティ トークンを処理して正常に発行するには、受信トークン内の要求の数が 80 以下である必要があります。 受信要求の数が 80 を超える場合は、次のエラー メッセージが生成されます。 入力要求の数 (#) が制限 (80) を超えています

トークン要求レートの制限

すべてのユーザーの ACS の可用性とパフォーマンスを向上させるために、ACS は名前空間ごとに 1 秒あたり 30 個のトークン要求の持続的なレート制限を実装しています。 この名前空間ごとのレート制限は数分間で 1 分の平均として測定されるため、不定期なスパイクによってトリガーされることはありません。 1 秒あたり 30 を超える要求のトークン要求レートが長期間継続する場合、ACS は間隔の間名前空間からの過剰なトークン要求を拒否し、ACS90055 エラー コードで HTTP 429 "要求数が多すぎます" エラーを返します。

また、ACS リソースがすべての名前空間からの高いトークン要求レートによって一時的に使用される場合、ACS はトークン要求を拒否します。 この場合、ACS は ACS90046 (ACS ビジー) または ACS60021 (データ サーバービジー) エラー コードで HTTP 503 "サービス利用不可" エラーを返します。

HTTP 429 または 503 エラーが発生した場合は、「ACS 再試行ガイドライン」で説明されているように、バックオフ タイマーを使用して要求 を再試行します。 試行が経時的に分散されないと、累積試行によって問題が悪化し、トークン要求の拒否期間が長くなる可能性があります。 名前空間がトークン要求レート制限を超えているために ACS90055-HTTP 429 エラーが繰り返し発生する場合は、1 つの名前空間をいくつかの小さい名前空間に置き換えて、ワークロードを再分散することを検討してください。

参照

概念

ACS Retry Guidelines (ACS の再試行のガイドライン)
ACS エラー コード