Azure Active Directory B2C 服务限制和局限性
开始之前,请使用此页顶部的“选择策略类型”选择器来选择要设置的策略类型。 Azure Active Directory B2C 提供了两种定义用户如何与应用程序交互的方法:通过预定义的用户流,或者通过可完全配置的自定义策略。 对于每种方法,本文中所需的步骤都不同。
本文概述 Azure Active Directory B2C (Azure AD B2C) 服务的使用限制和其他服务限制。 这些限制通过有效管理威胁并确保高级别的服务质量来提供保护。
注意
要增加本文中所述的任何服务限制,请联系支持人员。
用户/消耗相关限制
通过请求限制来限制能够通过 Azure AD B2C 租户进行身份验证的用户数量。 下表说明了 Azure AD B2C 租户的请求限制。
| 类别 | 限制 |
|---|---|
| 每个 Azure AD B2C 租户每个 IP 的最大请求数 | 6,000/5 分钟 |
| 每个 Azure AD B2C 租户的最大请求数 | 200/秒 |
终结点请求使用情况
Azure AD B2C 符合 OAuth 2.0、OpenID Connect (OIDC) 和 SAML 协议。 它提供了用户身份验证和单一登录 (SSO) 功能,以及下表中列出的终结点。
向 Azure AD B2C 终结点发出请求的频率决定了总体的令牌颁发功能。 Azure AD B2C 公开消耗不同数量的请求的终结点。 有关应用程序消耗哪些终结点的详细信息,请查看身份验证协议一文。
| 终结点 | 终结点类型 | 消耗的请求数 |
|---|---|---|
| /oauth2/v2.0/authorize | 动态 | 多种多样 1 |
| /oauth2/v2.0/token | 静态 | 1 |
| /openid/v2.0/userinfo | 静态 | 1 |
| /.well-known/openid-config | 静态 | 1 |
| /discovery/v2.0/keys | 静态 | 1 |
| /oauth2/v2.0/logout | 静态 | 1 |
| /samlp/sso/login | 动态 | 多种多样 1 |
| /samlp/sso/logout | 静态 | 1 |
1用户流类型决定了使用这些终结点时消耗的请求总数。
1自定义策略的配置决定了使用这些终结点时消耗的请求总数。
令牌颁发率
每种类型的用户流都提供了独特的用户体验,并且消耗不同数量的请求。 用户流的令牌颁发率取决于静态和动态终结点所消耗的请求数。 下表显示了每个用户流在动态终结点上消耗的请求数。
| 用户流 | 消耗的请求数 |
|---|---|
| 注册 | 6 |
| 登录 | 4 |
| 密码重置 | 4 |
| 配置文件编辑 | 4 |
| 电话注册和登录 | 6 |
在向用户流添加更多功能(如多重身份验证)时,会消耗更多的请求。 下表显示了当用户与这些功能之一进行交互时,会消耗多少额外的请求。
| 功能 | 消耗的额外请求数 |
|---|---|
| Microsoft Entra 多重身份验证 | 2 |
| 电子邮件一次性密码 | 2 |
| 年龄限制 | 2 |
| 联合标识提供者 | 2 |
若要获取用户流的每秒令牌颁发率:
- 使用上表添加在动态终结点消耗的请求总数。
- 根据应用程序类型,添加静态终结点上预期的请求数。
- 使用以下公式计算每秒的令牌颁发率。
Tokens/sec = 200/requests-consumed
自定义策略的令牌颁发率取决于静态和动态终结点所消耗的请求数。 下表显示了 Azure AD B2C 初用者包在动态终结点上消耗的请求数。
| 初用者包 | 方案 | 用户旅程 ID | 消耗的请求数 |
|---|---|---|---|
| LocalAccounts | 登录 | SignUpOrSignIn | 2 |
| LocalAccounts SocialAndLocalAccounts | 注册 | SignUpOrSignIn | 6 |
| LocalAccounts | 配置文件编辑 | ProfileEdit | 2 |
| LocalAccounts SocialAndLocalAccounts SocialAndLocalAccountsWithMfa | 密码重置 | PasswordReset | 6 |
| SocialAndLocalAccounts | 联合帐户登录 | SignUpOrSignIn | 4 |
| SocialAndLocalAccounts | 联合帐户注册 | SignUpOrSignIn | 6 |
| SocialAndLocalAccountsWithMfa | 使用 MFA 进行本地帐户登录 | SignUpOrSignIn | 6 |
| SocialAndLocalAccountsWithMfa | 使用 MFA 进行本地帐户注册 | SignUpOrSignIn | 10 |
| SocialAndLocalAccountsWithMfa | 使用 MFA 进行联合帐户登录 | SignUpOrSignIn | 8 |
| SocialAndLocalAccountsWithMfa | 使用 MFA 进行联合帐户注册 | SignUpOrSignIn | 10 |
若要获取特定用户旅程的每秒令牌颁发率:
- 使用上表查找用户旅程消耗的请求数。
- 根据应用程序类型,添加静态终结点上预期的请求数。
- 使用以下公式计算每秒的令牌颁发率。
Tokens/sec = 200/requests-consumed
计算自定义策略的令牌颁发率
可以创建自己的自定义策略,为应用程序提供独特的身份验证体验。 在动态终结点消耗的请求数取决于用户通过自定义策略遍历的功能。 下表显示了自定义策略中每项功能消耗的请求数。
| 功能 | 消耗的请求数 |
|---|---|
| 自断言技术配置文件 | 2 |
| 电话因素技术配置文件 | 4 |
| 电子邮件验证 (Verified.Email) | 2 |
| 显示控件 | 2 |
| 联合标识提供者 | 2 |
若要获取自定义策略的每秒令牌颁发率:
- 使用上表计算在动态终结点消耗的请求总数。
- 根据应用程序类型,添加静态终结点上预期的请求数。
- 使用以下公式计算每秒的令牌颁发率。
Tokens/sec = 200/requests-consumed
最佳实践
可以通过考虑以下配置选项来优化令牌颁发率:
- 增加访问和刷新令牌生存期。
- 增加 Azure AD B2C Web 会话生存期。
- 启用使我保持登录状态。
- 在 API 上缓存 OpenId Connect 元数据文档。
Azure AD B2C 配置限制
下表列出了 Azure AD B2C 服务中的管理配置限制。
| 类别 | 限制 |
|---|---|
| 每个应用程序的作用域数 | 1000 |
| 每个用户的自定义属性数 1 | 100 |
| 每个应用程序的重定向 URL 数 | 100 |
| 每个应用程序的注销 URL 数 | 1 |
| 每个属性的字符串限制 | 250 个字符 |
| 每个订阅的 B2C 租户数 | 20 |
| 每个租户的对象总数(用户帐户和应用程序)(默认限制) | 125 万 |
| 每个租户的对象总数(用户帐户和应用程序)(使用已验证的自定义域) | 525 万 |
| 自定义策略中的继承级别 | 10 |
| 每个 Azure AD B2C 租户的策略数量(用户流 + 自定义策略) | 200 |
| 最大策略文件大小 | 1024 KB |
1 另请参阅 Microsoft Entra 服务限制和局限性。