Azure Active Directory B2C 服务限制和局限性

开始之前,请使用此页顶部的“选择策略类型”选择器来选择要设置的策略类型。 Azure Active Directory B2C 提供了两种定义用户如何与应用程序交互的方法:通过预定义的用户流,或者通过可完全配置的自定义策略。 对于每种方法,本文中所需的步骤都不同。

本文概述 Azure Active Directory B2C (Azure AD B2C) 服务的使用限制和其他服务限制。 这些限制通过有效管理威胁并确保高级别的服务质量来提供保护。

注意

要增加本文中所述的任何服务限制,请联系支持人员

通过请求限制来限制能够通过 Azure AD B2C 租户进行身份验证的用户数量。 下表说明了 Azure AD B2C 租户的请求限制。

类别 限制
每个 Azure AD B2C 租户每个 IP 的最大请求数 6,000/5 分钟
每个 Azure AD B2C 租户的最大请求数 200/秒

终结点请求使用情况

Azure AD B2C 符合 OAuth 2.0OpenID Connect (OIDC)SAML 协议。 它提供了用户身份验证和单一登录 (SSO) 功能,以及下表中列出的终结点。

向 Azure AD B2C 终结点发出请求的频率决定了总体的令牌颁发功能。 Azure AD B2C 公开消耗不同数量的请求的终结点。 有关应用程序消耗哪些终结点的详细信息,请查看身份验证协议一文。

终结点 终结点类型 消耗的请求数
/oauth2/v2.0/authorize 动态 多种多样 1
/oauth2/v2.0/token 静态 1
/openid/v2.0/userinfo 静态 1
/.well-known/openid-config 静态 1
/discovery/v2.0/keys 静态 1
/oauth2/v2.0/logout 静态 1
/samlp/sso/login 动态 多种多样 1
/samlp/sso/logout 静态 1

1用户流类型决定了使用这些终结点时消耗的请求总数。

1自定义策略的配置决定了使用这些终结点时消耗的请求总数。

令牌颁发率

每种类型的用户流都提供了独特的用户体验,并且消耗不同数量的请求。 用户流的令牌颁发率取决于静态和动态终结点所消耗的请求数。 下表显示了每个用户流在动态终结点上消耗的请求数。

用户流 消耗的请求数
注册 6
登录 4
密码重置 4
配置文件编辑 4
电话注册和登录 6

在向用户流添加更多功能(如多重身份验证)时,会消耗更多的请求。 下表显示了当用户与这些功能之一进行交互时,会消耗多少额外的请求。

功能 消耗的额外请求数
Microsoft Entra 多重身份验证 2
电子邮件一次性密码 2
年龄限制 2
联合标识提供者 2

若要获取用户流的每秒令牌颁发率:

  1. 使用上表添加在动态终结点消耗的请求总数。
  2. 根据应用程序类型,添加静态终结点上预期的请求数。
  3. 使用以下公式计算每秒的令牌颁发率。
Tokens/sec = 200/requests-consumed

自定义策略的令牌颁发率取决于静态和动态终结点所消耗的请求数。 下表显示了 Azure AD B2C 初用者包在动态终结点上消耗的请求数。

初用者包 方案 用户旅程 ID 消耗的请求数
LocalAccounts 登录 SignUpOrSignIn 2
LocalAccounts SocialAndLocalAccounts 注册 SignUpOrSignIn 6
LocalAccounts 配置文件编辑 ProfileEdit 2
LocalAccounts SocialAndLocalAccounts SocialAndLocalAccountsWithMfa 密码重置 PasswordReset 6
SocialAndLocalAccounts 联合帐户登录 SignUpOrSignIn 4
SocialAndLocalAccounts 联合帐户注册 SignUpOrSignIn 6
SocialAndLocalAccountsWithMfa 使用 MFA 进行本地帐户登录 SignUpOrSignIn 6
SocialAndLocalAccountsWithMfa 使用 MFA 进行本地帐户注册 SignUpOrSignIn 10
SocialAndLocalAccountsWithMfa 使用 MFA 进行联合帐户登录 SignUpOrSignIn 8
SocialAndLocalAccountsWithMfa 使用 MFA 进行联合帐户注册 SignUpOrSignIn 10

若要获取特定用户旅程的每秒令牌颁发率:

  1. 使用上表查找用户旅程消耗的请求数。
  2. 根据应用程序类型,添加静态终结点上预期的请求数。
  3. 使用以下公式计算每秒的令牌颁发率。
Tokens/sec = 200/requests-consumed

计算自定义策略的令牌颁发率

可以创建自己的自定义策略,为应用程序提供独特的身份验证体验。 在动态终结点消耗的请求数取决于用户通过自定义策略遍历的功能。 下表显示了自定义策略中每项功能消耗的请求数。

功能 消耗的请求数
自断言技术配置文件 2
电话因素技术配置文件 4
电子邮件验证 (Verified.Email) 2
显示控件 2
联合标识提供者 2

若要获取自定义策略的每秒令牌颁发率:

  1. 使用上表计算在动态终结点消耗的请求总数。
  2. 根据应用程序类型,添加静态终结点上预期的请求数。
  3. 使用以下公式计算每秒的令牌颁发率。
Tokens/sec = 200/requests-consumed

最佳实践

可以通过考虑以下配置选项来优化令牌颁发率:

Azure AD B2C 配置限制

下表列出了 Azure AD B2C 服务中的管理配置限制。

类别 限制
每个应用程序的作用域数 1000
每个用户的自定义属性1 100
每个应用程序的重定向 URL 数 100
每个应用程序的注销 URL 数 1
每个属性的字符串限制 250 个字符
每个订阅的 B2C 租户数 20
每个租户的对象总数(用户帐户和应用程序)(默认限制) 125 万
每个租户的对象总数(用户帐户和应用程序)(使用已验证的自定义域) 525 万
自定义策略中的继承级别 10
每个 Azure AD B2C 租户的策略数量(用户流 + 自定义策略) 200
最大策略文件大小 1024 KB

1 另请参阅 Microsoft Entra 服务限制和局限性

后续步骤