你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
开始之前,请使用此页顶部的“选择策略类型”选择器来选择要设置的策略类型。 Azure Active Directory B2C 提供了两种定义用户如何与应用程序交互的方法:通过预定义的用户流,或者通过可完全配置的自定义策略。 对于每种方法,本文中所需的步骤都不同。
本文概述 Azure Active Directory B2C (Azure AD B2C) 服务的使用限制和其他服务限制。 这些限制通过有效管理威胁并确保高级别的服务质量来提供保护。
Note
要增加本文中所述的任何服务限制,请联系支持人员。
用户/消耗相关限制
通过请求限制来限制能够通过 Azure AD B2C 租户进行身份验证的用户数量。 下表说明了 Azure AD B2C 租户的请求限制。
| Category | Limit |
|---|---|
| 每个 Azure AD B2C 租户每个 IP 的最大请求数 | 6,000/5min |
| 每个 Azure AD B2C 租户的最大请求数 | 200/sec |
终结点请求使用情况
Azure AD B2C 符合 OAuth 2.0、OpenID Connect (OIDC) 和 SAML 协议。 它提供了用户身份验证和单一登录 (SSO) 功能,以及下表中列出的终结点。
向 Azure AD B2C 终结点发出请求的频率决定了总体的令牌颁发功能。 Azure AD B2C 公开消耗不同数量的请求的终结点。 有关应用程序消耗哪些终结点的详细信息,请查看身份验证协议一文。
| Endpoint | 终结点类型 | 已使用的请求 |
|---|---|---|
| /oauth2/v2.0/authorize | Dynamic | 变化 1 |
| /oauth2/v2.0/token | Static | 1 |
| /openid/v2.0/userinfo | Static | 1 |
| /.well-known/openid-config | Static | 1 |
| /discovery/v2.0/keys | Static | 1 |
| /oauth2/v2.0/logout | Static | 1 |
| /samlp/sso/login | Dynamic | 变化 1 |
| /samlp/sso/logout | Static | 1 |
1用户流类型决定了使用这些终结点时消耗的请求总数。
1自定义策略的配置决定了使用这些终结点时消耗的请求总数。
令牌颁发率
每种类型的用户流都提供了独特的用户体验,并且消耗不同数量的请求。 用户流的令牌颁发率取决于静态和动态终结点所消耗的请求数。 下表显示了每个用户流在动态终结点上消耗的请求数。
| 用户流 | 已使用的请求 |
|---|---|
| 注册 | 6 |
| 登录 | 4 |
| 密码重置 | 4 |
| 配置文件编辑 | 4 |
| 电话注册和登录 | 6 |
在向用户流添加更多功能(如多重身份验证)时,会消耗更多的请求。 下表显示了当用户与这些功能之一进行交互时,会消耗多少额外的请求。
| Feature | 消耗的额外请求数 |
|---|---|
| Microsoft Entra 多重身份验证 | 2 |
| 电子邮件一次性密码 | 2 |
| 年龄限制 | 2 |
| 联合标识提供者 | 2 |
若要获取用户流的每秒令牌颁发率:
- 使用上表添加在动态终结点消耗的请求总数。
- 根据应用程序类型,添加静态终结点上预期的请求数。
- 使用以下公式计算每秒的令牌颁发率。
Tokens/sec = 200/requests-consumed
自定义策略的令牌颁发率取决于静态和动态终结点所消耗的请求数。 下表显示了 Azure AD B2C 初用者包在动态终结点上消耗的请求数。
| 初学者包 | Scenario | 用户旅程 ID | 已使用的请求 |
|---|---|---|---|
| LocalAccounts | Sign-in | SignUpOrSignIn | 2 |
| LocalAccounts SocialAndLocalAccounts | Sign-up | SignUpOrSignIn | 6 |
| LocalAccounts | 配置文件编辑 | ProfileEdit | 2 |
| 本地账户 SocialAndLocalAccounts SocialAndLocalAccountsWithMfa | 密码重置 | PasswordReset | 6 |
| SocialAndLocalAccounts | 联合帐户登录 | SignUpOrSignIn | 4 |
| SocialAndLocalAccounts | 联合帐户注册 | SignUpOrSignIn | 6 |
| SocialAndLocalAccountsWithMfa | 使用 MFA 进行本地帐户登录 | SignUpOrSignIn | 6 |
| SocialAndLocalAccountsWithMfa | 使用 MFA 进行本地帐户注册 | SignUpOrSignIn | 10 |
| SocialAndLocalAccountsWithMfa | 使用 MFA 进行联合帐户登录 | SignUpOrSignIn | 8 |
| SocialAndLocalAccountsWithMfa | 使用 MFA 进行联合帐户注册 | SignUpOrSignIn | 10 |
若要获取特定用户旅程的每秒令牌颁发率:
- 使用上表查找用户旅程消耗的请求数。
- 根据应用程序类型,添加静态终结点上预期的请求数。
- 使用以下公式计算每秒的令牌颁发率。
Tokens/sec = 200/requests-consumed
计算自定义策略的令牌颁发率
可以创建自己的自定义策略,为应用程序提供独特的身份验证体验。 在动态终结点消耗的请求数取决于用户通过自定义策略遍历的功能。 下表显示了自定义策略中每项功能消耗的请求数。
| Feature | 已使用的请求 |
|---|---|
| 自断言技术配置文件 | 2 |
| 电话因素技术配置文件 | 4 |
| 电子邮件验证 (Verified.Email) | 2 |
| 显示控件 | 2 |
| 联合标识提供者 | 2 |
若要获取自定义策略的每秒令牌颁发率:
- 使用上表计算在动态终结点消耗的请求总数。
- 根据应用程序类型,添加静态终结点上预期的请求数。
- 使用以下公式计算每秒的令牌颁发率。
Tokens/sec = 200/requests-consumed
最佳做法
可以通过考虑以下配置选项来优化令牌颁发率:
- 增加访问和刷新令牌生存期。
- 增加 Azure AD B2C Web 会话生存期。
- 启用使我保持登录状态。
- 在 API 上缓存 OpenId Connect 元数据文档。
- 使用 条件访问强制实施条件 MFA。
Azure AD B2C 配置限制
下表列出了 Azure AD B2C 服务中的管理配置限制。
| Category | Limit |
|---|---|
| 每个应用程序的作用域数 | 1000 |
| 每个用户的自定义属性数 1 | 100 |
| 每个应用程序的重定向 URL 数 | 100 |
| 每个应用程序的注销 URL 数 | 1 |
| 每个属性的字符串限制 | 250 个字符 |
| 每个订阅的 B2C 租户数 | 20 |
| 每个租户的对象总数(用户帐户和应用程序)(默认限制) | 125 万 |
| 每个租户(使用已验证的自定义域)的对象(用户帐户和应用程序)总数。 若要增加此限制,请联系 Microsoft支持部门。 | 525 万 |
| 自定义策略中的继承级别 | 10 |
| 每个 Azure AD B2C 租户的策略数量(用户流 + 自定义策略) | 200 |
| 最大策略文件大小 | 1024 KB |
| 每个租户的 API 连接器数 | 20 |
1 另请参阅 Microsoft Entra 服务限制和局限性。
请参阅服务特定的限制
作为对客户的保护,Microsoft对某些区域代码的电话验证存在一些限制。 下表列出了区域代码及其相应的限制。
| 区域代码 | 区域名称 | 每 60 分钟每个租户的限制 | 每租户 24 小时限制 |
|---|---|---|---|
| 20 | Egypt | 50 | 200 |
| 211 | 南苏丹 | 10 | 30 |
| 212 | Morocco | 20 | 100 |
| 213 | Algeria | 20 | 100 |
| 216 | Tunisia | 20 | 100 |
| 221 | Senegal | 10 | 30 |
| 223 | Mali | 20 | 100 |
| 224 | Guinea | 20 | 100 |
| 225 | 科特迪瓦 | 10 | 30 |
| 226 | 布利纳法索 | 10 | 30 |
| 228 | Togo | 10 | 30 |
| 233 | Ghana | 10 | 30 |
| 234 | Nigeria | 20 | 100 |
| 235 | Chad | 10 | 30 |
| 236 | 中非共和国 | 10 | 30 |
| 238 | 佛得角 | 10 | 30 |
| 249 | Sudan | 10 | 30 |
| 251 | Ethiopia | 10 | 30 |
| 252 | Somalia | 10 | 30 |
| 255 | Tanzania | 10 | 50 |
| 256 | Uganda | 20 | 100 |
| 257 | Uzbek | 10 | 30 |
| 258 | Mozambique | 50 | 200 |
| 260 | Zambia | 50 | 200 |
| 261 | Madagascar | 10 | 30 |
| 263 | Zimbabwe | 10 | 30 |
| 265 | Malawi | 10 | 30 |
| 266 | 莱索托 | 10 | 30 |
| 359 | 保加利亚 | 20 | 100 |
| 373 | Moldova | 20 | 100 |
| 375 | Belarus | 10 | 30 |
| 380 | 乌克兰 | 50 | 200 |
| 381 | Serbia | 50 | 200 |
| 386 | Slovenia | 10 | 50 |
| 501 | Belize | 10 | 30 |
| 502 | Guatemala | 10 | 50 |
| 503 | 萨尔瓦多 | 10 | 30 |
| 504 | 洪都拉斯 | 50 | 200 |
| 52 | Mexico | 100 | 500 |
| 53 | Cuba | 10 | 30 |
| 58 | Venezuela | 10 | 30 |
| 591 | Bolivia | 10 | 30 |
| 593 | 厄瓜多尔 | 20 | 100 |
| 60 | Malaysia | 50 | 200 |
| 62 | Indonesia | 50 | 200 |
| 63 | Philippines | 50 | 200 |
| 670 | 东帝汶(Timor-Leste) | 10 | 30 |
| 675 | 巴布亚新几内亚 | 10 | 30 |
| 7 | Russia | 100 | 1000 |
| 84 | Vietnam | 150 | 500 |
| 855 | Cambodia | 50 | 200 |
| 856 | Laos | 50 | 200 |
| 880 | Bangladesh | 50 | 200 |
| 92 | Pakistan | 100 | 1000 |
| 93 | Afghanistan | 10 | 30 |
| 94 | 斯里兰卡 | 100 | 500 |
| 95 | 缅甸(Burma) | 10 | 30 |
| 961 | Lebanon | 10 | 30 |
| 963 | Syria | 10 | 30 |
| 964 | Iraq | 50 | 200 |
| 965 | 科威特 | 50 | 200 |
| 967 | Yemen | 10 | 30 |
| 970 | 巴勒斯坦国 | 10 | 30 |
| 972 | Israel | 50 | 200 |
| 975 | Bhutan | 20 | 100 |
| 976 | Mongolia | 10 | 30 |
| 977 | Nepal | 20 | 100 |
| 992 | Tajikistan | 10 | 30 |
| 993 | Turkmenistan | 10 | 30 |
| 994 | Azerbaijan | 50 | 200 |
| 995 | Georgia | 10 | 30 |
| 996 | Kyrgyzstan | 10 | 30 |
| 998 | Uzbekistan | 10 | 30 |