Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Espacio de nombres: microsoft.graph
Recupere las opciones de creación necesarias para generar y registrar una clave de acceso compatible con Microsoft Entra ID. Esta función devuelve opciones de creación de credenciales de WebAuthn que incluyen un desafío, información de usuario de confianza e información de usuario, que el cliente usa para crear una nueva credencial FIDO2. Los identificadores de propiedad y credencial de desafío en excludeCredentials están codificados en Base64URL sin relleno. Todos los datos binarios de la respuesta siguen la codificación Base64URL tal como se define en la sección 5 de RFC 4648.
Nota:
Esta API aplica un tiempo de espera de desafío definido por el sistema de 5 minutos. A diferencia de la versión beta de esta API, los valores de tiempo de espera de desafío personalizado no se admiten en la versión 1.0.
Esta API tiene un problema conocido que requiere habilitar la configuración de autoservicio en la directiva de método de autenticación FIDO2.
Permissions
Elija el permiso o los permisos marcados como con privilegios mínimos para esta API. Use un permiso o permisos con privilegios superiores solo si la aplicación lo requiere. Para obtener más información sobre los permisos delegados y de aplicación, consulte Tipos de permisos. Para obtener más información sobre estos permisos, consulte la referencia de permisos.
| Tipo de permiso | Permisos con privilegios mínimos | Permisos con privilegios más altos |
|---|---|---|
| Delegado (cuenta profesional o educativa) | UserAuthMethod-Passkey.ReadWrite.All | UserAuthenticationMethod.ReadWrite.All |
| Delegado (cuenta personal de Microsoft) | No admitida. | No admitida. |
| Aplicación | UserAuthMethod-Passkey.ReadWrite.All | UserAuthenticationMethod.ReadWrite.All |
Importante
Para el acceso delegado mediante cuentas profesionales o educativas en las que el usuario que ha iniciado sesión actúa sobre otro usuario, se le debe asignar un rol de Microsoft Entra compatible o un rol personalizado que conceda los permisos necesarios para esta operación. Esta operación admite los siguientes roles integrados, que proporcionan solo los privilegios mínimos necesarios:
- Lector global
- Administrador de autenticación
- Administrador de autenticación con privilegios
Solicitud HTTP
Nota:
Para llamar al punto de conexión /me, se requiere un usuario con la sesión iniciada y, por lo tanto, un permiso delegado. Los permisos de aplicación no se admiten cuando se usa el punto de /me conexión.
GET /users/{id}/authentication/fido2Methods/creationOptions
GET /me/authentication/fido2Methods/creationOptions
Encabezados de solicitud
| Nombre | Descripción |
|---|---|
| Authorization | {token} de portador. Obligatorio. Obtenga más información sobre la autenticación y la autorización. |
Cuerpo de la solicitud
No proporcione un cuerpo de solicitud para este método.
Respuesta
Si se ejecuta correctamente, esta función devuelve un 200 OK código de respuesta y un objeto webauthnCredentialCreationOptions en el cuerpo de la respuesta.
Ejemplos
Solicitud
En el ejemplo siguiente se muestra la solicitud.
GET https://graph.microsoft.com/v1.0/users/99a1915f-70a7-4b67-9dca-64095b41be73/authentication/fido2Methods/creationOptions
Respuesta
En el ejemplo siguiente se muestra la respuesta.
Nota: Se puede acortar el objeto de respuesta que se muestra aquí para mejorar la legibilidad.
HTTP/1.1 200 OK
Content-Type: application/json
{
"@odata.type": "#microsoft.graph.webauthnCredentialCreationOptions",
"challengeTimeoutDateTime": "2026-04-20T10:05:00Z",
"publicKey": {
"@odata.type": "#microsoft.graph.webauthnPublicKeyCredentialCreationOptions",
"rp": {
"@odata.type": "#microsoft.graph.webauthnPublicKeyCredentialRpEntity",
"id": "login.microsoftonline.com",
"name": "Microsoft"
},
"user": {
"@odata.type": "#microsoft.graph.webauthnPublicKeyCredentialUserEntity",
"id": "ZGF2aWRAY29udG9zby5jb20",
"displayName": "David Smith",
"name": "david@contoso.com"
},
"challenge": "QTU1MzNDNzAtNkM3Ni00NTRDLUJDQ0YtRTREMDZCNTBFRTRE",
"pubKeyCredParams": [
{
"@odata.type": "#microsoft.graph.webauthnPublicKeyCredentialParameters",
"type": "public-key",
"alg": -7
}
],
"timeout": 60000,
"excludeCredentials": [],
"authenticatorSelection": {
"@odata.type": "#microsoft.graph.webauthnAuthenticatorSelectionCriteria",
"authenticatorAttachment": "platform",
"requireResidentKey": true,
"userVerification": "required"
},
"attestation": "direct",
"extensions": {
"@odata.type": "#microsoft.graph.webauthnAuthenticationExtensionsClientInputs"
}
}
}