Partager via


Informations de référence sur l’API côté serveur du compte Microsoft (MSA)

Les comptes Microsoft (MSA) sont un service web d’authentification unique qui permet aux utilisateurs de se connecter à des sites web, des applications et des services à l’aide d’un seul ensemble d’informations d’identification. L’API côté serveur du compte Microsoft (MSA) fournit une plage de paramètres qui peuvent être utilisés pour personnaliser le processus d’authentification et améliorer l’expérience utilisateur.

Ces paramètres peuvent être utilisés avec MSAL sur une plateforme Windows, ce qui facilite le développement d’applications Windows qui s’intègrent en toute transparence aux utilisateurs qui se connectent via des comptes Microsoft.

API côté serveur MSA

Ceux-ci sont passés à login.microsoftonline.com ou login.live.com en tant que paramètres d’URL, au format login.microsoftonline.com?parametername=value.

Paramètre Valeur Remarques
ImplicitAssociate 0/1 Si la valeur est 1, le compte Microsoft (MSA) que l’utilisateur utilise pour se connecter est automatiquement lié à l’application sur Windows, sans qu’une confirmation de l’utilisateur ne soit nécessaire.
Remarque : Cela n’active pas l’authentification unique (SSO) pour l’utilisateur.
LoginHint nom d'utilisateur Préremplit le nom d’utilisateur lors de la connexion, sauf s’il est déjà fourni (par exemple, via un jeton d’actualisation). Les utilisateurs peuvent modifier ce nom d’utilisateur prérempli si nécessaire.
cobrandid GUID de cobranding Ce paramètre applique le cobranding à l’expérience utilisateur de connexion. Le cobranding permet de personnaliser des éléments tels que le logo de l’application, l’image d’arrière-plan, le texte des sous-titres, le texte de description et les couleurs des boutons. Si vous intégrez une application à la connexion d’un compte Microsoft et que vous souhaitez personnaliser l’écran de connexion, contactez le support Microsoft.
client_flight Chaîne client_flight est un paramètre passthrough qui est renvoyé à l’application à l’issue de la procédure d'identification. La valeur de ce paramètre est enregistrée dans le flux de télémétrie et est utilisée par les applications pour lier leurs requêtes d’authentification. Cela peut être bénéfique pour la corrélation des requêtes de connexion, même si toutes les applications n’ont pas accès à ce flux de télémétrie. Les applications telles qu’Office Union, Teams et d’autres sont des utilisateurs notables de ce paramètre.
lw 0/1 Remarque : cette fonctionnalité est déconseillée. Active l’inscription légère. Si cette option est activée, les utilisateurs qui s’inscrivent via le flux d’authentification ne sont pas tenus d’entrer leur prénom, leur nom, leur pays/région et leur date de naissance, sauf si les lois applicables à la région de l’utilisateur sont obligatoires.
fl phone2,
email,
wld,
wld2,
easi,
easi2
Remarque : cette fonctionnalité est déconseillée. Ce paramètre contrôle les options de nom d’utilisateur fournies pendant le processus d’inscription :
phone : limite le nom d’utilisateur au numéro de téléphone,
phone2 : valeur par défaut du numéro de téléphone, mais autorise d’autres options,
email : limite le nom d’utilisateur à l’e-mail (Outlook ou EASI),
wld : limite le nom d’utilisateur à Outlook,
wld2 : la valeur par défaut est Outlook, mais autorise d’autres options, y compris le téléphone,
easi : limite le nom d’utilisateur à EASI,
easi2 : la valeur par défaut est EASI, mais autorise d’autres options, y compris le téléphone.
nopa 0/1/2 Remarque : cette fonctionnalité est déconseillée. Active l’inscription sans mot de passe. La valeur 1 autorise l’inscription sans mot de passe, mais applique la création du mot de passe après 30 jours. La valeur 2 autorise l’inscription sans mot de passe indéfiniment. Pour utiliser la valeur 2, les applications doivent être ajoutées à une liste d’autorisation par le biais d’un processus manuel.
coa 0/1 Remarque : cette fonctionnalité est déconseillée. Active la connexion sans mot de passe en envoyant un code au numéro de téléphone de l’utilisateur. Pour utiliser la valeur 1, les applications doivent être ajoutées à une liste d’autorisation par le biais d’un processus manuel.
signup 0/1 Démarrez le flux d’authentification dans la page Créer un compte plutôt que la page Connexion.
fluent 0/1 Remarque : cette fonctionnalité est déconseillée. Active la nouvelle apparence Fluent pour le flux de connexion. Pour utiliser la valeur 1, les applications doivent être ajoutées à une liste d’autorisation par le biais d’un processus manuel.
api-version “”/”2.0” Lorsqu’il est défini sur 2.0, ce paramètre permet au clientid de spécifier un ID d’application différent de celui enregistré par l’application appelante Windows, étant donné que l’ID d’application spécifié est configuré pour autoriser cela.
Clientid/client_id app ID ID d’application pour l’application appelant le flux d’authentification.
Client_uiflow new_account Permet aux applications d’ajouter un nouveau compte sans appeler AccountsSettingsPane. Exige que vous transmettiez également le type d’invite ForceAuthentication. Exige que vous transmettiez également le type d’invite ForceAuthentication.

Paramètres du jeton d’autorisation MSA

Paramètre Valeur Remarques
scope Chaîne Définit l’étendue des autorisations demandées par le client sur les points de terminaison d’autorisation et de jeton.
claims Chaîne Spécifie les revendications facultatives demandées par l’application cliente.
response_type Chaîne Spécifie une valeur de type de réponse OAuth 2.0 qui détermine le flux de processus d’autorisation, y compris les paramètres renvoyés par les points de terminaison respectifs.
phone Chaîne Spécifie une liste séparée par des virgules de numéros de téléphone mis en forme liés à l’appareil hôte.
qrcode_uri Chaîne Dans les requêtes de génération de code QR pour transférer une session authentifiée, cette URL est incorporée dans le code QR.
Ttv 1 / 2 À définir
qrcode_state Chaîne Dans les requêtes de création de code QR, ce paramètre d’état est incorporé dans l’URL affichée dans le code QR.
Child_client_id Chaîne ID d’application cliente enfant dans le flux de répartiteur double.
child_redirect_uri Chaîne URI de redirection de l’application cliente enfant utilisée dans le flux de répartiteur double.
safe_rollout Chaîne Paramètre utilisé pour spécifier un plan de lancement sécurisé appliqué à la requête. Utile lorsqu’un propriétaire d’application déploie une modification de configuration d’application et souhaite que la modification soit appliquée progressivement à des fins de déploiement de sécurité.
additional_scope Chaîne Spécifie une étendue supplémentaire afin que le service d’authentification puisse recueillir un consentement supplémentaire en une seule requête. De cette façon, l’application cliente peut éviter l’interruption du consentement lors de la requête d’une autre étendue à l’avenir.
x-client-info 1/0 Un jeton Client_info est renvoyé lorsque la valeur est 1.0.
challenge Chaîne Initialement fourni par l’application de ressource, il est transféré par l’application cliente au serveur MSA sans aucune modification.
max_age Entier Âge maximal de l’authentification. Spécifie la durée calendaire autorisée en secondes depuis la dernière fois que l’utilisateur final a été authentifié activement par MSA.
mfa_max_age Entier Spécifie la durée calendaire autorisée en secondes depuis le dernier passage d’un utilisateur par l’authentification multifacteur sur MSA.
acr_values Chaîne Valeurs de référence de la classe de contexte d’authentification demandées. Chaîne séparée par un espace qui spécifie les valeurs d’acr demandées au serveur d’autorisation pour le traitement de cette requête d’authentification, avec les valeurs apparaissant dans l’ordre de préférence. La classe de contexte d’authentification satisfaite par l’authentification effectuée est renvoyée en tant que valeur de revendication acr.
redirect_uri Chaîne URI de redirection vers lequel la réponse est envoyée. Cet URI doit correspondre exactement à l’une des valeurs d’URI de redirection pour le client pré-inscrit au MSA.
state Chaîne Valeur opaque utilisée pour maintenir l’état entre la requête et le rappel.
oauth2_response 1 Si elle est égale à 1, cela signifie que la réponse ws-trust doit suivre le format de réponse OAuth.

Voir aussi