Informazioni di riferimento sulle API lato server dell'account Microsoft (MSA)
Gli account Microsoft (MSA) sono un servizio Web single sign-on che consente agli utenti di accedere a siti Web, applicazioni e servizi usando un singolo set di credenziali. L'API lato server account Microsoft (MSA) fornisce un intervallo di parametri che possono essere usati per personalizzare il processo di autenticazione e migliorare l'esperienza utente.
Questi parametri possono essere usati con MSAL in una piattaforma Windows, semplificando lo sviluppo di applicazioni Windows che si integrano perfettamente con gli utenti che accedono tramite account Microsoft.
API lato server MSA
Questi valori vengono passati a login.microsoftonline.com o login.live.com come parametri URL, nel formato login.microsoftonline.com?parametername=value.
| Parametro | Valore | Note |
|---|---|---|
ImplicitAssociate |
0/1 | Se impostato su 1, l'account Microsoft (MSA) usato dall'utente per accedere viene collegato automaticamente all'applicazione in Windows, senza richiedere la conferma dell'utente. Nota: questo non abilita l'accesso Single Sign-On (SSO) per l'utente. |
LoginHint |
username | Prepopola il nome utente durante l'accesso, a meno che non sia già stato specificato (ad esempio, tramite un token di aggiornamento). Se necessario, gli utenti possono modificare questo nome utente prepopolato. |
cobrandid |
GUID di cobranding | Questo parametro applica il cobranding all'esperienza utente di accesso. Il cobranding consente la personalizzazione di elementi come il logo dell'app, l'immagine di sfondo, il testo del sottotitolo, il testo della descrizione e i colori dei pulsanti. Se si sta integrando un'applicazione con l'accesso all'account Microsoft e si vuole personalizzare la schermata di accesso, contattare il supporto tecnico Microsoft. |
client_flight |
String | client_flight è un parametro pass-through restituito all'applicazione al termine del processo di accesso. Il valore di questo parametro viene registrato nel flusso di telemetria e viene utilizzato dalle applicazioni per collegare le richieste di autenticazione. Ciò può essere utile per correlare le richieste di accesso, anche se non tutte le applicazioni hanno accesso a questo flusso di telemetria. Le applicazioni come Office Union, Teams e altre sono utenti importanti di questo parametro. |
lw |
0/1 | Nota: questa funzionalità è deprecata. Abilita l'iscrizione leggera. Se abilitata, gli utenti che eseguono l'iscrizione tramite il flusso di autenticazione non devono immettere il nome, il cognome, il paese e la data di nascita, a meno che non siano previste dalle leggi applicabili all'area dell'utente. |
fl |
phone2,email,wld,wld2,easi,easi2 |
Nota: questa funzionalità è deprecata. Questo parametro controlla le opzioni del nome utente fornite durante il processo di iscrizione:phone – Limita il nome utente al numero di telefono,phone2 – Il valore predefinito è il numero di telefono, ma consente altre opzioni,email – Limita il nome utente alla posta elettronica (Outlook o EASI),wld – Limita il nome utente a Outlook,wld2 – Il valore predefinito è Outlook, ma consente altre opzioni, tra cui telefono,easi – Limita il nome utente a EASI,easi2 – L'impostazione predefinita è EASI, ma consente altre opzioni, incluso il telefono. |
nopa |
0/1/2 | Nota: questa funzionalità è deprecata. Abilita l'iscrizione senza password. Il valore 1 consente l'iscrizione senza password, ma applica la creazione della password dopo 30 giorni. Il valore 2 consente l'iscrizione senza una password illimitata. Per usare il valore 2, le app devono essere aggiunte a un elenco di elementi consentiti tramite un processo manuale. |
coa |
0/1 | Nota: questa funzionalità è deprecata. Abilita l'accesso senza password inviando un codice al numero di telefono dell'utente. Per usare il valore 1, le app devono essere aggiunte a un elenco di elementi consentiti tramite un processo manuale. |
signup |
0/1 | Avviare il flusso di autenticazione nella pagina Crea account anziché nella pagina Di accesso . |
fluent |
0/1 | Nota: questa funzionalità è deprecata. Abilita il nuovo aspetto fluent per il flusso di accesso. Per usare il valore 1, le app devono essere aggiunte a un elenco di elementi consentiti tramite un processo manuale. |
api-version |
“”/”2.0” | Se impostato su 2.0, questo parametro consente al cliented di specificare un ID app diverso da quello registrato dall'app chiamante di Windows, dato che l'ID app specificato è configurato per consentirne l'esecuzione. |
Clientid/client_id |
app ID |
ID app per l'app che richiama il flusso di autenticazione. |
Client_uiflow |
new_account |
Consente alle app di aggiungere un nuovo account senza richiamare account Impostazioni Pane. Richiede anche di passare il tipo di richiesta ForceAuthentication. Richiede anche di passare il tipo di richiesta ForceAuthentication . |
Parametri del token di autorizzazione MSA
| Parametro | Valore | Note |
|---|---|---|
scope |
String | Definisce l'estensione delle autorizzazioni richieste dal client negli endpoint di autorizzazione e token. |
claims |
String | Specifica le attestazioni facoltative richieste dall'applicazione client. |
response_type |
String | Specifica un valore del tipo di risposta OAuth 2.0 che determina il flusso del processo di autorizzazione, inclusi i parametri restituiti dai rispettivi endpoint. |
phone |
String | Specifica un elenco delimitato da virgole di numeri di telefono formattati collegati al dispositivo host. |
qrcode_uri |
String | Nelle richieste di generazione di codice a matrice per trasferire una sessione autenticata, questo URL viene incorporato nel codice a matrice. |
Ttv |
1 / 2 | Da definire |
qrcode_state |
String | Nelle richieste di creazione del codice a matrice questo parametro di stato viene incorporato nell'URL visualizzato all'interno del codice a matrice. |
Child_client_id |
String | ID dell'app client figlio nel flusso double broker. |
child_redirect_uri |
String | URI di reindirizzamento dell'app client figlio usata nel flusso double broker. |
safe_rollout |
String | Parametro utilizzato per specificare un piano di implementazione sicuro applicato alla richiesta. Utile quando un proprietario dell'app implementa una modifica della configurazione dell'app e vuole che la modifica venga applicata gradualmente per scopi di distribuzione di sicurezza. |
additional_scope |
String | Specifica un ambito aggiuntivo in modo che il servizio di autenticazione possa raccogliere il consenso aggiuntivo in una richiesta. In questo modo, l'app client può evitare interruzioni del consenso quando si richiede un ambito diverso in futuro. |
x-client-info |
I/O | Un token Client_info viene restituito quando il valore è 1,0. |
challenge |
String | Inizialmente fornito dall'app per le risorse, l'app client viene inoltrata al server MSA senza apportare modifiche. |
max_age |
Intero | Validità massima dell'autenticazione. Specifica il tempo consentito trascorso in secondi dall'ultima volta che l'utente finale è stato autenticato attivamente dall'account del servizio gestito. |
mfa_max_age |
Intero | Specifica il tempo trascorso consentito in secondi dall'ultima volta che un utente ha passato l'autenticazione a più fattori nell'account del servizio gestito. |
acr_values |
String | Valori di riferimento della classe di contesto di autenticazione richiesti. Stringa separata da spazi che specifica i valori acr che il server di autorizzazione deve usare per l'elaborazione della richiesta di autenticazione, con i valori visualizzati in ordine di preferenza. La classe di contesto di autenticazione soddisfatta dall'autenticazione eseguita viene restituita come valore attestazione acr. |
redirect_uri |
String | URI di reindirizzamento a cui viene inviata la risposta. Questo URI deve corrispondere esattamente a uno dei valori dell'URI di reindirizzamento per il client preregistrato in MSA. |
state |
String | Valore opaco usato per mantenere lo stato tra la richiesta e il callback. |
oauth2_response |
1 | Se uguale a 1, significa che la risposta ws-trust deve seguire il formato di risposta OAuth. |