Microsoft 帳戶 (MSA) 是單一登入 Web 服務,可讓使用者使用單一認證集登入網站、應用程式和服務。 Microsoft 帳戶 (MSA) 伺服器端 API 提供一系列參數,可用來自訂驗證程序並增強使用者體驗。
這些參數可以在 Windows 平台上與 MSAL 搭配使用,協助開發與透過 Microsoft 帳戶登入的使用者整合順暢的 Windows 應用程式。
MSA 伺服器端 API
這些 API 會以 login.microsoftonline.com 格式傳遞至 login.live.com 或 login.microsoftonline.com?parametername=value 作為 URL 參數。
| 參數 | 值 | 備註 |
|---|---|---|
ImplicitAssociate |
0/1 | 如果設定為 1,則使用者用來登入的 Microsoft 帳戶 (MSA) 會自動連結到 Windows 上的應用程式,而不需要使用者確認。 備註: 這樣並不會為使用者啟用單一登入(SSO)。 |
LoginHint |
用戶名 | 除非已提供使用者名稱,否則在登入期間預先填入用戶端名稱 (例如,透過重新整理權杖)。 使用者可以視需要修改這個預先填入的使用者名稱。 |
cobrandid |
共同品牌 GUID | 此參數會將共同品牌套用至登入使用者體驗。 共同品牌可讓您自訂應用程式標誌、背景影像、副標題文字、描述文字和按鈕色彩等元素。 如果您將應用程式與 Microsoft 帳戶登入整合,並想要自訂登入畫面,請連絡 Microsoft 支援小組。 |
client_flight |
繩子 |
client_flight 是在登入程序完成時傳回至應用程式的傳遞參數。 此參數的值會記錄至遙測資料流,並由應用程式用來將驗證要求繫結在一起。 即使並非所有應用程式都能夠存取此遙測資料流,這也有助於將登入要求相互關聯。 Office Union、Teams 等應用程式是此參數值得注意的使用者。 |
lw |
0/1 | 備註:這項功能已被取代。 啟用輕量型註冊。 如果啟用,除非依照用戶區域適用的法律規定,否則不需要透過驗證流程註冊的使用者輸入其名字、姓氏、國家/地區和出生日期。 |
fl |
phone2+email+wld+wld2+easi+easi2 |
備註:這項功能已被取代。 這個參數會控制註冊程序期間所提供的使用者名稱選項: – phone 限制使用者名稱為電話號碼,– phone2 預設值為電話號碼,但允許其他選項,– email 限制使用者名稱為電子郵件 (Outlook 或 EASI)、– wld 限制使用者名稱為 Outlook、– wld2 預設為 Outlook,但允許其他選項,包括電話、– easi 限制使用者名稱為 EASI、– easi2 預設為 EASI,但允許其他選項,包括電話。 |
nopa |
0/1/2 | 備註:這項功能已被取代。 啟用無密碼註冊。 值為 1 允許註冊而不使用密碼,但會在 30 天後強制執行建立密碼。 值為 2 允許無限期註冊密碼。 若要使用值 2,應用程式必須透過手動程序新增至允許清單。 |
coa |
0/1 | 備註:這項功能已被取代。 將代碼傳送至使用者的電話號碼,以啟用無密碼登入。 若要使用值 1,應用程式必須透過手動程序新增至允許清單。 |
signup |
0/1 | 在 [建立帳戶] 頁面,而不是 [登入] 頁面中啟動驗證流程。 |
fluent |
0/1 | 備註:這項功能已被取代。 啟用新的 Fluent 登入流程的外觀與風格。 若要使用值 1,應用程式必須透過手動程序新增至允許清單。 |
api-version |
“”/”2.0” | 當設定為 2.0 時,此參數允許 clientid 指定與 Windows 呼叫應用程式所註冊不同的應用程式識別碼,因為指定的應用程式識別碼已設定為允許此種情況。 |
Clientid/client_id |
app ID |
叫用驗證流程的應用程式的應用程式識別碼。 |
Client_uiflow |
new_account |
允許應用程式新增帳戶,而不叫用 AccountsSettingsPane。 您必須同時傳遞 ForceAuthentication 提示類型。 您也必須傳遞 ForceAuthentication 提示類型。 |
MSA 授權權杖參數
| 參數 | 值 | 備註 |
|---|---|---|
scope |
繩子 | 定義客戶端在授權和權杖端點上要求的權限範圍。 |
claims |
繩子 | 指定用戶端應用程式要求的選擇性宣告。 |
response_type |
繩子 | 指定 OAuth 2.0 回應類型值,該值會指定授權程式流程,包括從個別端點傳回的參數。 |
phone |
繩子 | 指定連結至主機裝置的格式化電話號碼清單,以逗號分隔。 |
qrcode_uri |
繩子 | 在發出 QR 碼以傳輸已驗證工作階段的要求中,此 URL 會內嵌到 QR 碼中。 |
Ttv |
1 / 2 | 待定 |
qrcode_state |
繩子 | 在 QR 碼建立要求中,此狀態參數會併入 QR 碼中顯示的 URL 中。 |
Child_client_id |
繩子 | 雙代理程式流程中的子用戶端應用程式識別碼。 |
child_redirect_uri |
繩子 | 雙代理程式流程中使用的子用戶端應用程式重新導向 URI。 |
safe_rollout |
繩子 | 參數,用來指定套用至要求的安全推出計劃。 當應用程式擁有者推出應用程式設定變更,且基於安全部署目的,想要逐漸套用變更時,是很有用的。 |
additional_scope |
繩子 | 指定額外的範圍,讓驗證服務可以在一個要求中收集額外的同意。 如此一來,用戶端應用程式就可以在未來要求不同的範圍時避免同意中斷。 |
x-client-info |
I/O | 當值為 1.0 時,會傳回 Client_info 權杖。 |
challenge |
繩子 | 一開始由資源應用程式提供,用戶端應用程式會將其轉送至 MSA 伺服器,而不需要進行任何修改。 |
max_age |
整數 | 驗證存留期上限。 指定自 MSA 上次主動驗證使用者後允許經過的時間,以秒為單位。 |
mfa_max_age |
整數 | 指定使用者上次在 MSA 上通過多重要素驗證之後允許的經過時間,以秒為單位。 |
acr_values |
繩子 | 要求的驗證內容類別參考值。 以空格分隔的字串,指定授權伺服器要求用來處理此驗證要求的 acr 值,其值會依喜好設定順序顯示。 所執行驗證滿足的驗證內容類別會以 acr 宣告值的形式傳回。 |
redirect_uri |
繩子 | 將回應傳送至其中的重新導向 URI。 此 URI 必須完全符合 MSA 預先註冊之用戶端的其中一個重新導向 URI 值。 |
state |
繩子 | 用來維護要求與回呼之間狀態的不透明值。 |
oauth2_response |
1 | 等於 1 時,表示 WS-Trust 回應應遵循 OAuth 回應格式。 |