Microsoft 帐户 (MSA) 服务器端 API 参考
Microsoft 帐户 (MSA) 是一项单一登录 Web 服务,它让用户可以使用一组凭据登录到网站、应用程序和服务。 Microsoft 帐户 (MSA) 服务器端 API 提供了一系列参数,可用于自定义身份验证过程并增强用户体验。
这些参数可与 Windows 平台上的 MSAL 一起使用,从而推动开发与通过 Microsoft 帐户登录的用户无缝集成的 Windows 应用程序。
MSA 服务器端 API
它们以格式 login.partner.microsoftonline.cn?parametername=value 作为 URL 参数传递给 login.partner.microsoftonline.cn 或 login.live.com。
| 参数 | 值 | 说明 |
|---|---|---|
ImplicitAssociate |
0/1 | 如果设置为 1,则用户用于登录的 Microsoft 帐户 (MSA) 会自动链接到 Windows 上的应用程序,而无需用户确认。 注意:这不会为用户启用单一登录 (SSO)。 |
LoginHint |
username | 在登录期间预填充用户名,除非已提供(例如通过刷新令牌)。 如果需要,用户可以修改此预填充的用户名。 |
cobrandid |
联合品牌 GUID | 此参数将联合品牌应用于登录用户体验。 联合品牌支持自定义应用徽标、背景图像、副标题文本、说明文本和按钮颜色等元素。 如果要将应用程序与 Microsoft 帐户登录集成,并希望自定义登录屏幕,请发送电子邮件至 msa-info@microsoft.com。 |
client_flight |
字符串 | client_flight 是登录过程完成后返回到应用程序的传递参数。 此参数的值会记录到遥测流中,并由应用程序用来将它们的身份验证请求绑在一起。 这有利于关联登录请求,即使并非所有应用程序都有权访问此遥测流。 Office Union、Teams 等应用程序是此参数的重要用户。 |
lw |
0/1 | 注意:此功能已弃用。 启用轻型注册。 如果启用,则通过身份验证流注册的用户无需输入其名字、姓氏、国家/地区和出生日期,除非适用于用户区域的法律强制要求。 |
fl |
phone2、email、wld、wld2、easi、easi2 |
注意:此功能已弃用。 此参数控制注册过程中提供的用户名选项:phone - 将用户名限制为电话号码,phone2 - 默认为电话号码,但允许其他选项,email - 将用户名限制为电子邮件(Outlook 或 EASI),wld - 将用户名限制为 Outlook,wld2 - 默认为 Outlook,但允许其他选项(包括手机),easi - 将用户名限制为 EASI,easi2 - 默认为 EASI,但允许其他选项(包括手机)。 |
nopa |
0/1/2 | 注意:此功能已弃用。 启用无密码注册。 值为 1 时允许在没有密码的情况下注册,但在 30 天后强制创建密码。 值为 2 时无限期允许不使用密码注册。 若要使用值 2,必须通过手动过程将应用添加到允许列表。 |
coa |
0/1 | 注意:此功能已弃用。 通过向用户的电话号码发送代码来启用无密码登录。 若要使用值 1,必须通过手动过程将应用添加到允许列表。 |
signup |
0/1 | 在“创建帐户”页而不是“*登录*”页中启动身份验证流。 |
fluent |
0/1 | 注意:此功能已弃用。 为登录流启用新的“Fluent”外观。 若要使用值 1,必须通过手动过程将应用添加到允许列表。 |
api-version |
“”/”2.0” | 设置为 2.0 时,此参数允许 clientid 指定一个不同于 Windows 调用应用所注册的应用 ID,前提是指定的应用 ID 配置为允许此操作。 |
Clientid/client_id |
app ID |
调用身份验证流的应用的应用 ID。 |
Client_uiflow |
new_account |
允许应用在不调用 AccountsSettingsPane 的情况下添加新帐户。 要求同时传递 ForceAuthentication 提示类型。 要求同时传递 ForceAuthentication 提示类型。 |
MSA 授权令牌参数
| 参数 | 值 | 说明 |
|---|---|---|
scope |
字符串 | 定义客户端在授权和令牌终结点上请求的权限范围。 |
claims |
字符串 | 指定客户端应用程序请求的可选声明。 |
response_type |
字符串 | 指定一个 OAuth 2.0 响应类型值,该值决定了授权进程流,包括从相应终结点返回的参数。 |
phone |
字符串 | 指定链接到主机设备的带格式电话号码的逗号分隔列表。 |
qrcode_uri |
字符串 | 在请求生成 QR 码以传输经过身份验证的会话时,此 URL 将嵌入 QR 码中。 |
Ttv |
1 / 2 | TBD |
qrcode_state |
字符串 | 在 QR 码创建请求中,此状态参数会合并到 QR 码中显示的 URL 中。 |
Child_client_id |
字符串 | 双代理流中的子客户端应用 ID。 |
child_redirect_uri |
字符串 | 双代理流中使用的子客户端应用的重定向 URI。 |
safe_rollout |
字符串 | 用于指定应用于请求的安全推出计划的参数。 当应用所有者推出应用配置更改并且希望将更改逐步应用于安全部署时,它很有用。 |
additional_scope |
字符串 | 指定额外的范围,以便身份验证服务可以在一个请求中收集额外的同意。 这样,客户端应用就可以在将来请求其他范围时避免同意中断。 |
x-client-info |
I/O | 当值为 1.0 时,将返回 Client_info 令牌。 |
challenge |
字符串 | 最初由资源应用提供,它由客户端应用转发到 MSA 服务器,无需任何修改。 |
max_age |
Integer | 最大身份验证期限。 指定自最终用户上次由 MSA 主动进行身份验证以来允许的运行时间(以秒为单位)。 |
mfa_max_age |
Integer | 指定自用户上次在 MSA 上通过多重身份验证以来允许的运行时间(以秒为单位)。 |
acr_values |
字符串 | 请求的身份验证上下文类引用值。 一个空格分隔的字符串,指定授权服务器被请求用于处理此身份验证请求的 acr 值,其值按优先顺序排列。 执行的身份验证所满足的身份验证上下文类将作为 acr 声明值返回。 |
redirect_uri |
字符串 | 响应被发送到的重定向 URI。 此 URI 必须与 MSA 预注册的客户端的某个重定向 URI 值完全匹配。 |
state |
字符串 | 一个不透明值,用于保持请求和回调之间的状态。 |
oauth2_response |
1 | 等于 1 时,它表示 ws-trust 响应应遵循 OAuth 响应格式。 |