Microsoft Identity Platform: UserInfo-Endpunkt

Als Teil des OpenID Connect (OIDC)-Standards gibt der UserInfo-Endpunkt Informationen zu einem authentifizierten Benutzer zurück.

Suchen des bekannten Konfigurationsendpunkts (.well-known)

Sie können programmgesteuert nach dem UserInfo-Endpunkt suchen, indem Sie die Informationen im Feld userinfo_endpoint des OpenID-Konfigurationsdokuments unter https://login.microsoftonline.com/common/v2.0/.well-known/openid-configuration lesen. Für den UserInfo-Endpunkt in Ihren Anwendungen wird eine Hartcodierung nicht empfohlen. Verwenden Sie stattdessen das OIDC-Konfigurationsdokument, um den Endpunkt zur Laufzeit zu finden.

Der UserInfo-Endpunkt wird in der Regel automatisch von OIDC-kompatiblen Bibliotheken aufgerufen, um Informationen zum Benutzer abzurufen. Aus der -Liste der im OIDC-Standard identifizierten Ansprüche erstellt die Microsoft Identity Platform die Namensansprüche, den Antragstelleranspruch und die E-Mail-Adresse, sofern diese Angaben verfügbar sind und die Einwilligung für sie erteilt wurde.

Erwägen Sie stattdessen die Verwendung eines ID-Tokens

Die Informationen in einem ID-Token sind eine Obermenge der Informationen, die im UserInfo-Endpunkt verfügbar sind. Da Sie ein ID-Token zur gleichen Zeit abrufen können wie ein Token zum Aufrufen des UserInfo-Endpunkts, schlagen wir vor, die Benutzerinformationen aus dem ID-Token statt vom UserInfo-Endpunkt abzurufen. Bei der Verwendung des ID-Tokens anstelle des Aufrufs des UserInfo-Endpunkts werden bis zu zwei Netzwerkanforderungen weniger benötigt, was die Latenz in Ihrer Anwendung reduziert.

Wenn Sie weitere Details zu dem Benutzer wie Manager oder Jobtitel benötigen, rufen Sie die Microsoft Graph /user API auf. Sie können auch optionale Ansprüche verwenden, um zusätzliche Benutzerinformationen in Ihre ID und Zugriffstoken einzubeziehen.

Aufrufen des UserInfo-Endpunkts

UserInfo ist eine standardmäßige OAuth-Bearer-Token-API, die von Microsoft Graph gehostet wird. Rufen Sie den UserInfo-Endpunkt wie eine beliebige Microsoft Graph-API auf, und verwenden Sie dafür das Zugriffstoken, das Ihre Anwendung beim Anfordern des Zugriffs auf Microsoft Graph erhalten hat. Der UserInfo-Endpunkt gibt eine JSON-Antwort zurück, die Ansprüche über den Benutzer enthält.

Berechtigungen

Verwenden Sie die folgenden OIDC-Berechtigungen, um die UserInfo-API aufzurufen. Der Anspruch openid ist erforderlich, und die Bereiche profile und email stellen sicher, dass in der Antwort zusätzliche Informationen bereitgestellt werden.

Berechtigungstyp	Berechtigungen
Delegiert (Geschäfts-, Schul- oder Unikonto)	openid (erforderlich), profile, email
Delegiert (persönliches Microsoft-Konto)	openid (erforderlich), profile, email
Application	Nicht verfügbar

Tipp

Kopieren Sie diese URL in Ihren Browser, um ein Zugriffstoken für den UserInfo-Endpunkt und ein ID-Token abzurufen. Ersetzen Sie die Client-ID und den Umleitungs-URI durch Werte aus einer App-Registrierung.

https://login.microsoftonline.com/common/oauth2/v2.0/authorize?client_id=<yourClientID>&response_type=token+id_token&redirect_uri=<YourRedirectUri>&scope=user.read+openid+profile+email&response_mode=fragment&state=12345&nonce=678910

Sie können das Zugriffstoken verwenden, das in der Abfrage im nächsten Abschnitt zurückgegeben wird.

Microsoft Graph verwendet ein spezielles Token-Ausgabemuster, das die Lese- oder Validierungsfähigkeit Ihrer App beeinträchtigen kann. Wie bei anderen Microsoft Graph-Token ist das hier erhaltene Token möglicherweise kein JSON Web Token (JWT), und Ihre App sollte es als nicht transparent betrachten. Wenn Sie einen Microsoft-Kontobenutzer angemeldet haben, wird ein verschlüsseltes Tokenformat verwendet. Keine dieser Faktoren beeinträchtigt jedoch die Fähigkeit Ihrer App, das Zugriffstoken in einer Anforderung an den UserInfo-Endpunkt zu verwenden.

Aufrufen der API

Die UserInfo-API unterstützt sowohl GET- als auch POST-Anforderungen.

GET or POST /oidc/userinfo HTTP/1.1
Host: graph.microsoft.com
Authorization: Bearer eyJ0eXAiOiJKV1QiLCJub25jZSI6Il…

UserInfo-Antwort

{
    "sub": "OLu859SGc2Sr9ZsqbkG-QbeLgJlb41KcdiPoLYNpSFA",
    "name": "Mikah Ollenburg", // all names require the “profile” scope.
    "family_name": " Ollenburg",
    "given_name": "Mikah",
    "picture": "https://graph.microsoft.com/v1.0/me/photo/$value",
    "email": "mikoll@contoso.com" // requires the “email” scope.
}

Alle in der Antwort angezeigten Ansprüche können vom UserInfo-Endpunkt zurückgegeben werden. Diese Werte entsprechen den Werten in einem ID-Token.

Hinweise und Einschränkungen zum UserInfo-Endpunkt

Sie können die von dem UserInfo-Endpunkt zurückgegebenen Informationen nicht hinzufügen oder anpassen.

Um die von der Identitätsplattform zurückgegebenen Informationen bei der Authentifizierung und Autorisierung anzupassen, verwenden Sie die Anspruchszuordnung und optionale Ansprüche, um die Sicherheitstokenkonfiguration zu ändern.

Nächste Schritte

• Überprüfen des Inhalts von ID-Token
• Anpassen des Inhalts eines ID-Tokens mithilfe von optionalen Ansprüchen
• Anfordern eines Zugriffstokens und eines ID-Tokens mit dem OAuth2-Protokoll