Microsoft Identity Platform UserInfo-eindpunt
Als onderdeel van de OpenID Verbinding maken (OIDC)-standaard retourneert het UserInfo-eindpunt informatie over een geverifieerde gebruiker.
Het .bekende configuratie-eindpunt zoeken
U kunt het eindpunt UserInfo programmatisch vinden door het userinfo_endpoint veld van het OpenID-configuratiedocument te lezen op https://login.microsoftonline.com/common/v2.0/.well-known/openid-configuration. Het wordt afgeraden om het eindpunt UserInfo in uw toepassingen hard te coderen. Gebruik in plaats daarvan het OIDC-configuratiedocument om het eindpunt tijdens runtime te vinden.
Het eindpunt UserInfo wordt doorgaans automatisch aangeroepen door bibliotheken die compatibel zijn met OIDC om informatie over de gebruiker op te halen. In de lijst met claims die zijn geïdentificeerd in de OIDC-standaard, produceert het Microsoft Identity Platform de naamclaims, onderwerpclaims en e-mail indien beschikbaar en toestemming gegeven voor.
U kunt in plaats daarvan een id-token gebruiken
De informatie in een id-token is een superset van de informatie die beschikbaar is op het eindpunt UserInfo. Omdat u tegelijkertijd een id-token kunt ophalen om het eindpunt UserInfo aan te roepen, raden we u aan de gegevens van de gebruiker op te halen uit het token in plaats van het UserInfo-eindpunt aan te roepen. Als u het id-token gebruikt in plaats van het eindpunt UserInfo aan te roepen, worden maximaal twee netwerkaanvragen geëlimineerd, waardoor de latentie in uw toepassing wordt verminderd.
Als u meer informatie nodig hebt over de gebruiker, zoals manager of functie, roept u de Microsoft Graph /user API aan. U kunt ook optionele claims gebruiken om aanvullende gebruikersgegevens op te nemen in uw id en toegangstokens.
Het eindpunt UserInfo aanroepen
UserInfo is een standaard OAuth bearer-token-API die wordt gehost door Microsoft Graph. Roep het eindpunt UserInfo aan zoals u een Microsoft Graph API aanroept met behulp van het toegangstoken dat uw toepassing heeft ontvangen wanneer deze toegang tot Microsoft Graph heeft aangevraagd. Het eindpunt UserInfo retourneert een JSON-antwoord met claims over de gebruiker.
Bevoegdheden
Gebruik de volgende OIDC-machtigingen om de UserInfo-API aan te roepen. De openid claim is vereist en de profile en email bereiken zorgen ervoor dat er aanvullende informatie wordt opgegeven in het antwoord.
| Machtigingstype | Bevoegdheden |
|---|---|
| Gedelegeerd (werk- of schoolaccount) | openid (vereist), profile, email |
| Gedelegeerd (persoonlijk Microsoft-account) | openid (vereist), profile, email |
| Toepassing | Niet van toepassing |
Tip
Kopieer deze URL in uw browser om een toegangstoken op te halen voor het eindpunt UserInfo en een id-token. Vervang de client-id en omleidings-URI door waarden uit een app-registratie.
https://login.microsoftonline.com/common/oauth2/v2.0/authorize?client_id=<yourClientID>&response_type=token+id_token&redirect_uri=<YourRedirectUri>&scope=user.read+openid+profile+email&response_mode=fragment&state=12345&nonce=678910
U kunt het toegangstoken gebruiken dat wordt geretourneerd in de query in de volgende sectie.
Microsoft Graph maakt gebruik van een speciaal tokenuitgiftepatroon dat van invloed kan zijn op de mogelijkheid van uw app om het te lezen of te valideren. Net als bij een ander Microsoft Graph-token is het token dat u hier ontvangt mogelijk geen JWT en moet uw app het ondoorzichtig beschouwen. Als u zich hebt aangemeld bij een Microsoft-accountgebruiker, is dit een versleutelde tokenindeling. Geen van deze factoren heeft echter invloed op de mogelijkheid van uw app om het toegangstoken te gebruiken in een aanvraag voor het eindpunt UserInfo.
De API aanroepen
De UserInfo-API ondersteunt ZOWEL GET- als POST-aanvragen.
GET or POST /oidc/userinfo HTTP/1.1
Host: graph.microsoft.com
Authorization: Bearer eyJ0eXAiOiJKV1QiLCJub25jZSI6Il…
Antwoord userinfo
{
"sub": "OLu859SGc2Sr9ZsqbkG-QbeLgJlb41KcdiPoLYNpSFA",
"name": "Mikah Ollenburg", // all names require the “profile” scope.
"family_name": " Ollenburg",
"given_name": "Mikah",
"picture": "https://graph.microsoft.com/v1.0/me/photo/$value",
"email": "mikoll@contoso.com" // requires the “email” scope.
}
De claims die in het antwoord worden weergegeven, zijn allemaal claims die door het eindpunt UserInfo kunnen worden geretourneerd. Deze waarden zijn dezelfde waarden die zijn opgenomen in een id-token.
Notities en opmerkingen bij het eindpunt UserInfo
U kunt de informatie die wordt geretourneerd door het eindpunt UserInfo niet toevoegen of aanpassen.
Als u de informatie die door het identiteitsplatform wordt geretourneerd tijdens verificatie en autorisatie wilt aanpassen, gebruikt u claimtoewijzing en optionele claims om de configuratie van het beveiligingstoken te wijzigen.