401使用ADFS4.0和OpenID连接调用UserInfo

Question

我已经成功地创建了一个带有服务器应用程序和Web的新应用程序组，并且在我尝试调用UserInfo之前，OpenID连接协议正在解决所有问题。信赖方标识符与服务器应用程序的客户端ID是相同的GUID (根据我在线阅读的示例)。尝试调用UserInfo时出现以下错误：

WWW-Authenticate: Bearer error="invalid_token", error_description="MSIS9921: Received invalid UserInfo request. Audience 'microsoft:identityserver:21660d0d-93e8-45db-b770-45db974d432d' in the access token is not same as the identifier of the UserInfo relying party trust 'urn:microsoft:userinfo'."

任何帮助都将不胜感激。

Answer 1

我最近在ASP.NET核心OpenIDConnect提供程序中使用ADFS时也遇到了这个错误。在我的例子中，禁用UserInfo请求完全解决了这个问题：

var openIdOptions = new OpenIdConnectOptions
{
  ...
  GetClaimsFromUserInfoEndpoint = false
};

在这样做之后，我仍然有我的应用程序需要的声明-电子邮件，SID，名称，等等。我相信有些情况下这是不起作用的，但知道你可能根本不需要/userinfo是件好事。我仍然有兴趣知道为什么从ADFS返回的令牌不能用于调用/userinfo，以及如何在ASP.NET OpenIDConnect提供程序中修复它。

Answer 2

只需相应地设置资源即可：

options.Resource = "urn:microsoft:userinfo";