サインイン要求を送信する(Microsoft)には次のような記述があります。 OpenID Connect サインインでは、 id_token を指定する必要があります。 code などの他の response_types が含まれていてもかまいません。 しかし、"id_token"のみの指定では「Implicit Flow」になり、(RPをOPに対するクライアントとする)クライアント認証が行われません。 今回のケースでは、ウェブアプリケーションであるため、「Authorization Code Flow」を利用したいです。 次のように調べてみると、"code"をサポートしているので、「Authorization Code Flow」が使えそうです。 $ curl https://login.microsoftonline.com/common/.well-known/openid-con