Простой ответ - да, это допустимый вариант использования.
Конечной точкой информации пользователя является конечная точка, защищенная токеном OAuth 2.0, определенная OpenID Connect. Он более или менее ведет себя подобно конечной точке самоанализа токена, определенной OAuth 2.0 ( OAuth 2.0 Token Introspection ), предоставляя держателю токена возможность получать аутентифицированную информацию конечного пользователя.
С точки зрения приложения, выесть две части клиента. Одна часть конечного пользователя, которая фактически получает токен доступа и идентификационный токен. Затем у вас есть внутренняя часть (MS, как вы определили), которая полагается на токены для выполнения некоторых проверок (например: - Проверка электронной почты по известной БД). Таким образом, в основном MS является частью вашего приложения, это все еще входит в сферу действия термина CLIENT .
Альтернативой этому является использование автономных токенов доступа. Они будут представлены в виде JWT (аналог идентификатора токена) и обычно могут быть настроены на получение необходимой информации о пользователе. Преимущество этого заключается в том, что вы можете избежать вызова MS для OP информации о пользователе и полагаться на целостность JWT (примечание - конечно, вам нужен открытый ключ от OP, но это может быть кэшировано некоторое время)