No OpenID Connect, umtoken de acesso tem um prazo de validade. Para o fluxo do código de autorização, normalmente é curto (por exemplo, 20 minutos) após o qual você usa o token de atualização para solicitar um novo token de acesso.

oToken de ID também tem um prazo de validade. Minha pergunta é qual é a intenção disso?

Qualquer tempo de expiração do token de ID menor que o tempo de expiração do token de atualização significa que você eventualmente terá um token de ID expirado, mas um token de acesso válido.

Então você deve:

conceda ao seu token de ID uma validade maior que a validade do token de atualização oudefina-o com a mesma validade que o token de acesso e execute alguma ação (o que?) quando expirar, ouconsuma apenas o token de identificação no seu cliente após o recebimento e ignore o prazo de validade depois disso?

oEspecificação do OpenID Connect apenas diz que, ao validar um token de ID,

"The current time MUST be before the time represented by the exp Claim."

que (possivelmente) suporta a terceira opção acima.

EDITAR

À medida que o OpenID Connect se baseia no OAuth2, a resposta para a pergunta complementar abaixo pode ser encontrada emEspecificação OAuth2 o que diz

expires_in
     RECOMMENDED.  The lifetime in seconds of the access token.

Uma pergunta relacionada é quando você troca um código de autorização pelos tokens, a mesma especificação diz que você pode obter uma resposta como:

{
 "access_token": "SlAV32hkKG",
 "token_type": "Bearer",
 "refresh_token": "8xLOxBtZp8",
 "expires_in": 3600,
 "id_token": "eyJhbG[...]"
}

Mas o que "expires_in" se relaciona nesse caso? O token de acesso, o token de atualização ou o token de ID?

(Para informação,IdentityServer3 define isso para o tempo de expiração do token de acesso).