Start/notes.ini Parameter/DEBUG_HTTP_BEARER_AUTH

DEBUG_HTTP_BEARER_AUTH

Parameter: DEBUG_HTTP_BEARER_AUTH
Kurzbeschreibung: Aktiviert das Debug-Tracing für die HTTP-Bearer-Token-Authentifizierung in Domino. Hilft, fehlgeschlagene OIDC-Bearer-Logins (z. B. ungültige aud-Claims, abgelaufene Tokens, fehlende Scopes) auf der Server-Konsole zu analysieren.

Steckbrief

Parameter
DEBUG_HTTP_BEARER_AUTH
Kategorie
Logging / Debug
Komponente
Server (HTTP-Task)
Verfügbar seit
Domino 12.0.2
Unterstützte Versionen
12.0.2, 14.0, 14.5, 14.5.1
GUI-Entsprechung
Nur notes.ini (keine GUI)
Mögliche Werte
0, 1, 2, 3, 4 — Standard 0 (aus)

Beschreibung

DEBUG_HTTP_BEARER_AUTH steuert die Detailtiefe der Trace-Ausgabe des HTTP-Tasks beim Validieren eingehender JWT-Bearer-Tokens. Bei aktivierter Bearer-Authentication (Bearer Token = Yes in Server- bzw. Internet Site-Dokument) verarbeitet Domino den Authorization: Bearer …-Header, prüft den Token gegen den im IdP-Catalog (idpcat.nsf) hinterlegten OIDC-Provider und mappt ihn auf einen Domino-User.
Geprüft werden u. a.:
  • Issuer (iss) — muss zum konfigurierten Provider passen
  • Signatur — gegen den vom Provider gelieferten JWK
  • Audience (aud) bzw. Authorized Party (azp) — muss zum Internet Site bzw. zur Liste „Allowed Client IDs" passen
  • Lebensdauer (iat/exp) — Token darf nicht in der Zukunft ausgestellt und nicht abgelaufen sein
  • Scope — muss Domino.user.all enthalten
  • E-Mail-Claim — typischerweise email, alternativ über Custom Email Claim Name im idpcat
Mit zunehmender Stufe (0 → 4) werden mehr Schritte, Header- und Payload-Inhalte in console.log und — falls gesetzt — in DEBUG_OUTFILE protokolliert. Stufe 4 schreibt auch sensible Token-Inhalte ins Log und sollte nur kurzfristig zur Fehleranalyse aktiviert werden.
Der Parameter wurde mit Domino 12.0.2 zusammen mit dem HTTP-Bearer-Auth-Feature eingeführt und blieb in 14.0/14.5/14.5.1 unverändert erhalten, während andere Bearer-Auth-notes.ini-Variablen (HTTP_BEARER_ALLOWED_ID_COUNT, HTTP_CUSTOM_EMAIL_CLAIM_NAME, HTTP_BEARER_ENABLE_MS_WORKAROUNDS) ab 14.0 in idpcat.nsf umgezogen sind.

Beispiel-Konfiguration

DEBUG_HTTP_BEARER_AUTH=2
DEBUG_OUTFILE=C:\Domino\IBM_TECHNICAL_SUPPORT\bearer_debug.txt
Dynamisch auf der Server-Konsole:
set config DEBUG_HTTP_BEARER_AUTH=2
Zum Abschalten:
set config DEBUG_HTTP_BEARER_AUTH=0

Hinweise & Stolperfallen

  • Wirkt nur, wenn Bearer-Authentication im Server- bzw. Internet Site-Dokument aktiviert ist und ein OIDC-Provider in idpcat.nsf konfiguriert wurde.
  • Wirkung ist dynamisch: kein HTTP- oder Server-Restart nötig — set config … reicht aus.
  • Stufe 4 protokolliert vollständige Bearer-Tokens (sensitiv!). Nach der Analyse wieder auf 0 zurücksetzen und Logs sicher entsorgen.
  • Bei Verbindungs- oder Zertifikatsfehlern zum OIDC-Provider liefert DEBUG_OIDC_CURL_APIS zusätzliche Detailinfos.
  • Bei Cache-/JWK-Problemen ist ab 14.0 DEBUG_OIDC_CACHE einzuschalten (ersetzt das alte DEBUG_JWK_CACHE/DEBUG_JWK_CACHE_MGR).
  • Schreibt nur in die Server-Konsole / das Outfile — keine separate Logdatei.

Quellen (HCL Product Documentation)