Start/notes.ini Parameter/DEBUG_OIDC_CACHE

DEBUG_OIDC_CACHE

Parameter: DEBUG_OIDC_CACHE
Kurzbeschreibung: Aktiviert ab Domino 14.0 das Debug-Tracing für den globalen OIDC-Provider-Cache (JWK-Cache). Ersetzt die früheren Parameter DEBUG_JWK_CACHE und DEBUG_JWK_CACHE_MGR aus 12.0.2.

Steckbrief

Parameter
DEBUG_OIDC_CACHE
Kategorie
Logging / Debug
Komponente
Server (HTTP-Task / OIDC-Cache)
Verfügbar seit
Domino 14.0
Unterstützte Versionen
14.0, 14.5, 14.5.1
GUI-Entsprechung
Nur notes.ini (keine GUI)
Mögliche Werte
0, 1, 2, 3, 4, 5, 6 — Standard 0 (aus)

Beschreibung

Mit Domino 14.0 wurden der per-Process-JWK-Cache und der JWKCacheMgrThread aus 12.0.2 zu einem globalen, prozessübergreifenden OIDC-Provider-Cache zusammengeführt. Dieser Cache hält zentral die .well-known/openid-configuration-Dokumente, die per jwks_uri gelieferten Signaturschlüssel sowie weitere Metadaten der konfigurierten OIDC-Provider vor.
DEBUG_OIDC_CACHE steuert die Detailtiefe der Trace-Ausgabe rund um diesen Cache:
  • Initiales Laden der Provider-Konfiguration
  • Aktualisieren der vom Provider gelieferten JWKs (Key-Rotation)
  • Cache-Hits/Misses je Schlüssel-ID (kid)
  • Ablauf gecachter Konfigurationen und nächste Fälligkeit
  • Kryptographische Prüfungen und Signatur-Validierung
Dadurch ersetzt DEBUG_OIDC_CACHE die beiden älteren notes.ini-Variablen DEBUG_JWK_CACHE und DEBUG_JWK_CACHE_MGR, die in 12.0.2 noch separat existierten und ab 14.0 entfernt sind.
Typische Anwendungsfälle:
  • Fehler bei OIDC Web Login oder HTTP Bearer Auth, deren Ursache nicht im Token selbst liegt, sondern in der Schlüsselauflösung („kid not found")
  • Diagnose nach Schlüsselrotation beim IdP
  • Prüfung, ob OIDC_LOGIN_CLOCK_SKEW_SEC greift bzw. wann der Cache als veraltet gilt

Beispiel-Konfiguration

DEBUG_OIDC_CACHE=3
Dynamisch auf der Server-Konsole:
set config DEBUG_OIDC_CACHE=3
Zum Abschalten:
set config DEBUG_OIDC_CACHE=0

Hinweise & Stolperfallen

  • Verfügbar erst ab Domino 14.0. In 12.0.2 stattdessen DEBUG_JWK_CACHE und DEBUG_JWK_CACHE_MGR einsetzen — diese sind ab 14.0 entfernt.
  • Wirkt nur, wenn auf dem Server mindestens ein OIDC-Provider in idpcat.nsf konfiguriert ist und HTTP Bearer Auth oder OIDC Web Login aktiv genutzt wird.
  • Für fehlgeschlagene Bearer-Logins selbst ist DEBUG_HTTP_BEARER_AUTH aussagekräftiger; DEBUG_OIDC_CACHE zielt ausschließlich auf die JWK-/Provider-Cache-Schicht.
  • Bei Konfigurationsfragen rund um den Provider-Eintrag ergänzend DEBUG_OIDC_CONFIG einsetzen.
  • Bei Verbindungsproblemen zum Provider (Proxy, TLS-Trust, DNS) liefert DEBUG_OIDC_CURL_APIS weitere Detailinfos.
  • Wirkung ist dynamisch — kein HTTP- oder Server-Restart nötig.

Quellen (HCL Product Documentation)