DEBUG_OIDC_CONFIG

Steckbrief

Beschreibung

• Prüfen der Discovery-URL (.well-known/openid-configuration) und der vom Provider zurückgegebenen Endpunkte

• Mapping der Internet Sites auf einen Provider-Eintrag

• Auflösen von Issuer- und Audience-Werten

• Validierung der Allowed Client IDs und der Alternate Audiences

• Validierung von Access-Tokens gegen die im IdP-Catalog konfigurierten Provider und Schlüssel (v14-spezifisch)

• falscher Issuer (iss passt nicht zum Discovery-Dokument)

• fehlende Verknüpfung des Provider-Dokuments mit der Internet Site

• fehlerhafter Eintrag von client_id oder client_secret

• ungültige Redirect-URI

• fehlende Aktivierung von Bearer Token bzw. OIDC Login im Internet Site- bzw. Server-Dokument

Beispiel-Konfiguration

DEBUG_OIDC_CONFIG=3

set config DEBUG_OIDC_CONFIG=3

set config DEBUG_OIDC_CONFIG=0

Hinweise & Stolperfallen

• Verfügbar erst ab Domino 14.0. In 12.0.2 gab es keinen direkt vergleichbaren Konfig-Trace; dort wurden ähnliche Informationen über DEBUG_HTTP_BEARER_AUTH, DEBUG_JWK_CACHE und DEBUG_JWS verteilt.

• Wirkt nur, wenn auf dem Server mindestens ein OIDC-Provider in idpcat.nsf konfiguriert ist und Bearer Token bzw. OIDC Login im Internet Site- bzw. Server-Dokument aktiv sind.

• Ergänzend einsetzen: DEBUG_HTTP_BEARER_AUTH (Token-Validierung), DEBUG_OIDC_CACHE (JWK-Cache), DEBUG_OIDC_CURL_APIS (HTTPS-Verbindung zum Provider), DEBUG_OIDC_JSON_PARSER (JSON-Parsing der Token-Inhalte).

• Wirkung ist dynamisch — kein HTTP- oder Server-Restart nötig.

• Nach abgeschlossener Diagnose wieder auf 0 zurücksetzen, um die Konsole nicht unnötig zu belasten.

Quellen (HCL Product Documentation)

• Global OpenID Connect (OIDC) enhancements (Domino 14.0)

• HTTP Bearer authentication replacements (Domino 14.0)

• Configuring OIDC-based SSO for HCL Domino web users — Webinar (HCLSoftwareU, April 2025)