Start/notes.ini Parameter/DEBUG_OIDC_JSON_PARSER

DEBUG_OIDC_JSON_PARSER

Parameter: DEBUG_OIDC_JSON_PARSER
Kurzbeschreibung: Aktiviert Debug-Tracing für das JSON-Parsing der OIDC-Datenstrukturen (Discovery-Dokument, JWKs, JWT-Claims). Auf Stufe 4 schreibt Domino den vollständigen JWT-Bearer-Token in die Server-Konsole.

Steckbrief

Parameter
DEBUG_OIDC_JSON_PARSER
Kategorie
Logging / Debug
Komponente
Server (HTTP-Task, OIDC/JWT-Verarbeitung)
Verfügbar seit
Domino 12.0.2
Unterstützte Versionen
12.0.2, 14.0, 14.5, 14.5.1
GUI-Entsprechung
Nur notes.ini (keine GUI)
Mögliche Werte
0, 1, 2, 3, 4 — Standard 0 (aus)

Beschreibung

DEBUG_OIDC_JSON_PARSER steuert die Detailtiefe der Trace-Ausgabe beim Parsen aller JSON-Strukturen, die im Rahmen der OIDC-Authentifizierung verarbeitet werden. Dazu zählen:
  • das Discovery-Dokument (.well-known/openid-configuration)
  • die JWK-Schlüssel vom jwks_uri
  • die Header und Claims von ID- und Access-Tokens (JWT)
  • Userinfo-Antworten (sofern genutzt)
Mit zunehmendem Wert werden mehr Felder und Strukturen mitgeschrieben. Auf der höchsten Stufe (4) protokolliert Domino den kompletten JWT-Bearer-Token im Klartext auf der Konsole. Das ist extrem nützlich, um zu sehen, welche Claims (iss, aud, sub, exp, groups, ...) tatsächlich vom IdP geliefert werden — z. B. um Mapping-Probleme zwischen Token-Claim und Notes-Namen zu analysieren.
Gleichzeitig ist Stufe 4 sicherheitssensibel: Der Token im Log ist ein gültiges Bearer-Credential. Logs sollten entsprechend geschützt und nach der Diagnose wieder bereinigt werden.
Der Parameter ist in 12.0.2 dokumentiert und in 14.0/14.5/14.5.1 weiterhin nutzbar.

Beispiel-Konfiguration

DEBUG_OIDC_JSON_PARSER=4
Dynamisch auf der Server-Konsole:
set config DEBUG_OIDC_JSON_PARSER=4
Zum Abschalten:
set config DEBUG_OIDC_JSON_PARSER=0

Hinweise & Stolperfallen

  • Sicherheit: Stufe 4 schreibt den vollständigen JWT in die Konsole/Log-Datei. Diese Logs nicht weitergeben, nach Abschluss der Diagnose archivieren oder löschen, und den Parameter wieder auf 0 setzen.
  • Wirkt nur, wenn auf dem Server mindestens ein OIDC-Provider in idpcat.nsf konfiguriert ist und Bearer Token bzw. OIDC Login im Internet Site- bzw. Server-Dokument aktiv sind.
  • Für Konfigurationsfragen (Provider-Doc, Internet-Site-Mapping) ist DEBUG_OIDC_CONFIG der bessere Einstieg.
  • Für Verbindungs-/TLS-Probleme zum IdP: DEBUG_OIDC_CURL_APIS.
  • Für Token-/Authentifizierungsfluss: DEBUG_HTTP_BEARER_AUTH.
  • Für JWK-Cache-Themen: DEBUG_OIDC_CACHE.
  • Wirkung ist dynamisch — kein HTTP- oder Server-Restart nötig.

Quellen (HCL Product Documentation)