Parameter:
DEBUG_OIDC_LOGIN_REDIRECTKurzbeschreibung: Aktiviert Tracing speziell für die Auto-Redirect-Logik beim Web-Login mit OIDC — also die Frage, ob ein Request von der alten URL
/names.nsf?OIDCLogin auf den neuen Endpunkt /auth/protocol/oidc umgeleitet wird (gesteuert durch OIDC_LOGIN_ENABLE_REDIRECT). Ergänzung zu DEBUG_OIDCLogin. Standard: deaktiviert (0).Steckbrief
Parameter | DEBUG_OIDC_LOGIN_REDIRECT |
Kategorie | Logging / Debug (OIDC / Web-SSO) |
Komponente | Server (HTTP-Task) |
Verfügbar seit | 14.0 |
Unterstützte Versionen | 14.0, 14.5, 14.5.1 |
GUI-Entsprechung | Nur notes.ini (keine GUI) |
Mögliche Werte | 0 = Redirect-Tracing deaktiviert (Standard) 1 = Redirect-Tracing aktiviert |
Beschreibung
Mit Domino 14.0 wurde der OIDC-Login-Endpunkt von
/names.nsf?OIDCLogin auf den neuen, RFC-näheren Pfad /auth/protocol/oidc umgestellt. Damit Bestands-Lesezeichen, Mail-Links und IdP-seitig konfigurierte Redirect-URIs nicht bröckeln, kann Domino automatisch von der alten auf die neue URL umleiten — gesteuert durch OIDC_LOGIN_ENABLE_REDIRECT (Default: aktiv).Die Redirect-Entscheidung ist bedingt: Sie erfolgt nur, wenn der angeforderte Internet Site für Web-Login mit OIDC aktiviert ist. Auf einem Server, der mehrere Internet Sites mit unterschiedlichen Auth-Methoden (Passwort, Passkey, OIDC) parallel bedient, muss die Logik genau erkennen, welcher Site-Eintrag zuständig ist und ob die Umleitung passt.
DEBUG_OIDC_LOGIN_REDIRECT=1 schreibt jede Redirect-Entscheidung detailliert auf die Server-Konsole:- Eingangs-URL und Host-Header
- Erkannter Internet Site und seine Auth-Konfiguration
- Ergebnis: Redirect, Pass-Through, oder Fehler
- Ziel-URL bei Redirect
Anwendungsfälle:
- Login-Versuche mit alten Lesezeichen (
/names.nsf?OIDCLogin) führen zu 404 oder zu falschem Site — mit Tracing erkennbar, ob die Site-Erkennung versagt.
- Mehrere Sites mit OIDC + Passwort gemischt — Tracing zeigt, welche Site für welchen Request gewählt wurde.
- Verifizieren, dass
OIDC_LOGIN_ENABLE_REDIRECT=0wirklich greift, falls Custom-Reverse-Proxy die Umleitung selbst handhaben soll.
Für vollständiges OIDC-Tracing (id_token-Validation, Claims-Mapping, Cookie-Setzen) ist zusätzlich
DEBUG_OIDCLogin=4 nötig — dieser Parameter (DEBUG_OIDC_LOGIN_REDIRECT) deckt nur den Redirect-Schritt ab.Beispiel-Konfiguration
DEBUG_OIDC_LOGIN_REDIRECT=1
Kombiniert mit Vollverbose:
DEBUG_OIDCLogin=4 DEBUG_OIDC_LOGIN_REDIRECT=1
Nach Diagnose abschalten:
set config DEBUG_OIDC_LOGIN_REDIRECT=0
Hinweise & Stolperfallen
- Sehr geräuscharm — dieser Parameter loggt nur die Redirect-Entscheidungen, nicht den gesamten OIDC-Flow. Daher auch in Produktion zeitweise gefahrlos einzusetzen.
- Für Token- und Claims-Probleme zusätzlich
DEBUG_OIDCLogin=2(oder höher) aktivieren.
- Änderung wirkt sofort über
set config DEBUG_OIDC_LOGIN_REDIRECT=…— kein HTTP-Restart nötig.
- Tracing erscheint sowohl auf der Live-Konsole als auch in
console.log(Domino Data Directory).
- Voraussetzung: HTTP Bearer Authentication und Web-Login mit OIDC sind im betreffenden Internet Site-Dokument aktiviert.
- Funktioniert nur auf Windows- und Linux-Servern.
- Wenn
OIDC_LOGIN_ENABLE_REDIRECT=0gesetzt ist und gleichzeitigDEBUG_OIDC_LOGIN_REDIRECT=1, zeigt das Tracing nur „Redirect disabled"-Einträge — Pass-Through-Verhalten der alten URL ist beobachtbar, aber kein eigentlicher Redirect findet statt.
Quellen (HCL Product Documentation)
- HCL Domino 14.5.1 – Configuring OIDC-based SSO for web users: help.hcl-software.com/domino/14.5.1/admin/secu_config_oidc_based_sso_for_web.html