Parameter:
DEBUG_OIDCLOGINKurzbeschreibung: Aktiviert Debug-Ausgaben für OIDC-Login (Web-Login über externen IdP) auf dem Domino-Webserver. Höhere Werte = mehr Detail.
Steckbrief
Parameter | DEBUG_OIDCLOGIN |
Kategorie | Logging / Debug |
Komponente | Server |
Verfügbar seit | 12.0.2 |
Unterstützte Versionen | 12.0, 14.0, 14.5, 14.5.1 |
GUI-Entsprechung | Nur notes.ini (keine GUI) |
Mögliche Werte | 0 = aus (Standard) bis 4 = maximaler Trace |
Beschreibung
Domino unterstützt seit 12.0.2 OIDC-basierten Web-Login: Anstelle eines klassischen Domino-Logins wird der Browser zu einem externen Identity Provider (z. B. Entra ID, Okta, Keycloak) umgeleitet, dort authentifiziert, und kehrt mit einem ID-Token zurück.
DEBUG_OIDCLOGIN schreibt detaillierte Trace-Ausgaben für diesen Flow auf der HTTP-/Webserver-Seite – Authorization-Request, Redirect-URI, State/Nonce-Validierung, Token-Validierung, Mapping IdP-Subject → Notes-User und Setzen des Web-SSO-Cookies (LTPA).Ideal bei Themen wie Login-Schleife nach IdP-Redirect, State/Nonce-Mismatch, User landet auf falscher Person, Cookie wird nicht gesetzt oder HTTP-Fehler nach Rückkehr vom IdP.
Beispiel-Konfiguration
DEBUG_OIDCLOGIN=3 Debug_Outfile=/local/notesdata/IBM_TECHNICAL_SUPPORT/oidclogin_debug.log
Hinweise & Stolperfallen
- Hohe Stufen können ID-Tokens loggen – nur temporär aktivieren.
- Greift sofort über
set config DEBUG_OIDCLOGIN=...; Restart der HTTP-Task nicht zwingend.
- Einträge erscheinen in
console.logund imDebug_Outfile.
- Komplementär zu
DEBUG_OIDC,DEBUG_OIDC_VAULT,DEBUG_HTTPINOUT,DEBUG_LTPA.
- Bei Mapping-Problemen IdP-Catalog-Doc und Web-SSO-Konfiguration prüfen.