Parameter:
DEBUG_SAMLKurzbeschreibung: Protokolliert den kompletten SAML-Federated-Login-Ablauf (Metadaten, Assertion-Validierung, Signatur-/Encryption-Prüfung, Attribute-Mapping).
Steckbrief
Parameter | DEBUG_SAML |
Kategorie | Logging / Debug |
Komponente | Server |
Verfügbar seit | 12.0 |
Unterstützte Versionen | 12.0, 14.0, 14.5, 14.5.1 |
GUI-Entsprechung | Nur notes.ini (keine GUI) |
Mögliche Werte | 0 = aus, 1 = Basis, 2 = Verbose (inkl. Assertion-XML – nur temporär, enthält sensible Daten) |
Beschreibung
DEBUG_SAML aktiviert die Diagnose der SAML-basierten Federated-Login-Implementierung von Domino. Geloggt werden u. a. das Laden und Parsen der IdP-Metadaten, die Validierung der eingehenden Assertion (Signatur, Verschlüsselung, NotBefore/NotOnOrAfter, Audience, AuthnContext) sowie das Mapping der SAML-Attribute auf den Notes-Benutzer. Auf Stufe 2 werden zusätzlich die kompletten Assertion-XMLs in die Konsole bzw. das Log geschrieben – das ist für die Analyse von „Signature validation failed"- oder „No matching user"-Fehlern oft die einzige zuverlässige Quelle.Beispiel-Konfiguration
; Standard-Debug für Federated-Login-Probleme DEBUG_SAML=1 ; Verbose – nur kurzfristig, schreibt Assertion-XML DEBUG_SAML=2
Hinweise & Stolperfallen
- Stufe
2enthält die vollständige SAML-Assertion (Benutzerattribute, Gruppen, ggf. Token) – Logs vertraulich behandeln und nach Fehleranalyse löschen.
- Greift erst nach einem Neustart des HTTP-Tasks (
restart task http).
- Funktioniert nur, wenn
idpcat.nsfkorrekt konfiguriert und der IdP im Server-Dokument aktiviert ist.
- Bei Zertifikatsfehlern zusätzlich
DEBUG_SSL=2aktivieren, um TLS-Probleme von SAML-Fehlern zu trennen.