Parameter:
OIDC_LOGIN_COOKIE_DURATION_SECKurzbeschreibung: Lebensdauer des OIDC-Login-Session-Cookies in Sekunden – danach muss sich der Benutzer beim OIDC-Provider neu authentifizieren.
Steckbrief
Parameter | OIDC_LOGIN_COOKIE_DURATION_SEC |
Kategorie | Security / TLS |
Komponente | Server |
Verfügbar seit | 12.0.2 |
Unterstützte Versionen | 12.0, 14.0, 14.5, 14.5.1 |
GUI-Entsprechung | Nur notes.ini (keine GUI) |
Mögliche Werte | 30–900 Sekunden (Standard 120) |
Beschreibung
Nach erfolgreichem OIDC-Login setzt Domino ein Session-Cookie, das die Authentifizierung für eine begrenzte Zeit bestätigt.
OIDC_LOGIN_COOKIE_DURATION_SEC legt fest, wie lange dieses Cookie gültig bleibt, bevor Domino erneut beim IdP rückfragt. Kürzere Zeiten (30–60 s) erhöhen die Sicherheit – widerrufene Accounts oder Policy-Änderungen greifen schneller –, sorgen aber für mehr Round-Trips zum IdP. Längere Zeiten (300–900 s) reduzieren die IdP-Last und sind für Single-Page-Apps mit vielen XHR-Calls angenehmer.Beispiel-Konfiguration
OIDC_LOGIN_COOKIE_DURATION_SEC=300
Hinweise & Stolperfallen
- Trade-off zwischen Sicherheit (kurze Lebensdauer) und Performance (lange Lebensdauer) bewusst entscheiden.
- Greift nach HTTP-Restart.
- Für besonders kritische Anwendungen die Lebensdauer auf der Anwendungsseite zusätzlich begrenzen (Re-Auth-Trigger).
- Ergänzt sich mit
OIDC_LOGIN_CLOCK_SKEW_SEC,OIDC_LOGIN_ENABLE_REDIRECTund Internet-Site-Session-Settings.
- IdP-seitige Token-Lifetime sollte mindestens so lang wie diese Cookie-Dauer sein.