Parameter:
OIDC_LOGIN_ENABLE_ROEID_WORKAROUNDSKurzbeschreibung: Aktiviert Workarounds für OIDC-Provider, die bei
client_secret_basic zusätzliche Felder im Request-Body strikt ablehnen — vermeidet HTTP-500 beim OIDC-Login.Steckbrief
Parameter | OIDC_LOGIN_ENABLE_ROEID_WORKAROUNDS |
Kategorie | Allgemein / OIDC-Login (Workaround) |
Komponente | Domino-Server (HTTP-Task, OIDC-Login) |
Wertebereich | 0 (Standard, Workaround deaktiviert) oder 1 (Workaround aktiv) |
Standardwert | 0 (kein Workaround – Domino sendet die zusätzlichen Felder im Request-Body) |
Verfügbar seit | 14.0 (mit Einführung des Domino-Web-OIDC-Logins) |
Wirksam ab | Nach tell http q und load http bzw. nach Restart des HTTP-Tasks |
GUI-Entsprechung | Keine GUI – ausschließlich über notes.ini bzw. set config OIDC_LOGIN_ENABLE_ROEID_WORKAROUNDS=1 |
Beschreibung
Aktiviert Workarounds für OIDC-Provider, die bei der Authentifizierung mit
client_secret_basic zusätzliche Felder im Request-Body strikt ablehnen. Bei OIDC_LOGIN_ENABLE_ROEID_WORKAROUNDS=1 verzichtet Domino darauf, diese Felder mitzusenden, und vermeidet so HTTP-500-Fehler beim OIDC-Login.Laut HCL KB0119112 äußert sich das Problem als Fehlermeldung „Error 500 You are not authorized to perform this operation“ nach erfolgreichem Login beim Identity Provider – typischerweise wenn im OIDC-Dokument der
idpcat.nsf der Modus Client Secret Basic eingestellt ist.Beispiel
OIDC_LOGIN_ENABLE_ROEID_WORKAROUNDS=1
Aktivierung zur Laufzeit über die Konsole:
set config OIDC_LOGIN_ENABLE_ROEID_WORKAROUNDS=1 tell http q load http
Hinweise
- Der Parameter ist explizit ein Workaround für Provider, die strikt mit der
client_secret_basic-Spezifikation umgehen – nicht jeder OIDC-Provider benötigt ihn.
- Symptom vor dem Setzen: Nach erfolgreichem Login am IdP liefert Domino
Error 500 You are not authorized to perform this operationund der Browser landet nicht auf der angeforderten Seite (siehe HCL KB0119112).
- Der Workaround ist nur für OIDC-Provider erforderlich, die bei
client_secret_basiczusätzliche Felder im Body als ungültig zurückweisen.
- Domino-Web-OIDC-Login wird im Identity Provider Catalog (
idpcat.nsf) konfiguriert (HCL Domino 14.5 „Configuring Web login with OIDC for web users").
- Für die Domino REST API gilt die OIDC-Konfiguration aus der separaten Domino-REST-API-Doku (Authentifizierung und Tokenvalidierung) – dieses Setting wirkt aber primär im Domino-Web-OIDC-Login (HTTP-Task).
Quellen (HCL Product Documentation)
- HCL Customer Support – KB0119112 „OIDC Login fails with error 'Error 500 You are not authorized to perform this operation'" (Applies to: HCL Domino, mit
OIDC_LOGIN_ENABLE_ROEID_WORKAROUNDS=1als Lösung): support.hcl-software.com/csm?id=kb_article&sysparm_article=KB0119112
- HCL Domino 14.5 – „Configuring Web login with OIDC for web users" (Domino-Web-OIDC-Login per Authorization Code Flow mit PKCE): help.hcl-software.com/domino/14.5.0/admin/secu_config_oidc_based_sso_for_web.html
- HCL Domino REST API – „Configure Domino REST API to use an OIDC provider" (verwandtes OIDC-Setup): opensource.hcltechsw.com/Domino-rest-api/howto/IdP/configureoidc.html
- HCL Domino 14.5.1 – NOTES.INI Settings (Übersicht): help.hcl-software.com/domino/14.5.1/admin/conf_notesinisettings_c.html