Parameter:
OIDC_LOGIN_REQUEST_PROFILE_SCOPEKurzbeschreibung: Steuert, ob Domino beim Web-Login mit OIDC den OAuth-Scope
profile zusätzlich zu openid und email anfordert. Standard: aktiviert (1) — Domino sendet scope=openid email profile.Steckbrief
Parameter | OIDC_LOGIN_REQUEST_PROFILE_SCOPE |
Kategorie | Security / TLS (OIDC / Web-SSO) |
Komponente | Server (HTTP-Task) |
Verfügbar seit | 14.0 |
Unterstützte Versionen | 14.0, 14.5, 14.5.1 |
GUI-Entsprechung | Nur notes.ini (keine GUI) |
Mögliche Werte | 0 = profile-Scope nicht anfordern (nur openid email)1 = profile-Scope anfordern (Standard) |
Beschreibung
Beim OIDC-Authorization-Request sendet ein Client (in diesem Fall der Domino-HTTP-Server) eine Liste der gewünschten Scopes an den OIDC-Provider. Jeder Scope steuert, welche Informationen der Provider über den User im id_token bzw. über das UserInfo-Endpoint zurückgeben darf.
Standard-Scopes, die Domino anfordert:
openid— zwingend, aktiviert OIDC überhaupt.
email— benötigt zur User-Identifikation (Email-Adresse landet im id_token).
profile— zusätzliche Profilinformationen (Name, Vorname, Locale, Bild, etc.) — wird mitOIDC_LOGIN_REQUEST_PROFILE_SCOPE=1(Standard) angefordert.
Auf 0 setzen, wenn:
- Der OIDC-Provider den
profile-Scope nicht unterstützt und mit Fehlerinvalid_scopeabbricht.
- Datenschutz-Anforderungen (DSGVO/Privacy by Design) verlangen, dass nur das absolute Minimum an User-Daten angefordert wird — Domino braucht zur Authentifizierung nur
openid+ Email-Identifier, weitere Profildaten werden ohnehin nicht persistiert.
- Der Provider erfordert separate Zustimmung (Consent) für
profile, was den Login-Flow verkompliziert.
Domino verwendet kein Profilbild oder Name aus dem id_token zur Personalisierung der Domino-Oberfläche — die Anzeige basiert weiterhin auf dem Person-Dokument im Domino Directory.
Beispiel-Konfiguration
OIDC_LOGIN_REQUEST_PROFILE_SCOPE=0
Hinweise & Stolperfallen
- Standard ist
=1— in den meisten Umgebungen ist keine Änderung nötig.
- Wenn der Provider den Scope ablehnt: Symptom ist Fehler
invalid_scopewährend des Authorization-Request, sichtbar im Browser bzw. mitDEBUG_OIDCLogin=4.
- Voraussetzung: HTTP Bearer Authentication und Web-Login mit OIDC sind im betreffenden Internet Site-Dokument aktiviert.
- Änderung wirkt nach Neustart des HTTP-Tasks bzw. via
set config OIDC_LOGIN_REQUEST_PROFILE_SCOPE=….
- Funktioniert nur auf Windows- und Linux-Servern.
- Wenn der Provider keinen
email-Claim zurückgibt, kann zusätzlichOIDC_LOGIN_CUSTOM_CLAIM_NAMEnötig sein, um einen alternativen Identifier zu nutzen.
- Manche Provider (z. B. Azure AD, einige Keycloak-Konfigurationen) liefern den User-Namen ausschließlich im
profile-Scope — deaktivieren führt dann zu Login-Problemen, falls Mappings davon abhängen.
Quellen (HCL Product Documentation)
- HCL Domino 14.5.1 – Configuring OIDC-based SSO for web users: help.hcl-software.com/domino/14.5.1/admin/secu_config_oidc_based_sso_for_web.html