Parameter:
OIDC_LOGIN_RESPONSE_MODE_FORM_POSTKurzbeschreibung: Steuert, ob Domino beim OIDC-Authorization-Request
response_mode=form_post anfordert (Token-Antwort als HTTP-POST-Body) statt der Default-Variante query (Token in URL-Parametern). Standard: deaktiviert (0).Steckbrief
Parameter | OIDC_LOGIN_RESPONSE_MODE_FORM_POST |
Kategorie | Security / TLS (OIDC / Web-SSO) |
Komponente | Server (HTTP-Task) |
Verfügbar seit | 14.0 |
Unterstützte Versionen | 14.0, 14.5, 14.5.1 |
GUI-Entsprechung | Nur notes.ini (keine GUI) |
Mögliche Werte | 0 = Default- response_mode=query (Standard)1 = response_mode=form_post anfordern (nur wenn Provider es unterstützt) |
Beschreibung
Der OIDC-
response_mode-Parameter legt fest, wie der Provider den Authorization Code und ggf. weitere Parameter an den Client (Domino) zurückgibt:query(Default): Code wird als URL-Query-Parameter an den Redirect angehängt:https://server/auth/protocol/oidc?code=…&state=…. Vorteil: einfach, breit unterstützt. Nachteil: Code landet in Browser-Historie und Server-Logs.
form_post: Provider sendet die Antwort als HTTP-POST-Body an die Redirect-URI. Vorteil: Code erscheint nicht in URLs/Logs, Sicherheits-Vorteil.
fragment: für Implicit-Flow — nicht relevant für Domino, das ausschließlich Authorization-Code-Flow nutzt.
Domino verwendet standardmäßig
query. Mit OIDC_LOGIN_RESPONSE_MODE_FORM_POST=1 wird form_post angefordert — aber nur, wenn das Discovery-Dokument des Trusted-OIDC-Providers (well-known endpoint) form_post als unterstützten Mode (response_modes_supported) ausweist.Auf 1 setzen, wenn:
- Der OIDC-Provider
form_postausdrücklich unterstützt und empfiehlt (z. B. Microsoft Identity Platform).
- Sicherheits-Anforderungen Codes/Tokens nicht in URLs sichtbar haben dürfen.
- Reverse-Proxy- oder WAF-Logs unterdrückt werden sollen.
Wichtig: Der Domino-eigene OIDC-Provider (Domino kann selbst als IdP fungieren) unterstützt aktuell kein
form_post — wenn Domino-OIDC sich gegenseitig föderiert, immer bei Default belassen.Beispiel-Konfiguration
OIDC_LOGIN_RESPONSE_MODE_FORM_POST=1
Hinweise & Stolperfallen
- Standard ist
=0— nur aktivieren, wenn der Providerform_postim well-known-Endpoint listet, sonst fällt Domino aufqueryzurück oder der Login schlägt fehl.
- Prüfen, ob der Provider den Mode wirklich unterstützt:
https://provider/.well-known/openid-configurationaufrufen und Feldresponse_modes_supportedlesen.
- Voraussetzung: HTTP Bearer Authentication und Web-Login mit OIDC sind im betreffenden Internet Site-Dokument aktiviert.
- Mit
DEBUG_OIDCLogin=2lässt sich beobachten, welcher Response-Mode tatsächlich verhandelt wird.
- Wenn Domino selbst als OIDC-Provider fungiert (eigener IdP-Cluster): diesen Parameter NICHT setzen, da der Domino-Provider
form_postnicht ausliefert.
- Änderung wirkt nach Neustart des HTTP-Tasks bzw. via
set config OIDC_LOGIN_RESPONSE_MODE_FORM_POST=….
- Funktioniert nur auf Windows- und Linux-Servern.
- Sicherheits-Vorteil: Bei
form_posttaucht der Authorization Code nicht im Browser-history, in Web-Server-Access-Logs oder in Referer-Headern auf.
Quellen (HCL Product Documentation)
- HCL Domino 14.5.1 – Configuring OIDC-based SSO for web users: help.hcl-software.com/domino/14.5.1/admin/secu_config_oidc_based_sso_for_web.html