Parameter:
WebSSO_Force_HTTPSKurzbeschreibung: Erzwingt, dass WebSSO-LTPA-Cookies ausschließlich über HTTPS gesetzt und akzeptiert werden (
Secure-Flag)Steckbrief
Parameter | WebSSO_Force_HTTPS |
Kategorie | Security / TLS |
Komponente | Server |
Verfügbar seit | 10.0 |
Unterstützte Versionen | 10.0, 11.0, 12.0, 14.0, 14.5, 14.5.1 |
GUI-Entsprechung | Nur notes.ini (keine GUI) |
Mögliche Werte | 0 = auch HTTP erlaubt, 1 = nur HTTPS (empfohlen) |
Beschreibung
WebSSO läuft typischerweise über LTPA- oder Domino-Auth-Tokens, die im Browser als Cookie gespeichert werden. Mit
WebSSO_Force_HTTPS=1 setzt Domino das Secure-Attribut, sodass Browser das Cookie ausschließlich über TLS-verschlüsselte Verbindungen übermitteln – elementare Schutzmaßnahme gegen Session-Hijacking in offenen Netzen.In produktiven Umgebungen sollte der Wert nahezu immer auf
1 stehen.Beispiel-Konfiguration
WebSSO_Force_HTTPS=1
Hinweise & Stolperfallen
- Funktioniert nur, wenn HTTPS auf allen beteiligten Servern aktiv ist (sonst werden Benutzer ausgeloggt).
- Ergänzt sich mit
LTPA_TokenName,WebSSO_Token_*, Cookie-Domain im WebSSO-Konfig-Dokument.
- Bei Mischbetrieb (HTTP + HTTPS Vhost) sorgfältig testen.
- Reverse-Proxy muss
X-Forwarded-Protokorrekt setzen.
- Änderung wirkt nach Restart des HTTP-Tasks (
tell http restart).