DEBUG_SAML – SAML-Diagnose für den Domino-Webserver

Parameter: DEBUG_SAML

Kurzbeschreibung: Aktiviert die Debug-Ausgabe für SAML-Authentifizierung auf dem Domino-Webserver. HCL empfiehlt DEBUG_SAML=31 für allgemeine Diagnose und DEBUG_SAML=287 zusätzlich bei SSL/TLS-Zertifikatsfehlern.

Steckbrief

Parameter	DEBUG_SAML
Komponente	Server (Domino-Webserver)
Kategorie	Logging / Debug
Verfügbar seit	Domino 9.0.x; offiziell dokumentiert in KB0086631 (Applies to: 9.0.x, 10.0.x, 11.0.x und höher)
Wertformat	Bitmaske als Ganzzahl
HCL-Empfehlung allgemein	`DEBUG_SAML=31`
HCL-Empfehlung mit SSL/TLS	`DEBUG_SAML=287`

Beschreibung

DEBUG_SAML schaltet das SAML-Tracing der Domino-HTTP-Komponente ein. In der Konsole bzw. console.log erscheinen u. a. Details zu eingehenden SAML-Requests, IdP-Discovery, Assertion-Inhalten, Signaturprüfung, Username-Mapping und Vault-Zugriffen.

Laut HCL Customer Support (KB0086631) gibt es im Wesentlichen zwei sinnvolle Stufen:

Stufe 1 – Allgemeine SAML-Diagnose


DEBUG_SAML=31
WEBAUTH_VERBOSE_TRACE=1

Guter Startwert für neue SAML-Implementierungen und für alle Probleme rund um Login, Username-Resolution und IdP-Anbindung. WEBAUTH_VERBOSE_TRACE=1 ergänzt die Auflösung des Notes-/Person-Namens aus der SAML-Assertion.

Stufe 2 – SAML + SSL/TLS-Zertifikatsfehler


DEBUG_SAML=287
DEBUG_XML_DSIG=65535

Wird HCL Support gemeldet, dass es zwischen Domino und dem IdP zu Zertifikats- oder Signaturproblemen kommt, ist diese Variante zu wählen. DEBUG_XML_DSIG=65535 aktiviert maximales Tracing der XML-Digital-Signature-Verarbeitung.

Stufe 3 – SAML mit ID-Vault

Wenn die Anmeldung den ID-Vault einbezieht, werden auf beiden Servern (Webserver und Vault-Server) folgende Parameter zusätzlich gesetzt:


DEBUG_SAML=31
DEBUG_IDV_QVAULT=3
DEBUG_IDV_CONNECT=1
DEBUG_IDV_TRACE=1
DEBUG_IDV_TrustCert=1
DEBUG_IDV_ViewUpdate=1
DEBUG_IDV_API=1
DEBUG_IDV_IDP_CONFIG=1

Console-Log-Größe anpassen

Da die SAML-Debug-Ausgabe sehr verbose ist, empfiehlt HCL die Anhebung der maximalen Logdatei-Größe (Default 10 MB):


CONSOLE_LOG_MAX_KBYTES=50000

Beispiel – minimale SAML-Diagnose


Console_Log_Enabled=1
DEBUG_THREADID=1
DEBUG_SAML=31
WEBAUTH_VERBOSE_TRACE=1
CONSOLE_LOG_MAX_KBYTES=50000

Hinweise

Nur für Web-SSO – DEBUG_SAML diagnostiziert SAML-basiertes Web-Login am Domino-HTTP-Stack. Für Notes Federated Login im Notes-Client gibt es separate Debug-Settings (siehe HCL KB0038983).

Nach der Diagnose abschalten – Die SAML-Debug-Ausgabe ist sehr umfangreich; im Produktivbetrieb DEBUG_SAML=0 setzen oder den Eintrag entfernen, sobald die Analyse abgeschlossen ist.

Konsolen-Befehl – set config DEBUG_SAML=31 schaltet das Tracing ohne Server-Restart ein; set config DEBUG_SAML=0 schaltet es wieder ab.

Files für HCL Support – Bei einem Support-Ticket sind laut KB0086631 mitzuliefern: IBM_Technical_Support/console.log, notes.ini, idpcat.nsf, names.nsf (inkl. Server-Dokument, Internet Sites, Web SSO Configuration, Policy/Policy Settings).

Begleitparameter – Console_Log_Enabled, Console_Log_Max_Kbytes, DEBUG_THREADID, WEBAUTH_VERBOSE_TRACE, DEBUG_XML_DSIG, DEBUG_IDV_*.

Quellen (HCL Product Documentation)

HCL Customer Support – KB0086631 "Debug settings for SAML authentication with Domino web server" (definiert DEBUG_SAML=31, DEBUG_SAML=287, ID-Vault-Erweiterungen und CONSOLE_LOG_MAX_KBYTES=50000; Applies to: Domino 9.0.x, 10.0.x, HCL Domino 11.0.x und höher): support.hcl-software.com/csm?id=kb_article&sysparm_article=KB0086631

HCL Customer Support – KB0038983 "Debug settings for Notes Federated Login" (Pendant für den Notes-Client): support.hcl-software.com/csm?id=kb_article&sysparm_article=KB0038983

HCL Domino 14.5.1 – NOTES.INI Settings (Übersicht): help.hcl-software.com/domino/14.5.1/admin/conf_notesinisettings_c.html