Parameter:
OIDC_LOGIN_COOKIE_DURATION_SECKurzbeschreibung: Legt fest, wie lange (in Sekunden) die Cookies gültig sind, die den OIDC-Authentifizierungs-State während des Login-Flows zwischen Domino-Web-Server und OIDC-Provider aufrechterhalten. Standard: 120 Sekunden (2 Minuten).
Steckbrief
Parameter | OIDC_LOGIN_COOKIE_DURATION_SEC |
Kategorie | Security / TLS (OIDC / Web-SSO) |
Komponente | Server (HTTP-Task) |
Verfügbar seit | 14.0 |
Unterstützte Versionen | 14.0, 14.5, 14.5.1 |
GUI-Entsprechung | Nur notes.ini (keine GUI) |
Mögliche Werte | Ganzzahl 30–900 Sekunden — Standard: 120 (2 Minuten) |
Beschreibung
Beim Web-Login mit OIDC (OpenID Connect, Authorization Code Flow mit PKCE) leitet Domino den Browser des Users zum OIDC-Provider (z. B. Keycloak, Azure AD, Okta) weiter. Während dieser Umleitung muss Domino den Login-State zwischen Redirect zum IdP und Rück-Redirect zum Server zwischenspeichern — dies geschieht über kurzlebige State-Cookies im Browser.
Der Parameter
OIDC_LOGIN_COOKIE_DURATION_SEC definiert, wie lange diese State-Cookies gültig sind. Die Voreinstellung von 120 Sekunden ist für die meisten Umgebungen ausreichend, da der Login-Flow normalerweise innerhalb weniger Sekunden abgeschlossen ist.Anpassen sinnvoll, wenn:
- Kürzer (z. B. 30–60 s): Höhere Sicherheit — Login-Flow muss schneller abgeschlossen werden, kein „Liegenlassen" der Login-Seite möglich.
- Länger (z. B. 300–900 s): Wenn der OIDC-Provider eine zusätzliche MFA-Challenge erzwingt (z. B. Push-Notification, Hardware-Token), die User-seitig länger dauert; oder bei langsamen Netzwerkverbindungen.
Der Wert betrifft nicht die Lebensdauer der eigentlichen Domino-Session-Cookie nach erfolgreichem Login — diese wird über die normalen Session-Authentication-Einstellungen im Internet-Site-Dokument bzw. Server-Dokument konfiguriert.
Beispiel-Konfiguration
OIDC_LOGIN_COOKIE_DURATION_SEC=300
Hinweise & Stolperfallen
- Werte außerhalb des Bereichs 30–900 werden vom HTTP-Task abgewiesen bzw. auf den Default zurückgesetzt.
- Voraussetzung: HTTP Bearer Authentication und Web Login mit OIDC sind im betreffenden Internet Site-Dokument aktiviert.
- Funktioniert nur auf Windows- und Linux-Servern — Web-Login mit OIDC ist auf anderen Plattformen nicht unterstützt.
- Änderung wirkt nach Neustart des HTTP-Tasks (
restart task http) bzw. viaset config OIDC_LOGIN_COOKIE_DURATION_SEC=….
- In Verbindung mit
DEBUG_OIDCLogin=4lassen sich Cookie-Probleme detailliert auf der Server-Konsole nachvollziehen.
- Wenn der Wert zu kurz gewählt ist, sehen User die Fehlermeldung „authentication state expired" oder werden in eine Endlos-Redirect-Schleife geschickt.
- Bei mehreren Domino-Servern hinter einem Web-Proxy: Session-Affinity zwingend erforderlich, damit Login-Flow nicht zwischen zwei Servern aufgeteilt wird.
Quellen (HCL Product Documentation)
- HCL Domino 14.5.1 – Configuring OIDC-based SSO for web users: help.hcl-software.com/domino/14.5.1/admin/secu_config_oidc_based_sso_for_web.html