Parameter:
OIDC_LOGIN_ENABLE_REDIRECTKurzbeschreibung: Steuert, ob Domino-Anfragen an die alte OIDC-Login-URL (
/names.nsf?OIDCLogin) automatisch auf den neuen, empfohlenen Endpunkt /auth/protocol/oidc weitergeleitet werden. Standard: aktiviert (1).Steckbrief
Parameter | OIDC_LOGIN_ENABLE_REDIRECT |
Kategorie | Security / TLS (OIDC / Web-SSO) |
Komponente | Server (HTTP-Task) |
Verfügbar seit | 14.0 |
Unterstützte Versionen | 14.0, 14.5, 14.5.1 |
GUI-Entsprechung | Nur notes.ini (keine GUI) |
Mögliche Werte | 0 = Redirect deaktiviert 1 = Redirect aktiviert (Standard) |
Beschreibung
Mit der Einführung des Web-Logins mit OIDC in Domino 14.0 wurde der Login-Endpunkt vereinheitlicht: Statt der alten URL
https://server.example.com/names.nsf?OIDCLogin wird der modernere Endpunkt https://server.example.com/auth/protocol/oidc empfohlen — er ist konsistenter mit anderen OAuth/OIDC-Implementierungen und ermöglicht klarere Trennung zwischen Authentifizierung und Anwendungs-URLs.Damit bestehende Lesezeichen, Mail-Links und gespeicherte Redirect-URIs in OIDC-Provider-Konfigurationen weiter funktionieren, leitet Domino mit
OIDC_LOGIN_ENABLE_REDIRECT=1 (Standard) automatisch von der alten URL auf den neuen Endpunkt weiter.Wichtig: Die Weiterleitung erfolgt nur, wenn der betreffende Internet Site für Web-Login mit OIDC aktiviert ist. Das ermöglicht Mischbetrieb auf demselben Server: Site A nutzt klassische Passwort/Passkey-Authentifizierung mit
/names.nsf?Login, Site B nutzt OIDC — die Redirect-Logik beachtet diese Trennung.Auf 0 setzen, wenn:
- Das Verhalten der alten URL beibehalten werden soll (legacy Integrationstests).
- Eine eigene Reverse-Proxy-Regel die Umleitung übernimmt.
- Auf Server-Seite explizit nur die neue URL erlaubt sein soll und die alte einen 404 zurückgeben soll.
Beispiel-Konfiguration
OIDC_LOGIN_ENABLE_REDIRECT=0
Hinweise & Stolperfallen
- Standard ist
=1— der Parameter muss nur explizit gesetzt werden, wenn das Verhalten abgeschaltet werden soll.
- Voraussetzungen für Web-Login mit OIDC generell:
- HTTP Bearer Authentication ist im Internet Site-Dokument aktiviert.
- Session-Authentifizierung ist im Reiter „Domino Web Engines" aktiviert.
- Internet Site ist im OIDC Provider-Dokument in
idpcat.nsfausgewählt.
- Beim Konfigurieren des OIDC-Providers (z. B. Keycloak, Azure AD): Beide Redirect-URIs in der Client-Konfiguration registrieren — die alte UND die neue Form — solange Übergangsphase läuft. Empfohlen wird ausschließlich die neue Form
/auth/protocol/oidc.
- Für mehrere Domino-Server hinter einem Web-Proxy mit demselben Internet Site: zusätzlich
DominoSessionCookieUniqueNames=1setzen, damit sich Single-Server-Cookies nicht überschreiben.
- Mit
DEBUG_OIDC_LOGIN_REDIRECT=1werden Redirect-Entscheidungen detailliert auf der Server-Konsole protokolliert.
- Änderung wirkt nach Neustart des HTTP-Tasks bzw. via
set config OIDC_LOGIN_ENABLE_REDIRECT=….
- Funktioniert nur auf Windows- und Linux-Servern.
- OIDC SSO und SAML SSO sind gegenseitig exklusiv — auf einem Internet Site kann nur eine der beiden Methoden aktiv sein.
Quellen (HCL Product Documentation)
- HCL Domino 14.5.1 – Configuring OIDC-based SSO for web users: help.hcl-software.com/domino/14.5.1/admin/secu_config_oidc_based_sso_for_web.html