SAP Odata für SuccessFactors: Abkündigung des /oauth/ipd Endpunkts

Digitalisierung, Plattform und IAS, SAP SuccessFactors

Im Rahmen des SAP SuccessFactors Releases 2H 2022 wurde die Abkündigung des OAuth-IdP-Endpunkts /oauth/idp bekanntgegeben.

Dieser Endpunkt diente API-Nutzern bislang dazu, über POST-Operationen SAML-Assertions zur Authentifizierung zu generieren, welche dann wiederum zur Generierung von Bearer Token verwendet wurden. Da hierfür jedoch private Schlüssel per API-Aufruf übermittelt werden mussten, entspricht diese Methode nicht mehr den aktuellen Sicherheitsstandards. Aus diesem Grund wird der Endpunkt von SAP außer Betrieb genommen. In diesem Rahmen empfiehlt SAP, künftig auf sichere Alternativen zur Generierung von SAML-Assertions zurückzugreifen.

Wichtige Meilensteine:

  • End of Development: 09. Dezember 2022
  • End of Support: 02. Juni 2023
  • Endgültige Abschaltung: 14. Mai 2027
    • Anmerkung: Die ursprüngliche Abschaltung war für den 14. November 2025 geplant, wurde aber im Juli 2025 verschoben.

Seit der Ankündigung ist die Nutzung des Endpunkts für Neukunden bereits nicht mehr möglich. Bestehende Integrationen werden spätestens zum Abschaltdatum deaktiviert.

Sind Sie als SF-Kunde davon betroffen?

Auf der SuccessFactors Instanz selbst stehen keine Logs zur Verfügung, die eine Nutzung des Endpunkts /oauth/idp bestätigen könnten. Alle von SAP bereitgestellten Standardintegrationen, die mit SuccessFactors kommunizieren, verwenden diesen Endpunkt bereits nicht mehr oder werden entsprechend angepasst.

Einen Hinweis auf potenziell betroffene Schnittstellen kann ein Blick auf das SF-Tool “OAuth2-Client-Anwendungen verwalten” geben. Sind hier Einträge vorhanden, liegen Schnittstellen vor, die sich über SAML Assertions authentifizieren. Für unternehmensspezifische Integrationen, die nicht von SAP ausgeliefert wurden, empfehlen wir, intern mit den zuständigen Ansprechpartnern Rücksprache zu halten, um zu prüfen, ob der Endpunkt /oauth/idp noch verwendet wird. Ein bekannter Use Case in unserem Kundenkreis ist beispielsweise die digitale Personalakte von Aconso, welche über eine Oauth Schnittstelle daten mit SF austauscht.

Potentielle Lösungen für SF-Schnittstellen ohne den Einsatz der Integration Suite

Da dieser Endpunkt zur Generierung von SAML-Assertions genutzt wurde, stellen wir Ihnen im Folgenden alternative, sichere Methoden vor, mit denen Sie weiterhin API-Anfragen an SuccessFactors durchführen können:

1. SAP Identity Authentication Services

Die SAP Identity Authentication Services (IAS) gehen bereits seit mehreren Jahren Hand in Hand mit SF Instanzen, sei es zur Umsetzung von Single Sign On oder für das erweitere Reporting Tool “Story Reporting”.
Somit stehen jeder SF Instanz auch die vielfältigen Einsatzmöglichkeiten des IAS zur Verfügung. Für unseren Use Case ist hierbei relevant, dass das IAS für Oauth Schnittstellen als Provider für die Erstellung von SAML Assertions genutzt werden kann. Über erweiterte OpenID Applications innerhalb des IAS werden Tokens generiert, die dann für Odata Queries verwendet werden können.
Unsere Berater stehen Ihnen für eine Umstellung auf Assertion Generierung über das IAS zur Verfügung.

2. Alternative 3rd Party Identity Provider

Welcher Identity Provider von Drittanbietern am besten zu Ihrem spezifischen Szenario passt, steht Ihnen frei zur Entscheidung. Microsoft Azure wird hierbei als Beispiel genannt, da es auch für Single Sign On einer der am weitesten verbreiteten Identity Provider im SAP Umfeld ist.

3. SAP Integration Suite – Cloud Integration

Eine besonders naheliegende Alternative ist der Einsatz der SAP Integration Suite (Cloud Integration, vormals CPI). Sie übernimmt die Rolle einer sicheren Middleware und ermöglicht es, API-Anfragen weiterhin zuverlässig an SuccessFactors zu senden – ohne den inzwischen veralteten /oauth/idp-Endpunkt.

Die Cloud Integration unterstützt dabei mehrere Authentifizierungsmechanismen:

  • Basic Authentication
    Diese Variante ist schnell und unkompliziert einzurichten. Über Benutzername und Passwort lässt sich die Verbindung zur SuccessFactors API herstellen. Sie eignet sich vor allem für einfache oder temporäre Szenarien, sollte jedoch aufgrund der eingeschränkten Sicherheit und des administrativen Aufwands bei Passwortwechseln nicht als langfristige Lösung genutzt werden.
    • Anmerkung: Basic Authentication wird von SuccessFactors nur noch bis Q4 2026 unterstützt. Näheres hierzu erfahren Sie in Kürze auf unserem Blog.

  • OAuth 2.0 SAML Bearer Assertion (empfohlen)
    Mit dieser Methode wird die Authentifizierung zukunftssicher umgesetzt. Die Cloud Integration erzeugt die benötigte SAML Assertion selbstständig und tauscht sie direkt beim /oauth/token-Endpunkt von SuccessFactors gegen ein gültiges Token ein. Damit entfällt die bisherige Abhängigkeit vom /oauth/idp-Generator. Kunden profitieren von einer automatisierten, standardkonformen und von SAP vollständig unterstützten Lösung.

Mehr als nur Authentifizierung – warum sich Cloud Integration lohnt

Die Stärke der Cloud Integration liegt nicht nur in der sicheren Verbindung zu SuccessFactors. Sie bringt zusätzliche Funktionen mit, die Unternehmen helfen, ihre Integrationslandschaft langfristig flexibler und zukunftsfähiger aufzustellen:

  • Transformation und Mapping
    Daten können auf dem Weg von A nach B angepasst werden. So lassen sich etwa Felder umbenennen, Werte konvertieren oder Datenformate vereinheitlichen – ohne dass Quell- oder Zielsysteme angepasst werden müssen.
  • Integration von Drittanbietersystemen
    Cloud Integration ist nicht auf SAP-Systeme beschränkt. Auch externe Anwendungen wie Zeiterfassung, Payroll- oder Dokumentenmanagementsysteme lassen sich direkt anbinden. Damit kann SuccessFactors in eine deutlich größere Prozesslandschaft eingebettet werden.
  • Custom Logic
    Bei Bedarf können eigene Regeln und Logiken in die Integrationsflows eingebaut werden. So lassen sich beispielsweise Prüfungen, Berechnungen oder Sonderfälle berücksichtigen, bevor Daten weitergeleitet werden.
  • Zentrale Sicherheit und Governance
    Zugangsdaten werden im Credential Store sicher abgelegt, Schnittstellen zentral überwacht und Fehlerprotokolle einheitlich bereitgestellt. Das reduziert manuellen Aufwand und sorgt für Transparenz.
  • Skalierbarkeit und Erweiterbarkeit
    Neue Schnittstellen können Schritt für Schritt ergänzt werden, ohne dass bestehende Prozesse gestört werden. Damit ist die Plattform auch für zukünftige Anforderungen vorbereitet.

Kurz gesagt: Mit Cloud Integration erhalten Unternehmen nicht nur eine sichere Möglichkeit, die Authentifizierung in SuccessFactors umzustellen, sondern auch ein flexibles Werkzeug, um unterschiedlichste Systeme und Geschäftsprozesse miteinander zu verbinden – vom einfachen Datenaustausch bis hin zu komplexen Integrationsszenarien.

Unsere Empfehlung

Prüfen Sie, welche Ihrer bestehenden Integrationen noch auf /oauth/idp basieren, und planen Sie eine zeitnahe Migration. Viele Kunden verfügen bereits über eine Lizenz für die SAP Integration Suite im Rahmen ihrer Paketverträge, sodass in vielen Fällen keine zusätzlichen Kosten entstehen. Mit der Umstellung gewinnen Sie nicht nur eine zukunftssichere Authentifizierung, sondern zugleich die Möglichkeit, Ihre Schnittstellenarchitektur zu modernisieren – mit zentralem Monitoring, sicherem Credential-Management und der Option, auch Nicht-SAP-Systeme einzubinden.

Bei Fragen zu den in diesem Beitrag behandelten Themen helfen Ihnen unsere Berater gerne weiter.

Ein Blogbeitrag von Matthias Schmitt & Serhat Emrek.

Ähnliche Beiträge:

  1. Abkündigung der EC-Funktion „Inaktive Mitarbeiter erneut einstellen“ in SAP SuccessFactors
  2. Warum SAP SuccessFactors Kunden ihre Integrationen auf OAuth umstellen sollten
  3. Änderung in den SuccessFactors Geschäftsregel-Szenario „Klassisch“
  4. Neues Personenprofil im SAP SuccessFactors Release 2H2024