Seit Anfang des Jahres 2024 liefert SAP neue SuccessFactors-Instanzen (SF) mit der neuen Common Super Domain (CSD) aus (wir berichteten auf unserem Blog). Auch damit verbundene Systeme fallen in das Scope der Umstellung, bspw. SAP Identity Authentication Services (IAS) und die SAP Analytics Cloud (SAC). Im März 2025 hat die SAP nun die Embedded Analytics Cloud global auf die neue Domain umgezogen. Da die Option zur Migration älterer SF-Systeme auf die CSD aktuell (Stand März 2025) von der SAP weiterhin zurückgehalten wird, ergeben sich bestimmte Kombinationen, die unter Umständen in der Kommunikation zwischen den Systemen zu Authentifizierungs-Fehlern führen können.
Hinweis: Dieser Blogbeitrag behandelt die Problemstellung für SF-Benutzer, welche sich nicht über das unternehmensinterne Single Sign-On, sondern mit Benutzername & Passwort über den IAS User-Store anmelden.
Auftreten des Fehlers
Eine dieser Kombinationen, welche in den letzten Wochen durch die automatische SAC-Umstellung vermehrt aufgetreten sind, möchten wir in diesem Beitrag näher beleuchten:
Die SuccessFactors-Instanz ist älter als Sommer 2023, das SAP Analytics Cloud Upgrade wurde im Q1 2024 durchgeführt bzw. die SAC wurde per Patch automatisch auf die neue Domain transportiert.
Als Resultat hieraus läuft SF noch über die Legacy Domain, während die (embedded) SAC bereits über die CSD läuft. Das Problem für die Benutzer, die sich mit einer alternativen URL über den IAS-User Store anmelden (https://<IAS Tenant Id>.accounts.ondemand.com/saml2/idp/sso?sp=https://www.successfactors.com/<SF Company Id>&idp=https://…), tritt erst im Report Center innerhalb der SF Instanz auf. Beim Öffnen oder Erstellen eines vorhandenen Story-Reports erscheint im oberen Bereich des Fensters die SAP Ladeanimation, welche aber den Anwender auch nach mehreren Minuten nicht zum Report weiterleitet.
Behebung von Account-bezogenen Fehlern
Folgende Punkte können Sie als SF Anwender prüfen, um sicherzugehen, dass das Problem nicht am eigenen Benutzeraccount liegt:
- Stellen Sie sicher, dass für die laufende Browser-Sitzung die Drittanbieter-Cookies zugelassen sind. Alternativ können Sie auch in den Browsereinstellungen die Basis-URL Ihres SF-Systems als immer zugelassene Seite für Cookies hinterlegen. Für die deutschen Datenzentren sind es folgende URLs (legacy oder CSD):
- https://performancemanager5.successfactors.eu oder https://hcm-eu20.hr.cloud.sap (DC33)
- https://hcm55.sapsf.eu oder https://hcm-eu30.hr.cloud.sap (DC55)
- https://performancemanager.successfactors.eu oder https://hcm-eu10.hr.cloud.sap (DC57)
- Führen Sie als Administrator im SF Prüftool die beiden Validierungsprüfungen „Benutzer ist in PPersonenanalysen korrekt für Stories konfiguriert“ und „Benutzerdatensatz für „Stories in Personenanalysen“ vorhanden“ für den betroffenen User aus. Sollten hier Fehler auftreten, befolgen Sie bitte die Anweisungen in den Fehlerdetails, prüfen Sie die Konfiguration des Users und führen Sie ggfs. einen User-Resync im IAS durch.
Behebung bei Domain-Schiefstand
Sollten beide Maßnahmen nicht weiterhelfen, müssen die Domain-Zugehörigkeiten geprüft werden. Den Stand der SF-Instanz können Sie über die o.g. URLs prüfen. Die URL der angebundenen SAC kann über den Identity Provisioning Service (IPS) im entsprechenden Target System in den Properties eingesehen werden.
Hierbei können zwei Kombinationen auftreten: Entweder befindet sich SF noch auf der Legacy Domain und die SAC bereits auf der CSD oder beide Systeme laufen bereits auf der CSD, aber der Anwender verwendet noch eine veraltete URL zum Login.
In beiden Fällen muss eine aktuelle IAS User-Store-URL zum Login verwendet werden. Bitte beachten Sie, dass unter Umständen in der SF-Applikation im IAS weiterhin die alte URL ausgegeben werden kann. In diesem Fall muss die URL manuell aktualisiert werden. Dies ist aufgrund der eingerichteten Weiterleitungen seitens der SAP problemlos möglich:
https://<IAS Tenant Id>.accounts.ondemand.com/saml2/idp/sso?sp=https://www.successfactors.com/<SF Company Id>&idp=https://…
⬇️
https://<IAS Tenant Id>.accounts..cloud.sap/saml2/idp/sso?sp=https://www.successfactors.com/<SF Company Id>&idp=https://…
Hinweis: Man muss nur den vorderen URL-Part mit der IAS Tenant Id aktualisieren. In der URL erscheint die IAS Tenant Id nochmals im hinteren Teil, diesen sollte man nicht verändern.
Loggen Sie sich nun mit der neuen URL wie gewohnt ein, sollte das Story Reporting wieder ohne längere Ladeanimation zur Verfügung stehen.
Für weitere Beratung und Support stehen Ihnen unsere Berater gerne zur Verfügung.
Matthias Schmitt arbeitet bei ORBIS People im Bereich SAP SuccessFactors mit den Schwerpunkten Employee Central, Identity Authentication Services & Plattform.