SuccessFactors Identity: So funktioniert Cloud Identity für die Frontline

Warum SuccessFactors Identity gerade jetzt wichtig wird

SAP SuccessFactors fungiert in den meisten großen Unternehmen als führendes System für alle Mitarbeitendendaten. Ab dem 1. November 2026 müssen alle SuccessFactors Customers ihre Authentifizierung über den Identity Authentication Service IAS abwickeln, während der Identity Provisioning Service IPS die Sync Jobs zwischen SuccessFactors, On Premise Anwendungen und Cloud Anwendungen übernimmt. Basic Authentication und die direkte Integration mit Drittsystemen erreichten am 2. Juni 2025 das Ende der Wartung und werden am 1. November 2026 endgültig gelöscht.

Für HR- und IT-Teams hat das konkrete Folgen. Die Administration Console von SuccessFactors ist nicht länger der einzige Ort, an dem über Zugriff entschieden wird. Die Cloud-Identity-Schicht innerhalb der SAP Business Technology Platform steuert nun, wie sich Users anmelden, wie Identitäten provisioniert werden und wie Berechtigungen durch die gesamte cloud umgebung fließen. Zugriff, Autorisierung und User Management laufen an einer Stelle zusammen, und jedes relevante Identitäts-Event muss für Unternehmen, die Compliance ernst nehmen, nachvollziehbar bleiben.

Was SuccessFactors Identity tatsächlich umfasst

SAP Cloud Identity Services bilden die end to end lösung für Identity Management im SAP-Umfeld. Zwei Services tragen die Hauptlast und bündeln die Benutzerverwaltung an einer Stelle.

Der Identity Authentication Service IAS ist der Identity Provider. Er steuert die Authentication, unterstützt SAML 2.0 und ermöglicht Single Sign-On SSO über SuccessFactors, SAP Build, SAP S/4HANA und angebundene Geschäftsanwendungen hinweg. IAS bündelt Access Management an einer Stelle, erlaubt risikobasierte Authentifizierung und Multi-Faktor-Authentifizierung für sensible HR-Daten und macht den Zugriff von jedem Gerät aus möglich.

Der Identity Provisioning Service IPS, 2016 von SAP als eigenständiges Product veröffentlicht, ist die Provisioning-Engine. IPS übernimmt die Benutzerbereitstellung im großen Maßstab, automatisiert den Lebenszyklus von Benutzerkonten, führt Sync Jobs zwischen SuccessFactors und IAS aus und synchronisiert Identitäten und Gruppen mit Entra ID, Active Directory sowie On-Premise-Anwendungen. Der Service senkt Compliance-Kosten, weil er alle Informationen zum Identity Lifecycle Management für jeden Employee, jede Gruppen-Zuordnung und jeden Rollenwechsel sauber dokumentiert.

IAS und IPS beantworten gemeinsam eine unbequeme Frage: Wer darf was, in welchem System, zu welchem Zeitpunkt, und wie lässt sich das später belegen?

Cloud Identity Services treffen auf die Frontline-Realität

Die Standardgeschichte rund um SuccessFactors Identity ist für Bürobeschäftigte mit Username, Firmen-Mail und Laptop geschrieben. Operative Mitarbeitende passen selten in dieses Bild.

Rund 80 Prozent der globalen Arbeitskräfte arbeiten ohne festen Schreibtisch. Sie teilen sich Geräte, melden sich mitten in der Schicht an und können nicht zwanzig Minuten auf den IT-Support warten, wenn ein Passwort blockiert. Gartner hält in seiner aktuellen Empfehlung zur Authentifizierung von Frontline-Mitarbeitenden klar fest: Username und Password bleiben für operative Teams die häufigste Methode, obwohl sie die unsicherste und teuerste in der Verwaltung ist.

Die Forrester Wave zu Workforce Identity Security Platforms aus dem zweiten Quartal 2026 zeigt in dieselbe Richtung. Workforce Identity ist zur strategischen Säule der Cybersecurity geworden, getrieben durch Zero-Trust-Erwartungen und die Explosion nicht-menschlicher Identitäten wie Bots und Agents. Bis 2026 erwartet Gartner, dass nicht-menschliche Identitäten menschliche User um mehr als das Dreifache übertreffen.

Genau hier entsteht die Lücke. SuccessFactors Identity liefert dem HR-System einen sauberen Identity Provider. IPS hält User Groups im Gleichgewicht. Keiner der beiden Services sorgt allerdings dafür, dass sich das erste Anmelden einer Pflegekraft im Frühdienst so leicht anfühlt wie das Entsperren ihres Smartphones.

Best Practices für eine belastbare IAS- und IPS-Implementierung

Ein SuccessFactors-Identity-Upgrade, das auch dem ersten Audit standhält, folgt meistens denselben disziplinierten Schritten.

Der Einstieg läuft über das Upgrade Center in SuccessFactors. Es führt Administrierende durch Test, Aktivierung und Monitoring der Migration. HR-IT, Security und Betriebsrat gehören vom ersten Tag an in denselben Raum.

Der Identity-Fluss muss ehrlich kartiert werden. In den meisten Unternehmen ist SuccessFactors die Datenquelle, IAS wird zum Identity Provider, IPS schiebt Identitäten in Entra ID oder Active Directory weiter zu nachgelagerten Geschäftsanwendungen. Jedes Lifecycle-Ereignis braucht eine klare Herkunft, einen definierten Sync Job und eine Administration Console, die den Audit-Trail führt.

Sicherheit gehört konfiguriert, nicht voreingestellt. Ersetzen Sie BasicAuthentication durch ClientCertificateAuthentication zwischen Entra ID und SuccessFactors. Begrenzen Sie die SuccessFactors-API auf Microsoft-IP-Bereiche. Aktivieren Sie Real-Time-Sync für neue Mitarbeitende, damit Onboardees im Moment ihrer Anlage in IAS erscheinen.

Setzen Sie Multi-Faktor-Authentifizierung und risikobasierte Authentifizierung für alle Rollen ein, die mit sensiblen HR-, Lohn- oder Finanzdaten arbeiten. Für risikoarme Frontline-Szenarien sind einfachere Authentifizierungsmethoden vertretbar, sofern ein Upgrade-Pfad in Richtung biometrischer und passwortloser Features bereits mitgedacht wird. Die Verwaltung von Zugangsdaten und Ressourcen gehört in die Hände von HR-IT, nicht auf einen Zettel im Spind. Wer die einzelnen Steps in einer sauberen Prozess-Dokumentation festhält, gewinnt nicht nur Audit-Sicherheit, sondern auch Automatisierungs-Potenzial für jede künftige Integration.

Wo Frontline-Identity weiterhin bricht und was dagegen hilft

Selbst eine lehrbuchreife IAS- und IPS-Implementierung lässt eine stille Lücke offen. Ein Kommissionierender im Logistikzentrum hat selten ein Entra-ID-Passwort im Kopf. Eine Pflegekraft im Nachtdienst kämpft sich nicht durch einen Corporate-IDP-Log-in auf einem geteilten Tablet. Die Cloud-Identity-Schicht steht, doch der letzte Meter, vom System zum Menschen, fehlt.

Hier verdient sich eine Frontline-First-Schicht ihren Platz. Flip Identity sitzt auf SuccessFactors Identity, IAS und Entra ID auf und macht aus dem bestehenden Setup ein One-Touch-Erlebnis für operative Mitarbeitende. Beschäftigte authentifizieren sich in derselben App, in der sie ohnehin News, Chats, Lohnzettel und Schichtwünsche bearbeiten, während die IT die volle Kontrolle über die zugrunde liegende Identity Fabric behält.

Eine Zukunft, in der Identity das Betriebssystem für Arbeit wird

Die nächste KI-Welle wird Identity weiter aufwerten. Agents, die im Namen einer Person eine Abwesenheit melden oder einen Workflow in SAP auslösen, müssen exakt wissen, wessen Autorisierung sie tragen. SuccessFactors Identity, IAS und IPS liefern dafür das Rückgrat. Flip macht dieses Rückgrat für die Menschen nutzbar, die jeden Tag den Betrieb am Laufen halten. Unternehmen, die diese Schichten verbinden, überstehen den November 2026 nicht nur. Sie überholen still jene, die Identity noch als Ticket in einer Warteschlange behandeln.

Quellen: SAP Help Portal: Migration zu SAP Cloud Identity Services (Identity Authentication Service); Gartner: How to Authenticate Frontline Workers; Forrester Wave: Workforce Identity Security Platforms, Q2 2026.

FAQ: SuccessFactor Identity