Suche
Close this search box.
Jobs

Abschaltung von Third-Party-Cookies und die SAP-Domänenharmonisierung: Was SAP-Kunden jetzt wissen müssen

Identity and Access Management Louis Bockel

Einleitung

Google hat angekündigt, die Unterstützung für Third-Party-Cookies (3PC) in Chrome bis zur zweiten Hälfte des Jahres 2024 zu beenden. Dies geschieht im Rahmen einer größeren Initiative, der sogenannten „Privacy Sandbox“, die darauf abzielt, die Privatsphäre der Nutzer zu verbessern und gleichzeitig relevante Werbung zu ermöglichen. Das Ende der 3PCs hat weitreichende Auswirkungen, die sich unter anderem auch auf die SAP-Welt auswirken werden.

Parallel dazu verfolgt SAP das Ziel, eine einheitliche Domäne für seine Cloud-Anwendungen zu etablieren, was zu einer Harmonisierung der verschiedenen Module führen wird. Dieser Blog informiert über die Hintergründe, die wichtigsten Informationen sowie mögliche Lösungen für diese bevorstehende Änderung.

Was sind Cookies und Third-Party-Cookies?

In der digitalen Welt sind Cookies ein wesentlicher Bestandteil des Surfens im Internet. Sie ermöglichen nicht nur die Speicherung von Benutzereinstellungen, sondern auch das Tracking von Benutzeraktivitäten über verschiedene Webseiten hinweg. Diese Fähigkeit wird jedoch bald eingeschränkt.

  • Cookies: Kleine Textdateien, die von Webseiten auf dem Gerät des Benutzers gespeichert werden, um Informationen über die Interaktionen des Benutzers mit der Webseite zu speichern. Dazu gehören beispielsweise Anmeldedaten, Seiteneinstellungen oder Warenkorbinhalte.
  • First-Party-Cookies: Diese werden direkt von der besuchten Webseite gesetzt und speichern Informationen wie Anmeldeinformationen oder Warenkorbinhalte.
  • Third-Party-Cookies (Drittanbieter-Cookies): Diese werden nicht von der besuchten Webseite selbst, sondern von Drittanbietern gesetzt. Sie werden häufig von Werbenetzwerken verwendet, um Benutzer über verschiedene Webseiten hinweg zu verfolgen und ihnen gezielte Werbung zu zeigen.

Cookies können potenziell genutzt werden, um Benutzeraktivitäten ohne deren Wissen zu verfolgen, was zu Datenschutzbedenken führt.

Die Privacy Sandbox Initiative

Das Ende von 3PCs hat weitreichende Auswirkungen auf das digitale Marketing und die Werbebranche, da es die Art und Weise verändert, wie Benutzerverfolgung und personalisierte Werbung funktionieren.

Die Privacy Sandbox-Initiative hat mehrere zentrale Ziele:

  1. Schutz der Privatsphäre der Nutzer: Verbesserung der Privatsphäre im Web, indem invasive Tracking-Methoden reduziert werden.
  2. Erhaltung der Werbefinanzierung: Schaffung eines Gleichgewichts zwischen Datenschutz und der Finanzierung des offenen Webs durch Werbung.
  3. Verhinderung von Fingerprinting: Bekämpfung von Techniken, die versuchen, Nutzer ohne deren Zustimmung zu identifizieren.
  4. Förderung von Transparenz und Kontrolle: Nutzern mehr Transparenz und Kontrolle über die Nutzung ihrer Daten geben.
  5. Schaffung neuer Webstandards: Entwicklung neuer, industrieweiter Standards, die von allen Browsern und Plattformen übernommen werden können.

Auswirkungen der Abschaltung von 3PCs

Die Abschaltung von Third-Party-Cookies hat weitreichende technische und betriebliche Auswirkungen:

  • Personalisierte Werbung: Ohne Third-Party-Cookies wird es schwieriger, Benutzer über verschiedene Webseiten hinweg zu verfolgen und ihnen personalisierte Werbung anzuzeigen. Werbetreibende müssen alternative Tracking-Methoden entwickeln.
  • Attribution: Das Zuweisen von Conversions zu bestimmten Marketingkanälen wird komplexer, da das geräteübergreifende Tracking eingeschränkt ist.
  • Weniger personalisierte Inhalte: Webseiten und Dienste können weniger Daten über Benutzerinteraktionen sammeln, was zu weniger personalisierten Inhalten und Empfehlungen führt.
  • Anmeldung und Authentifizierung: Häufigere Anmeldungen könnten erforderlich sein, da Sitzungsinformationen möglicherweise nicht so einfach geteilt werden können.

Warum wird es kritisch?

Einbindung von externen Inhalten

Wenn Inhalte von externen Seiten, wie beispielsweise über iFrames (oft der Fall mit Build Work Zone), eingebunden werden, können diese externen Seiten ebenfalls Cookies schreiben. Dies erlaubt derzeit ein Tracking über verschiedene Seiten hinweg, was sowohl für Werbezwecke als auch für das Benutzererlebnis wichtig ist.

SSO und Cross-Platform Funktionalitäten

Single Sign-On (SSO) ermöglicht es Benutzern, mit einem einzigen Login auf verschiedene, unabhängige Systeme zuzugreifen. Diese Funktionalität hängt oft von Third-Party-Cookies ab. Sobald diese abgeschaltet werden, wird SSO über verschiedene Plattformen nicht mehr wie gewohnt funktionieren.

API-Zugriffe und Session Cookies

Viele Anwendungen nutzen Session-Cookies, um auf geschützte Ressourcen über APIs zuzugreifen. Die Abschaltung der Third-Party-Cookies könnte auch diese Zugriffe beeinträchtigen.

Sind API-Integrationen betroffen?

Es gab Unklarheiten bezüglich der Auswirkungen auf API-Integrationen. Einige Quellen sagen: „Die Abschaltung betrifft nur die UI-Integration. API- und Secure File Transfer Protocol (SFTP)-Integrationen sind nicht betroffen.“

Was stimmt nun?

Obwohl die Abschaltung hauptsächlich die UI-Integration betrifft, sollten Unternehmen vorsichtig sein. Wenn APIs Session-Cookies verwenden und diese über verschiedene Domänen hinweg eingesetzt werden, könnten sie dennoch betroffen sein. Es ist daher empfehlenswert, alle Integrationen zu überprüfen und sicherzustellen, dass sie nicht von Third-Party-Cookies abhängig sind.

Die Harmonisierung der SAP Cloud Domänen

SAP hat den Prozess begonnen, eine einheitliche Domäne für seine Cloud-Anwendungen zu schaffen, beginnend mit SuccessFactors. Bisher haben verschiedene Module wie LMS, Onboarding und BizX unterschiedliche Domänen verwendet. Das Ziel ist es, diese unter der einheitlichen Domäne cloud.sap zu harmonisieren.

Diese Änderung wird voraussichtlich ab 2025 auch in anderen SAP-Cloud-Systemen durchgeführt, sodass alle Anwendungen dieselbe Domäne nutzen. Bereits jetzt ist es Administratoren möglich, in der SAP BTP die Domäne zu wählen, unter welcher der Service erreichbar sein soll, entweder ondemand.com oder cloud.sap. Sollten Sie nun dabei sein, einen BTP-Service zu etablieren, empfehlen wir Ihnen dringend, bereits die cloud.sap-Domäne zu verwenden, um späteren Migrationen auszuweichen.

Auswirkungen auf die Authentifizierung

SAML2 und OpenID Connect

Im Zusammenhang mit den von SAP angebotenen Services wie SuccessFactors ist es wichtig, dass die Metadaten für SAML2 zwischen dem SAP Cloud Identity Services Tenant und dem Service erneut ausgetauscht werden, sobald diese Änderungen umgesetzt werden.

Auch OpenID Connect (OIDC) bleibt von diesen Änderungen nicht unberührt. Im Zuge der Domänenharmonisierung durch SAP sollten Redirect URIs auf die neue cloud.sap-Domäne angepasst werden. Dadurch wird sichergestellt, dass die Autorisierungs- und Token-Anforderungen korrekt an die zentrale Domäne weitergeleitet werden.

APIs

Systeme, die die SAP-APIs verwenden, um von SAP Services oder der BTP Daten zu lesen oder zu schreiben, könnten durch diese Änderungen beeinträchtigt werden. Stellen Sie sicher, dass Sie zum Zeitpunkt der Migration alle Systeme identifiziert haben, die unter Umständen Zugriffe auf oder in Richtung der BTP und ihrer SaaS-Lösungen durchführen, und migrieren Sie dann alle Ihre Systeme nacheinander. Dies stellt sicher, dass die Authentifizierung weiterhin reibungslos funktioniert.

Der Zeitrahmen

  • Abschaltung der 3PCs: Google plant, die Third-Party-Cookies ab der zweiten Hälfte des Jahres 2024 endgültig abzuschalten.
  • SAP-Domänenharmonisierung: Die genauen Umstellungsdaten für SAP BTP und die anliegenden Services sind noch unklar, jedoch wird die Umstellung auf die einheitliche Domäne voraussichtlich im Jahr 2025 beginnen.

Lösungen und Migrationsstrategien

CHIPS und Storage Access API

Eine der vorgeschlagenen Lösungen ist die Verwendung von CHIPS (Cookies Having Independent Partitioned State). Mit CHIPS können Cookies nur auf der Seite verwendet werden, auf der sie gesetzt wurden, und nicht über mehrere Seiten hinweg. Zusätzlich ermöglicht die Storage Access API, dass unpartitionierte Cookies in allen Einbettungen genutzt werden können, als wären sie im Top-Level-Kontext gesetzt worden.

Aktuelle Informationen:

  • Ab dem 22. Mai 2023 ist die Storage Access API für alle SAP Cloud Identity Services Tenants verfügbar.
  • Wir empfehlen Ihnen, Ihre Anwendung zu testen. Weitere Informationen finden Sie hier:
  • Dies ist auch das, was Identity Authentication derzeit verwendet und unterstützt. Lesen Sie mehr unter:

Chrome for Testing

Um die Auswirkungen der Third-Party-Cookie-Abschaltung von Google zu testen, sollten Unternehmen die spezielle Version von Chrome for Testing verwenden. Diese Version ermöglicht es, die Änderungen zu simulieren und potenzielle Probleme frühzeitig zu identifizieren und zu beheben.

Chrome Enterprise Policies

Unternehmen können Chrome Enterprise Policies verwenden, um Cookies für spezifische Seiten zuzulassen.

Wichtig: Dies ist jedoch nur eine Übergangslösung und verschafft nur Zeit! Diese Funktion wird auch in den kommenden Quartalen nach Q1 2025 abgeschaltet.

Zentralisierte Domänen

Eine weitere Strategie ist, die Vereinheitlichung aller Integrationen unter einer gemeinsamen Domäne umzusetzen, was die Herausforderungen der Third-Party-Cookie-Abschaltung umgeht, da keine „Third-Party“-Cookies erstellt werden, sondern alles unter einer Domäne vereint ist.

Beispiele:

  • Microsoft Loop: Umstieg von loop.microsoft.com auf loop.cloud.microsoft.
  • SAP: Umstieg von ondemand.com und allen anderen Cloud-Domains auf cloud.sap.

Fazit & Handlungsaufruf

Die Abschaltung der Third-Party-Cookies durch Google und die Harmonisierung der SAP-Cloud-Domänen stellen bedeutende Änderungen dar, die viele bestehende Systeme und Anwendungen betreffen. Unternehmen müssen jetzt handeln und geeignete Strategien und Lösungen implementieren, um sicherzustellen, dass ihre Dienste weiterhin nahtlos funktionieren.

Sie können durch die Verwendung von Tools wie Chrome for Testing und die Implementierung von Technologien wie CHIPS und der Storage Access API sich auf diese Veränderungen vorbereiten und ihre Systeme anpassen.

Unternehmen sollten sofort damit beginnen, die Auswirkungen der 3PC-Abschaltung auf ihre Anwendungen zu ermitteln und entsprechende Maßnahmen zu ergreifen. Nutzen Sie die bereitgestellten Tools und Technologien, um sich auf diese bedeutenden Änderungen vorzubereiten. Verfolgen Sie die Entwicklungen und bleiben Sie auf dem Laufenden, um sicherzustellen, dass Ihre Systeme und Anwendungen weiterhin optimal funktionieren, auch nach der Abschaltung der Third-Party-Cookies durch Google und der Harmonisierung der SAP-Cloud-Domänen.

Hinweis: Um den Übergang zu erleichtern und den Anwendungsbetreibern mehr Zeit zu geben, eine endgültige Lösung zu implementieren, bietet Google die Möglichkeit, sich über einen Deprecation Trial von der Third-Party-Cookie-Abschaltung abzumelden.

Weitere offene Fragen

Q: Was sind die Auswirkungen auf die Trustbeziehungen zwischen den Cloud Identity Services und der BTP (Platform & Application IdP)?

A: Wir gehen davon aus, dass jede Trustbeziehung neu erstellt werden muss, sollte dies von SAP nicht automatisch umgesetzt werden. Daher empfehlen wir, beim Anlegen von Trustbeziehungen bereits heute darauf zu achten, die cloud.sap-Domäne zu verwenden.

Q: Wie wird SAP selbst in der Build Work Zone die iFrames umsetzen, um sie weiterhin gebräuchlich zu gestalten?

A: Dieser Punkt lässt viel Raum für Spekulationen. Möglicherweise wird von Seiten Google noch eine Lösung dieses Problems angeboten oder die Umsetzung erfolgt mittels der Storage Access API.

Common Super Domain

SAP SuccessFactors bietet die Common Super Domain-Funktion an, um die Auswirkungen zu mildern, die durch die Abschaffung von Third-Party-Cookies entstehen. Browseranbieter stellen die Unterstützung für Third-Party-Cookies ein, um neue Gesetze einzuhalten, die das Tracking von Browserverhalten durch Werbeunternehmen vermeiden sollen.

Diese Abschaffung betrifft SAP SuccessFactors-Produkte. Kunden müssen daher alle SAP SuccessFactors HCM Suite-Produkte sowie Produkte wie Learning (LMS), Employee Central Payroll (ECP) und Onboarding 1.0 (ONB1.0) migrieren.

Auswirkungen der Third-Party-Cookie-Abschaltung auf SAP SuccessFactors-Anwendungen

Die Abschaltung betrifft hauptsächlich die UI-Integration. API- und Secure File Transfer Protocol (SFTP)-Integrationen sind nicht betroffen.

  • User-Authentifizierung und Single Sign-On (SSO) könnten beeinträchtigt werden.
  • Eingebettete iFrames, bei denen Inhalte von einem der SAP SuccessFactors-Produkte geladen werden, könnten nicht laden.
  • Interne Produktintegrationen von SAP SuccessFactors könnten nicht funktionieren.
  • Externe Partner-UI-Integrationen könnten nicht funktionieren, und entsprechende iFrames könnten die Inhalte nicht laden.

Beispiel für die Verwendung der Common Super Domain

Angenommen, Benutzer greifen direkt auf SAP SuccessFactors-Anwendungen über die URL performancemanager.successfactors.eu zu. Verschiedene Produkte innerhalb der HCM Suite haben URLs, die auf unterschiedliche Domänen enden:

  • Learning (LMS): <companyID>.plateau.com
  • Onboarding 1.0 (ONB1.0): onboarding4.successfactors.eu
  • Workforce Analytics (WFA): analyticspreview.sapsf.com
  • Employee Central Payroll (ECP): <systemID>.payroll.ondemand.com

All diese URLs sind mit verschiedenen Domänen verbunden und werden im Kontext der SAP SuccessFactors-Anwendungs-URL als Drittanbieter betrachtet.

Seit 2H 2023 Release stellt SAP SuccessFactors eine automatisierte Lösung bereit, um Kunden und Partnern bei der Migration von den Legacy-Domänen zu einer neuen Common Super Domain zu helfen. Die URLs würden dann wie folgt aussehen:

  • Learning (LMS): <companyID>.hr.cloud.sap
  • Onboarding 1.0 (ONB1.0): onboarding4.hr.cloud.sap
  • Workforce Analytics (WFA): analyticspreview.hr.cloud.sap
  • Employee Central Payroll (ECP): <systemID>.payroll.hr.cloud.sap

SAP IAS Unterstützung

SAP IAS kann sowohl ondemand.com als auch cloud.sap-Zugriffe gleichzeitig unterstützen, und diese sind bereits verfügbar.

  • Die IAS-Tenant-ID bleibt gleich – das heißt, der Name unter Tenant Settings im IAS Admin Console ändert sich nicht.
  • Wenn der Name z.B. xxxx.xxxx.ondemand.com ist, bleibt er unverändert.
  • Wenn dieser Tenant-Name geändert wird, müssten alle Anwendungen, die mit diesem IAS verbunden sind, den SAML Issuer Name in jeder betroffenen Anwendung aktualisieren. Da viele Anwendungen mit einem einzigen IAS verbunden sein können, könnte eine solche Änderung erhebliche Auswirkungen auf den Betrieb der verbundenen Anwendungen haben.
  • Wenn Sie alle Anwendungen, die SAP IAS zur Authentifizierung verwenden, auf die gleiche Common Super Domain migrieren können, können Sie den Namen des IAS auf CSD ändern.

Weiterführende Artikel

Aufzeichnung der DSAG SAP Online-Session

Eine Aufzeichnung der DSAG SAP Online-Session zum Thema finden Sie hier:

DSAG SAP Online-Session Aufzeichnung

Louis Bockel
Letzte Artikel von Louis Bockel (Alle anzeigen)
Kontakt

Nehmen Sie Kontakt mit uns auf!

Haben Sie Fragen zu unseren Produkten?

+41 43 422 8803
[email protected]
+49 7656 8999 002
[email protected]
+1 855 594 84 64
[email protected]
+44 1454 838 785
[email protected]
Kontakt
Webinare

Besuchen Sie unsere Live-Webinare und lernen Sie von unseren Experten mehr zu SAP-Berechtigungen, XAMS, SAP IDM und zu vielen weiteren Themen im Kontext von SAP Security.

Hier anmelden