Ablösung von SAP IDM: Strategiewechsel am Horizont
Die Deadline rückt immer näher. Mit der Ankündigung von SAP, das End-of-Life für das SAP Identity Management auf den 31. Dezember 2027 festzulegen (mit der Option einer einmalig kostenpflichtigen verlängerten Wartung bis 2030), verbleiben vielen Unternehmen nur noch wenige Monate für einen Strategiewechsel. Eine gewaltige Herausforderung, die gleichzeitig aber auch die Chance mit sich bringt, mit Weitblick die technologischen Weichen für die Zukunft zu stellen.
Es ist das Ende einer Ära. Lange Zeit galt SAP IDM als das Rückgrat für die Verwaltung digitaler Identitäten in der Unternehmens-IT. Es bot eine zentrale Plattform für die Verwaltung von Benutzerzugriffen und Berechtigungen. Für viele war SAP IDM ein unverzichtbares Werkzeug, um die Komplexität moderner IT-Landschaften in den Griff zu bekommen. Mit der Entscheidung, die Wartung für das eigene Identity Management einzustellen, endet nicht nur ein erfolgreiches Kapitel in der Geschichte einer etablierten Softwarelösung. Sie markiert auch einen nur folgerichtigen Strategiewechsel – für SAP, die sukzessive ihre On-Premise-Systeme zugunsten des wachstumsstarken Cloud-Segments ablösen, und vor allem für ihre Kunden und Kundinnen, deren Ansprüche an eine zukunftsstarke IDM-Lösung mit den Jahren immer größer geworden sind.
Frühzeitig die Weichen für einen technologischen Neustart stellen
Gerade im Bereich der Cybersecurity ist die digitale Revolution rasant fortgeschritten. Durch die exponentielle Entwicklung neuer Technologien und sich dadurch ständig verändernde Geschäftsanforderungen stehen Unternehmen vor der Aufgabe, ihre Systeme immer wieder neu zu überdenken und anzupassen. Cloud-Services, eine automatisierte Compliance-Überwachung und anpassungsfähige Benutzerverwaltungssysteme sind nur einige Beispiele, die das traditionelle SAP IDM in den letzten Jahren an seine Grenzen gebracht haben. Dessen Ablösung markiert daher auch den Beginn einer neuen Ära, die von digitaler Effizienz, verstärkten Sicherheitsvorkehrungen und einer neuen Definition von Compliance geprägt ist.
Auch wenn bis 2027 noch etwas Zeit ist, gilt es, frühzeitig die technologischen Weichen für einen Neustart zu stellen. Der Wechsel zu einer alternativen IAM-Lösung ist insofern auch ein passender Zeitpunkt, um die eigene Aufbau- und Ablauforganisation zu optimieren, eine saubere Datenbasis zu schaffen, funktional zu „entschlacken“ und ohne Altlasten im neuen System durchzustarten. Zugleich sollten sich Unternehmen die Frage stellen, welches Softwarebereitstellungsmodell (hybrid oder aus der Cloud) für die nächsten Jahre das richtige ist.
Die strategische Entscheidung, SAP IDM abzulösen, spiegelt daher einen weitreichenden Ansatz wider, der nicht nur auf eine technologische Erneuerung abzielt, sondern auch eine solide Basis für zukünftiges Unternehmenswachstum schaffen soll. Ein zentrales Element in diesem Prozess ist die Einhaltung von Compliance-Vorschriften. In einer Welt, in der Datenschutzgesetze und Sicherheitsanforderungen immer strenger werden, ist es umso wichtiger, dass die gewählte Identitätsmanagement-Lösung flexibel genug ist, um mit gesetzlichen Änderungen Schritt zu halten und die Sicherheit sensibler Daten zu gewährleisten.
Roadmap – Von der Vorbereitung zur Migration
Der Weg zu einem neuen System ist allerdings auch mit Herausforderungen gepflastert, die ohne Umsicht und strategische Weitsicht nicht zu meistern sind. Die Auswahl einer Nachfolgelösung, die den zukünftigen Anforderungen des Unternehmens gerecht wird, ist hier nur der erste Schritt. Eine detaillierte Marktanalyse und eine klare Vision für die Integration in die bestehende IT-Infrastruktur sind unerlässlich. Die Migration selbst muss sorgfältig geplant werden, um technische Schwierigkeiten zu minimieren und den Geschäftsbetrieb nicht zu stören. Darüber hinaus sind die Einbindung der Mitarbeiterinnen und Mitarbeiter durch Schulungen und eine umfassende Kommunikation entscheidend für den Erfolg des Projekts.
Schließlich muss die neue Identitätsmanagement-Lösung nicht nur den aktuellen Anforderungen genügen, sondern auch zukunftssicher gestaltet sein. Das erfordert mehr als nur den Blick auf die Software. Auch die zugrundeliegenden Prozesse müssen vor der Einführung genau beleuchtet und optimiert werden. In einer schnelllebigen digitalen Welt kann die Fähigkeit, neue Technologien und Prozesse effizient zu integrieren, den Unterschied zwischen Marktführern und Nachzüglern ausmachen. Unternehmen, die diesen Wandel erfolgreich meistern, positionieren sich nicht nur als Vorreiter in Sachen Sicherheit und Effizienz, sondern schaffen auch eine solide Basis für Innovation und Wachstum.
Die nachfolgende Grafik beschreibt die wichtigsten Stationen auf dem Weg zu einer zukunftsstarken IDM-Lösung – von einem Assessment und einer fundierten Anforderungsanalyse über das Zeichnen des Big Pictures einer Zielarchitektur bis hin zur Entwicklung einer IAM-Strategie-Roadmap und zur Herstellerauswahl.
Bewährtes Best-Practice-Modell
Nach erfolgreicher Vorbereitung kann die eigentliche Migration starten, für die sich ein Best-Practice-Vorgehensmodell bewährt hat (Pilotphase, Organizational Change Management, Anpassung und Integration, Testphase, Parallelbetrieb und Übergang in Phasen). Eine wichtige Rolle nimmt dabei das Organizational Change Management ein, das alle Stakeholder frühzeitig abholen und mit regelmäßiger Kommunikation und entsprechenden Schulungen für das neue IAM-System begeistern soll.
Die Erfahrung zeigt, dass in Unternehmen, die bisher auf SAP IDM gesetzt haben, für die Vorbereitung und die eigentliche Migration eines neuen IAM-Systems je nach Komplexität der Unternehmensstrukturen gut 30 Monate veranschlagt werden können. Unternehmen sind daher gut beraten, frühzeitig branchenerfahrene Partner für die Konzeption und Umsetzung ins Boot zu holen.
Die Ablösung von SAP IDM erfordert strategische Weitsicht, die über den reinen Technologiewechsel hinausgeht. Sie ist eine grundlegende Neuausrichtung, die Unternehmen nicht nur für die digitalen Herausforderungen von heute, sondern auch für die unvorhersehbaren Chancen von morgen rüstet.
www.secusys.de
Waldemar Reimche, Geschäftsführer OEDIV SecuSys GmbH
Patrick Piotrowski (PP), Senior Business Consultant IAM und Sales Representative OEDIV SecuSys GmbH
Dr. Anke Schäfer (AS), Dr. Schäfer PR- und Strategieberatung
Patrick Piotrowski: „Überraschende Empfehlung“
AS: Auf den DSAG-Technologietagen im Februar 2024 verkündete SAP eine strategische Zusammenarbeit mit Microsoft. Mit Microsoft Entra ID und SAP Cloud Identity soll es zukünftig möglich sein, SAP IDM abzulösen. Eine gute Nachricht?
PP: Es ist überraschend, dass SAP, die in so vielen Bereichen mit Microsoft konkurriert, die Empfehlung an ihre SAP-IDM-Kunden gibt, das hauseigene Tool durch eine Lösung von Microsoft abzulösen. Die Überraschung verfliegt, wenn man betrachtet, wie eng die Zusammenarbeit der SAP und Microsoft im deutschsprachigen Raum gewachsen ist. Es bleibt einzigartig, dass ein Unternehmen explizit ein Produkt eines Wettbewerbers als Alternativprodukt zu ihrer sich dem End-of-Life nähernden eigenen Software benennt. Das zeugt davon, dass die Empfehlung nicht kundenorientiert, sondern vorrangig politisch motiviert ist.
AS: Gibt es Alternativen?
PP: Wer sich mit der Vielschichtigkeit des Identity & Access Managements befasst und den Markt der Lösungen kennt, kann nicht zu dem pauschalen Schluss kommen, dass Entra ID die Lösung für jeden SAP-IDM-Kunden sein kann. Ich behaupte, dass eine seriöse Herstellerauswahl bei 49 von 50 SAP-IDM-Kunden zu dem Schluss kommt, dass Entra ID nicht das führende System für die Identity Governance & Administration (IGA) sein kann oder sollte. Was nicht gleichbedeutend damit ist, dass Entra ID nicht eingesetzt werden soll. Vielmehr ist es wünschenswert, dass eine Integration zwischen einem leistungsfähigen IGA-System und Entra ID geschaffen wird, wenn sich die Organisation der Services der Microsoft-Cloud bedient.
„Auch in Kombination mit SAP-Produkten wird Entra ID kein vollwertiges IGA-System“
AS: Ist also eine kluge Kombination die Lösung?
PP: Leistungsfähige IGA-Systeme sollen nicht einfach die unzureichenden Funktionalitäten von Entra ID im IGA-Bereich abfedern. Damit meine ich die Unterstützung wichtiger GRC-Funktionalitäten, die Unterstützung verschiedener Identitätsquellen und -typen sowie die Harmonisierung dieser, die Unterstützung komplexer, systemübergreifender Berechtigungskonzepte, die oft fehlende Flexibilität bei Anpassungen und viele mehr. Das IGA als führendes System für die Verwaltung von sogenannten Workforce Identities und ihrer Zugriffe sowie Berechtigungen behält den ganzheitlichen Blick über die Identitäten, egal ob real oder digital. Entra ID hingegen kann das feingranulare Management der Microsoft-Ressourcen übernehmen und überwachen, um hier die oft geschäftskritischen Assets der Organisation besser zu schützen. Zudem muss sich eine Organisation auch über die kommerzielle Idee hinter der Empfehlung von SAP auf Entra ID zu wechseln im Klaren sein. Dass Entra ID für die meisten Kunden nicht genügt, ist SAP bekannt. SAP möchte dem Kunden ergänzend gern ihre Palette an Cloud-Produkten anbieten, die sich mit der Absicherung von Zugriffen befassen. Im Ergebnis bleibt: Auch in Kombination mit sämtlichen hier von der SAP angebotenen Produkten wird Entra ID zu keinem vollwertigen IGA-System. Und das Argument, dass Entra ID aufgrund der häufig bereits existierenden Lizenzen eine günstige Alternative darstellt, verfliegt, wenn man die Lizenzkosten der diversen SAP Cloud-Services, wie SAP Access Control, SAP Cloud Identity Access Governance und SAP Cloud Identity Service in die Kalkulation mit aufnimmt.
Dr. Schäfer PR- und Strategieberatung
Dr. Anke Schäfer
Arno-Esch-Str. 1
18055 Rostock
Telefon: +49 381 666 58 58
E-Mail: info@dr-schaefer-pr.de