Seit Februar ist es amtlich: Die Wartung für die Lösung SAP Identity Management läuft 2027 aus, einen Nachfolger wird es aus Walldorf nicht geben. Bleibt die Frage, welche Alternativen SAP-Anwendungsunternehmen in Zukunft im Bereich Identity Governance and Administration (IGA) künftig haben?
Hendrik Winkler (consiness | Foto) zeigt in seinem Gastbeitrag auf, was Unternehmen bei der IGA-Transition beachten sollten und warum es trotz des näher rückenden Wartungsendes keinen Grund zur Panik gibt.
Das Identitäts- und Berechtigungsmanagement ist für viele Unternehmen ein wichtiger Aspekt der IT-Sicherheit und -Effizienz. Eine gängige Lösung dafür war und ist seit vielen Jahren das Java-basierte SAP Identity Management (SAP IDM), welches vor allem durch eine hohe Flexibilität bei der Integration von komplexen SAP-Systemen und Prozessen hervorstechen konnte.
SAP IDM-Nachfolger: SAP überlässt Microsoft das Feld
Spätestens im Februar dieses Jahres wurde Gewissheit, was sich über mehrere Jahre abgezeichnet hat: Die Tage für SAP IDM sind gezählt! Das Wartungsende für den zugrundeliegenden NetWeaver AS Java ist definitiv zum Ende 2027 festgesetzt worden und kann maximal, bei Bedarf, zahlungspflichtig auf das Jahr 2030 erweitert werden. Während bei stark verbreiteten Produkten, wie dem SAP Solution Manager mit Cloud ALM, bereits eine Nachfolger-Lösung am Markt positioniert wurde, hat sich SAP im Bereich Identity Governance and Administration (IGA) bis Anfang Februar bedeckt gehalten.
Erst mit der Keynote auf den DSAG-Technologietagen 2024 in Hamburg wurde sprichwörtlich die Katze aus dem Sack gelassen: SAP wird keine IDM-ebenbürtige Lösung für die Cloud entwickeln und das Feld an den Software-Partner Microsoft abgeben, welcher mit dem Cloud-Service Entra bereits exzellent im Markt positioniert ist.
Sind Identitätsdaten in der Cloud sicher?
Bevor sich Ihr Unternehmen jetzt ungesehen für einen Umzug zu Entra entscheidet, sollten Sie eine grundlegende Frage beantwortet haben: Sind Sie bereit, Identitätsdaten Ihres Unternehmens und ggfs. auch Ihrer Kunden in der Azure Cloud abzulegen? Für immer weniger Kunden wird dieser Paradigmenwechsel als problematisch angesehen. Zu sehr überwiegen die Effizienz-Vorteile und in vielen Fällen auch die Hochverfügbarkeit und Sicherheit, die eine Auslagerung von IT-Infrastruktur an hochspezialisierte Dienstleister nach sich zieht.
Dennoch kann nicht verschwiegen werden, dass es in regelmäßigen Abständen zu sogenannten Cloud-Security-Breaches [1,2] kommt, was für einige Anbieter ein existenzbedrohendes Szenario darstellt. Da sie mit ihrer Identitäts- und Berechtigungsverwaltung üblicherweise ein Einfallstor in die Systeme und somit auch in die Daten Ihrer gesamten IT-Infrastruktur schaffen, ist dieser Schritt gut abzuwägen. Dass aus dieser Gemengelage eine zögernde Haltung bei SAP-Kunden entsteht, bestätigt unter anderem auch der kürzlich erschienene Investitionsreport der DSAG Schweiz. Demnach sind 48 Prozent der SAP-Anwendungsunternehmen im DACH-Raum negativ gegenüber der S/4HANA-Cloud Strategie eingestellt. [3]
Wenn Sie zu diesem und weiteren Themen aus der SAP-Community informiert bleiben möchten, abonnieren Sie jetzt den IT-Onlinemagazin Newsletter.
IDM-Ablösung und IGA-Transition brauchen Zeit
Unabhängig von der Produktwahl sind bei einem Transitionsprojekt der IGA-Lösung mindestens 12, eher aber 24 Monate oder länger einzuplanen. Wobei dies nicht bedeutet, dass es keine Quick-Wins in den Projekten geben darf. Die Praxis zeigt: Je nach Komplexität der Prozess- und Aufbauorganisation bietet es sich an, in einem internen Pilotprojekt eine Lösung mit der minimal-notwendigen Konfiguration für einen abgegrenzten Bereich auszurollen. Diese Lösung wird anschließend entsprechend der Kundenbedürfnisse weiter angepasst und nach einem festen Zeitplan in der Fläche etabliert. Dabei ist nicht zu unterschätzen, welche Begehrlichkeiten und Anforderungen ein neuer Software-Rollout bei der Anwenderbasis zu Tage bringen kann. Dies begründet, warum erfolgreiche Projekte, welche sowohl den laufenden Betrieb-, als auch ein positives Feedback der Anwender sicherstellen, mit einem entsprechenden Zeitbudget ausgestattet werden sollten.
Kombiniert man das Wartungsende von SAP IDM mit den Vorüberlegungen bezüglich der Dauer eines IGA-Transitionsprojekts, ergibt sich ein Zeitraum von knapp ein bis zwei Jahren, in dem sich die meisten Unternehmen für eine neue Architektur entscheiden sollten. Sind die offiziell von SAP unterstützten Lösungen gesetzt, sollte man sich sowohl mit dem Produkt als auch der Referenzarchitektur [4] von Entra vertraut machen.
Ebenso wichtig ist es, die bestehenden Prozesse im Bereich IGA zu analysieren und zu bewerten, ob sie für eine Cloud-basierte Implementierung geeignet sind. Möglicherweise müssen einige Prozesse vereinfacht oder angepasst werden, um die Vorteile von Entra oder einer vergleichbaren Lösung optimal zu nutzen.
Microsoft Entra: Gibt es Alternativen?
Um eine fundierte Entscheidung für eine neue IGA-Architektur zu treffen, ist es empfehlenswert, sich zunächst mit der Produktlandschaft und den Möglichkeiten von Entra vertraut zu machen. Entra bietet Testversionen an, mit denen potenzielle Kunden die Lösung in ihrer eigenen Umgebung ausprobieren können. Falls Unternehmen bereits Entra im Einsatz haben – und sei es nur, um Azure, SharePoint oder Office 365 Konten zu steuern – kann testweise eine Integration mit SAP-Systemen implementiert und die Funktionen bzw. Restriktionen abgesteckt werden. Welche Funktionalitäten aus der Kooperation zwischen Microsoft und SAP entstehen, bleibt jedoch noch abzuwarten.
Ist ein Umzug in die Cloud aus verschiedenen Gründen noch keine Option, kann innerhalb der bestehenden On-Premises Architektur auf SAP Governance, Risk Management und Compliance (GRC) Access Control gesetzt werden. Was eigentlich als Compliance-Werkzeug konzipiert wurde, lässt sich dank der Komponenten Access Risk Management (ARM) und Business Role Management (BRM) auch zur Verwaltung von Nutzerkonten und Berechtigungen verwenden. Diesen Ansatz haben schon in der Vergangenheit etliche Kunden verfolgt. Sie können sich mit der Ankündigung des neuen Release „SAP GRC edition for HANA“ für 2026 in ihrer Produktauswahl bestätigt fühlen.
Jenseits des SAP-Ökosystems bleibt der IDM-Markt umkämpft
Falls Unternehmen bisher vollkommen auf das SAP-Ökosystem gesetzt haben, könnte ihnen bei der Anzahl möglicher Alternativlösungen nahezu schwindelig werden. Ein Blick über den SAP-Tellerrand hinaus führt in einen stark umkämpften Markt von Lösungen, die in den vergangenen Jahren bzw. Jahrzehnten alle ihre Daseinsberechtigung verdient haben.
Unterschieden wird auch in diesem Fall zwischen On-Premises Lösungen und dem moderneren Ansatz über Cloud-Services. Wobei „modern“ in diesem Fall nicht unbedingt bedeutet, dass diese eher für Ihre Anforderungen geeignet sind. Komplexe Produkte wie One Identity und SIVIS sind aufgrund ihrer Architektur in der Lage, auch stark SAP-spezifische Integrationsszenarien umzusetzen. Dies geht jedoch häufig mit einem hohen Entwicklungsaufwand einher. Auf der anderen Seite stehen hoch-standardisierte Cloud-Services wie die Omada Identity Cloud. Diese setzen grundsätzlich darauf, alle notwendigen Funktionen zur Verfügung zu stellen – ohne die Notwendigkeit tiefgreifender Anpassungen.
Grundsätzlich werden Kunden von SAP IDM bei einer Markanalyse auf Produkte treffen, die moderner sind und im Auslieferungszustand signifikant mehr Funktionen enthalten. Dies geschieht jedoch in fast allen Fällen auf Kosten der Flexibilität in der Implementierung, vor allem wenn es darum geht, besondere, SAP-spezifische Integrationsszenarien umzusetzen.
IDM-Ablösung in Sicht – aber einen Königsweg gibt es nicht
Unternehmen, die nach einem modernen und zukunftsfähigen Ersatz im Bereich IGA suchen, müssen sich einen Überblick über die vielfältigen Angebote auf dem Markt verschaffen und ihre Bedürfnisse klar definieren. Dabei spielen Faktoren wie die Integration mit SAP, die Anpassung an Cloud-Umgebungen oder die Standardisierung der Prozesse eine Rolle. Auch die Ankündigung der Kooperation mit dem Software-Giganten Microsoft lässt leider noch viele Fragen offen.
Inwiefern die von SAP vorgeschlagene Architektur einen ernsthaften Ersatz für SAP IDM darstellen kann oder besser auf Lösungen von spezialisierten IGA-Anbietern zurückgegriffen werden sollte, bleibt weiterhin eine Entscheidung, die erst nach sorgfältiger Analyse und Planung getroffen werden sollte. Für Bestandskunden von SAP IDM besteht jedoch kein Grund zur Panik: Der Zeithorizont von mindestens drei Jahren sollte ausreichend Spielraum für eine fundierte Produktauswahl und ein gelungenes Transitionsprojekt bieten.
Quellen:
[1] Artikel Techtarget, 15.10.2021
[2] Fortune.com, 30.06.2021
[3] Pressemitteilung DSAG-Investitionsreport 2024: Schweiz, 21.03.2024
[4] community.sap.com, 06.02.2024