Die Tragweite des End-of-Life von SAP IdM ist nicht zu unterschätzen. Adnovums Senior IAM Engineer Axel Schild hat uns bereits eine detaillierte Beschreibung der zahlreichen Herausforderungen gegeben, die aus der Einstellung der weitverbreiteten SAP-Lösung entstehen. Zusammen mit seinem Kollegen Pascal Blöchlinger, Expert IAM Engineer, gibt er nun im Interview einen konzisen Überblick über die Materie und beantwortet die brennendsten Fragen betroffener Unternehmen und Organisationen.
Um es kurz zusammenzufassen: Was genau ist SAP IdM?
Axel: SAP IdM ist die Identity-Management-Lösung für das SAP-Ökosystem. Mit ihr wird der Joiner-Mover-Leaver-Lebenszyklus von Benutzenden verwaltet, z. B. um ihre elektronischen Identitäten zu erstellen, wenn sie einer Organisation beitreten, um ihnen je nach Rolle Zugriffsrechte zu gewähren oder zu entziehen, oder um ihre Konten zu deaktivieren, wenn sie die Organisation verlassen. Damit ist es ein wichtiges Instrument für das Identity und Access Management, sowie für die Einhaltung gesetzlicher Vorschiften. Es ist jedoch speziell auf SAP-Anwendungen ausgerichtet, wobei es manchmal auch für die Verwaltung anderer Anwendungen genutzt wird.
Pascal: Viele Unternehmen und Organisationen aus verschiedensten Branchen nutzen derzeit SAP IdM, vor allem wenn sie sich stark auf SAP-Produkte verlassen.
Was geschieht derzeit mit SAP IdM?
Axel: SAP hat angekündigt, die Weiterentwicklung von SAP IdM einzustellen: Die regelmässige Wartung wird 2027 enden, wobei die Möglichkeit besteht, den Support kostenpflichtig bis 2030 zu verlängern.
Pascal: Alle Unternehmen, die SAP IdM nutzen, müssen bis dahin einen geeigneten Ersatz gefunden haben. Ohne regelmässige Updates werden Bugs und Schwachstellen nicht mehr behoben. SAP IdM ohne Support weiterzuverwenden, wäre daher ein grosses Risiko, und kann auch Probleme im Hinblick auf gesetzliche Vorschriften bringen.
Aber bis 2027 ist es noch lange hin – warum sollte man sich jetzt schon Sorgen machen?
Pascal: Es nimmt sehr viel Zeit in Anspruch, einen Ersatz für SAP IdM zu finden und auch umzusetzen. Die richtige Vorgehensweise ist der Schlüssel, um mit den Daten in der gesamten Organisation effizient und sicher umzugehen.
Axel: Identity Administration and Governance, kurz IGA, ist ein Thema, das überall immer mehr an Bedeutung gewinnt. Das End-of-Life von SAP IdM ist eine Chance, eine kohärente IGA-Lösung zu implementieren, die aktuelle und zukünftige Anforderungen erfüllt – nicht nur für SAP-Produkte, sondern für alle Anwendungen in einer Organisation. Und wenn wir von «zukünftigen Anforderungen» sprechen, meinen wir, dass die IGA-Lösung noch leicht bis 2035 oder sogar darüber hinaus einsatzfähig ist. So bringt eine gute IGA-Lösung dauerhafte Vorteile, während eine schlechte IGA-Lösung ein ständiges Hindernis sein kann.
Pascal: Deshalb ist die Ablösung von SAP IdM ein wichtiges Projekt, das über SAP-Produkte hinausgeht und Zeit braucht. Du musst mit einer Vision beginnen: Wie wird sich die Organisation entwickeln, wie wird sich deine Anwendungslandschaft verändern, und welche Fähigkeiten in der IGA wird sie in Zukunft benötigen?
Axel: Sobald das «Was?» geklärt ist, musst du das «Wie?» beantworten. Diese Frage hat technologische, aber auch organisatorische und prozessuale Aspekte, die berücksichtigt werden müssen: Ist das derzeitige Rollenmodell geeignet? Wie können wir sicherstellen, dass alle Nutzende nur die Zugriffsrechte haben, die sie benötigen? Was lässt sich automatisieren? Wie können wir Daten innerhalb der Organisation und mit Partnern teilen? Wie viel SAP werden wir in Zukunft tatsächlich nutzen? Dann gilt es, geeignete IGA-Produkte zu finden, zu bewerten und zu integrieren.
Pascal: All diese Schritte benötigen Zeit: Je nach Grösse und Komplexität einer Organisation braucht es leicht ein Jahr, bis man eine Vision definiert bzw. aktualisiert sowie eine Strategie gefunden hat. Für die Planung und Auswahl der Instrumente braucht es eventuell einige Monate mehr. Die Umsetzung wiederum dauert ein halbes bis ein Jahr, weitere Feinabstimmungen noch gar nicht eingerechnet. Bei all dem ist es schon bei einem sofortigen Beginn eine Herausforderung, bis Ende 2027 einen Nachfolger für SAP IdM erfolgreich zu integrieren.
Axel: Es ist also genau das Richtige, sofort über die Ablösung von SAP IdM zu sprechen!
Gibt es Herausforderungen, auf die man in dieser frühen Phase achten sollte?
Pascal: Du musst weit in die Zukunft denken. Für welchen Ersatzlösung du dich auch entscheidest, sie wird wahrscheinlich noch eine Weile laufen – es geht nicht nur darum, wie sich dein Unternehmen bis jetzt entwickelt hat, sondern auch darum, wie es sich in den nächsten fünf oder zehn Jahren entwickeln wird. Du musst jetzt schon vorhersehen, was du im Jahr 2040 an IGA-Funktionen benötigen wirst.
Axel: Ausserdem muss klar sein, dass das Projekt alle Bereiche einer Organisation betrifft. Daher gibt es viele Interessengruppen. Es ist aufwendig, alle Ansichten zu berücksichtigen, das ist aber die Grundlage für eine funktionierende IGA-Lösung.
Wie wählt man die richtige Ersatzlösung aus?
Axel: Du findest nur dann die richtige Ersatzlösung, wenn du weisst, welche Fähigkeiten benötigt werden. Auf der Grundlage dieser Fähigkeiten ermittelst du die Anforderungen an eine Lösung, vergleichst verschiedene Angebote und bewertest Produkte und Anbieter.
Die Faktoren, die bei dieser Entscheidung eine Rolle spielen, sind die Komplexität des Setups, wie schnell sich die Lösung umsetzen lässt, die vorhandenen Komponenten, die Migrationskosten, die Betriebskosten, der Support des Anbieters und die Abwägung zwischen Anpassungsaufwand und Effizienzsteigerung durch Automatisierung. Wenn bereits eine IGA-Lösung parallel zu SAP IdM läuft, sollte man auch prüfen, ob diese als Ersatz für SAP IdM in Frage kommt und ob sie die zukünftigen Anforderungen erfüllen kann.
Es gibt mehrere Alternativen, die in Betracht gezogen werden können, aber die bekannteste scheint derzeit EntraID zu sein – warum ist das so?
Pascal: SAP selbst bewirbt EntraID als potenziellen Ersatz für SAP IdM. Ein Vorteil von EntraID ist, dass viele Unternehmen bereits eine Lizenz besitzen: Wenn du Office-365-Lizenzen hast, ist EntraID bereits enthalten. Ausserdem ist es eine der ausgereiftesten cloudbasierten Lösungen für die Authentifizierung und wird weiterentwickelt. Es gibt aber auch Einschränkungen: Es verfügt möglicherweise nicht über alle Funktionen, die man sich wünscht, insbesondere im Hinblick auf die Verwaltung von Identitäten über den gesamten Lebenszyklus hinweg, und man wird vielleicht noch abhängiger von Microsoft.
Axel: Es gibt viele andere IGA-Produkte auf dem Markt, die alle unterschiedliche Vor- und Nachteile haben. Welches Produkt oder welche Produktkombination die richtige ist, hängt sehr stark von der individuellen Situation eines Unternehmens ab. Die einfache Empfehlung «Nimm EntraID!» ist hier sicherlich nicht angebracht.
Pascal: Man muss auch wissen, dass die Zugangsverwaltung in SAP relativ komplex ist. IGA-Produkte unterstützen dies in unterschiedlichem Masse: Einige Produkte verfügen über einen speziellen SAP-Connector mit umfangreichen Funktionen, während andere «out-of-the-box» nur eine geringe Unterstützung für SAP bieten.
Wie läuft der Migrationsprozess ab?
Pascal: Idealerweise beginnt er mit einer Pilotphase. In dieser Phase wird die neue Lösung nur für bestimmte Prozesse und Gruppen implementiert. Nach und nach werden dann immer mehr Anwendungsfälle, Gruppen und Applikationen in die neue Lösung integriert. Das alte System sollte parallel weiterlaufen, bis die Umstellung abgeschlossen ist, um als Ausweichsystem zur Verfügung zu stehen. Bei der Migration ist es entscheidend, Betriebsunterbrechungen zu vermeiden, da diese sehr kostspielig sein können.
Axel: Es ist wichtig zu überprüfen, ob die gewählte Lösung wie gewünscht funktioniert. Daher ist es eine gute Idee, eine Migration mit den wichtigsten Anwendungsfällen zu beginnen, damit diese zuerst validiert werden können, ohne nach unnötigen Zeit- und Kosteninvestitionen auf eine Blockade zu stossen. Alternativ können einfache Anwendungsfälle zuerst migriert werden, während komplexere Anwendungsfälle später folgen, aber das ist etwas riskanter.
Pascal: Unabhängig davon, für welchen Ansatz man sich entscheidet – das Feedback aus der Pilotphase hilft dabei festzustellen, welche Prozesse oder Abhängigkeiten übersehen wurden.
Welche weiteren Risiken sind mit der Migration verbunden?
Axel: Es drohen Betriebsstörungen, wenn die Migration nicht gut geplant ist und Anwendungen aufgrund fehlender Zugriffsrechte unzugänglich werden. Und es besteht immer ein finanzielles Risiko: Zum einen wird der externe und vor allem auch der interne Arbeitsaufwand leicht unterschätzt, da es sich nicht nur um den Ersatz eines Tools durch ein anderes handelt – ganze Prozesse und Organisationsstrukturen müssen verändert werden, um die Vorteile der neuen IGA-Lösung voll auszuschöpfen. Zum anderen führt ein günstiges Angebot eines Anbieters oft zu Folgekosten, wenn die Funktionalität des Produkts oder der Integrationsdienst selbst unzureichend ist.
Pascal: Der Schlüssel ist, sich von internen Fachleuten und gegebenenfalls von externen Consultants richtig beraten zu lassen und einen erfahrenen Integrator auszuwählen, der nachweislich die Bedürfnisse seiner Kunden in den Vordergrund stellt.
Welche Chancen und Möglichkeiten ergeben sich durch eine neue Lösung?
Pascal: Eine gut konzipierte IGA-Lösung mit dem richtigen Implementierungsprojekt, das Aspekte der Technologie und der Prozesse berücksichtigt, birgt viele potenzielle Vorteile für Sicherheit und Effizienz. Dies führt zu einem höheren Grad an Automatisierung, Standardisierung und Wartungsfreundlichkeit und ermöglicht die Umsetzung aktueller Best Practices im Bereich der Datensicherheit.
Axel: Eine grosse Chance eines solchen Projekts ist die Neubewertung der vorhandenen IGA-Prozesse, z.B. um Pain Points zu finden und zu beseitigen. IGA wird oft als Belastung angesehen, aber eine gute Lösung kann ein Enabler für Datenschutz und Datenaustausch sein und eine nahtlose Teamarbeit innerhalb einer Organisation und mit externen Partnern ermöglichen. Automatisierung und Selfservices verringern den Arbeitsaufwand mancher Teams, sodass sie sich auf die Wertschöpfung konzentrieren können.
Was ratet ihr den Unternehmen, die sich mit diesem Problem auseinandersetzen müssen?
Axel: Ich denke, der wichtigste Punkt ist, früh damit anzufangen. Der gesamte Prozess wird viel Zeit, Energie und Ressourcen kosten. Je früher man damit beginnt, desto mehr Möglichkeiten stehen offen, desto weniger Stress wird es geben und desto besser wird die Lösung.
Pascal: Du musst langfristig und über SAP hinaus denken. Deine nächste IGA-Lösung wird für eine lange Zeit laufen und sollte kein Hindernis sein, sondern dabei helfen, die gesamte Anwendungslandschaft optimal zu verwalten – egal, ob sie von SAP oder von einem anderen Anbieter stammt, on-premises oder cloudbasiert ist, oder was sonst noch benötigt wird.
