<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=2171572209666742&amp;ev=PageView&amp;noscript=1">
Blog

SAP IDM End-of-Life: Wie Sie das zentrale Kraftwerk Ihrer SAP-Stadt ersetzen

7 Min. Lesezeit

Zwei Mitarbeitende arbeiten an einem Whiteboard an einem Konzept

Für Unternehmen und Organisationen auf der ganzen Welt sind die Softwareprodukte von SAP die digitale Grundlage für ihre Geschäftsabläufe und Kundenbeziehungen. Doch eine wichtige Säule für den Schutz sensibler Daten innerhalb dieser Prozesse, SAP Identity Management, nähert sich dem Ende ihres Lebenszyklus. Erfahren Sie bei uns, was das für Sie bedeutet und wie Sie sich auf das Ende von SAP IDM vorbereiten können.

In den kritischen Prozessen Ihrer Organisation werden Daten verarbeitet, die geschützt werden müssen: Nur berechtigte Personen dürfen auf sensible oder vertrauliche Informationen zugreifen. Eine geeignete Lösung ist erforderlich, um Identity Governance und Administration (IGA) umzusetzen – d.h. alle technologischen Aspekte, organisatorischen Massnahmen und Prozesse, die für einen sicheren Umgang mit digitalen Identitäten erforderlich sind, und ebenso alle Facetten des Identity und Access Management (IAM).

Ein Eckpfeiler der IGA für SAP-Produkte ist SAP Identity Management (SAP IDM). Seit der Einführung als SAP NetWeaver Identity Management im Jahr 2007 hat SAP IDM die Provisionierung von Benutzenden automatisiert, eine rollenbasierte Zugriffskontrolle etabliert sowie Prüf- und Berichtsfunktionen innerhalb des SAP-Ökosystems bereitgestellt. So hat SAP IDM geholfen, Daten zu sichern sowie Gesetze und Vorschriften einzuhalten.

Jedoch wird die Wartung von SAP IDM im Dezember 2027 eingestellt, mit der Option, den Wartungsservice kostenpflichtig bis Ende 2030 zu verlängern. Jeglicher Einsatz nach diesem Zeitpunkt wäre wegen fehlender Sicherheits-Patches und ausbleibendem Support höchst riskant – folglich muss SAP IDM ersetzt werden. Hinzu kommt, dass das Thema IGA seit 2007 massiv an Bedeutung gewonnen hat, da die Verwaltung digitaler Identitäten und ihrer Zugriffsrechte wegen der gestiegenen Anforderungen an die Datensicherheit wesentlich komplexer geworden ist. Heute befindet sich IGA im Spannungsfeld zwischen Sicherheit, Effizienz und Benutzerfreundlichkeit, und SAP IDM durch eine Lösung zu ersetzen, die den aktuellen und zukünftigen Anforderungen gerecht wird, ist eine nicht zu unterschätzende Herausforderung. 

SAP IDM End-of-Life: Bald gehen die Lichter aus

SAP IDM zu ersetzen ist mit dem Austausch des zentralen Kraftwerks einer Stadt zu vergleichen – die Nachfolgelösung muss viele Jahre lang halten, sie muss die gesamte Stadt versorgen und sie muss ohne Unterbruch eingeführt werden. Der Wechsel bedarf daher einer gründlichen Planung, einer angemessenen Berücksichtigung aktueller und künftiger Bedürfnisse und ausreichend Zeit für die Umsetzung. Dabei kann viel schief gehen:

Grafische Darstellung der nachfolgend aufgezählten Punkte: Datenschutzverletzungen, Betriebsstörungen und übersehene Anforderungen.

  • SAP IDM ist ein wichtiges Instrument für Sicherheit und Compliance. Fehler in der Austauschphase ziehen oft Sicherheitsprobleme nach sich wie falsch zugewiesene Zugriffsrechte, Verstösse gegen gesetzliche Vorschriften und Datenschutzverletzungen, indem zum Beispiel sensible persönliche Daten Unbefugten zugänglich gemacht werden.
  • Da SAP IDM für den Zugriff auf SAP-Software unerlässlich ist, sind bei der Migration auf eine neue Lösung eine Reihe von Betriebsstörungen möglich. Dazu gehören Fehler beim Start von Softwarekomponenten, Probleme bei der Anmeldung oder Dienste, die nicht verfügbar sind, was sich auf Geschäftsprozesse und Produktivität auswirkt. Manuelle Eingriffe können notwendig sein, gehen aber mit einem gewissen Risiko unbeabsichtigter Nebenwirkungen einher. Solche Massnahmen sind oft auch nur als vorübergehende Lösung gedacht, geraten aber häufig im Laufe der Zeit in Vergessenheit und führen dann zu langfristigen operativen Problemen. Legacy-Komponenten bergen weiteres Störungspotenzial, wenn ihre Anforderungen an Identitätsbereitstellung und Zugangskontrolle nicht angemessen berücksichtigt werden .
  • Generell ist die Integration einer neuen IGA-Lösung in bestehende SAP-Systeme und Geschäftsprozesse ein grosses Unterfangen. Wenn man den Planungsaufwand unterschätzt oder nicht alle notwendigen Stakeholder einbezieht, sind eventuell drastische Verzögerungen oder sogar das Scheitern des gesamten Projekts die Folge, vor allem falls zentrale Anforderungen übersehen werden.

Wie man eine reibungslose Ablösung ermöglicht

Die Optionen

Das Ende von SAP IDM ist nicht nur eine Herausforderung, sondern auch eine Chance. Die gesetzlichen Anforderungen an den Datenschutz sind in den vergangenen Jahren gestiegen und die Sicherheitsbedrohungen haben sich weiterentwickelt. Das Thema IGA ist komplexer und wichtiger geworden und betrifft eine Vielzahl von Identitäten. Selbst bei kleinen Fehlern, zum Beispiel beim Umgang mit privilegierten Zugriffsrechten, sind Verletzungen der Datensicherheit möglich. Die Folgen können drastisch sein, sowohl im Hinblick auf unmittelbare finanzielle Verluste als auch auf verlorenes Kundenvertrauen.

Mit einer guten Planung jedoch können Unternehmen eine IGA-Lösung einführen, die Sicherheitsbedürfnisse optimal mit Effizienz und Benutzerfreundlichkeit vereint, die Weiterentwicklung des Unternehmens fördert und aus der misslichen Ausgangslage einen Wettbewerbsvorteil macht. Einige der Vorteile moderner Lösungen:   

Grafische Darstellung der nachfolgend aufgezählten Punkte: Best Practices, bessere Integration, Ki-gestützte Verbesserungen, Einhaltung gesetzlicher Vorschriften.

  • Es besteht die Möglichkeit, aktuelle Best Practices für die Identitätsverwaltung zu übernehmen, etwa eine Kombination aus rollen-, attribut- und richtlinienbasierter Zugriffskontrolle. Damit lassen sich ein effizientes Berechtigungsmanagement, regelmässige Zugriffsüberprüfungen, die Durchsetzung des Least-Privilege-Prinzips und eine automatisierte Verwaltung von Identitätslebenszyklen unter einen Hut bringen. Das vereinfacht nicht nur die IGA in der Praxis erheblich, sondern verringert auch gleichzeitig das Risiko von Datensicherheitsvorfällen. Denn weniger Komplexität führt zu weniger Fehlern.
  • Mit den richtigen Tools und dem richtigen Design gelingt eine bessere Integration der SAP-Software in die gesamte IGA einer Organisation, was es ermöglicht, IGA-Prozesse zu optimieren und Kapazitäten für andere Aufgaben freizumachen. 
  • Aufkommende Trends wie KI-gestützte IGA können in Betracht gezogen, evaluiert und potenziell einfacher umgesetzt werden.
  • Veränderungen der regulatorischen Rahmenbedingungen in den vergangenen Jahren können von Anfang an berücksichtigt werden, zum Beispiel durch automatisierte Audits, Compliance-Berichte und Warnmeldungen bei ungewöhnlichen Aktivitäten. Dadurch lässt sich die gesamte Infrastruktur einfacher verwalten und nutzen.

Planung der nächsten Schritte

Die Planung für eine neue IGA-Lösung von SAP und SAP-nahen Komponenten umfasst mehrere Schritte:

  • Beginnen Sie früh genug mit der Planung, denn die Angelegenheit ist dringend, nimmt Zeit in Anspruch und ist von zu grosser Wichtigkeit. Änderungen der IGA können sich über Jahre und über die gesamte Organisation hinweg positiv oder negativ auswirken, daher sollten sie nicht unter zu grossem Zeitdruck erfolgen. Vermeiden Sie so gut wie möglich Probleme in letzter Minute. Bedenken Sie auch, dass Sie zu einem späteren Zeitpunkt wahrscheinlich nur schwer an externe Beratung und Integrationsunterstützung kommen. Ein realistischer Fahrplan für den Übergang sollte so bald wie möglich erstellt werden.
  • Das Projekt ist auch politisch, da die Veränderung viele Interessengruppen in der Organisation betrifft. Diese sollten daher angemessen berücksichtigt werden.
  • Überprüfen Sie die geschäftlichen Anforderungen, insbesondere die aktuellen und künftigen Anforderungen an das Identitätsmanagement in Bezug auf Sicherheit, Datenschutz, dem Trend zur Cloud-Adoption, neuen Geschäftsmodellen und mehr.
  • Besprechen Sie intern und mit Experten die Empfehlungen von SAP in Bezug auf Lösungen wie die Integration mit Entra ID und die Verwendung von SAP Cloud Identity Service. Vergleichen Sie die Funktionen und Vorteile der Empfehlungen von SAP mit denen einer anderen IGA-Lösung, die SAP- und SAP-fremde Software unterstützt. Viele etablierte Anbieter (z.B. One Identity, ForgeRock, Okta) stellen solche Produkte bereit, aber die Funktionalitäten unterscheiden sich teilweise doch beträchtlich.
  • Ziehen Sie eine Umstellung auf cloudbasierte Systeme in Betracht, sowohl bei SAP-Produkten als auch bei IGA-Lösungen.
  • Beachten Sie, dass es sich bei der Ablösung von SAP IDM nicht nur um einen Wechsel des Softwareprodukts handelt. Eine neue und verbesserte Lösung für die IGA aufzubauen, ist eine Frage der Technologie sowie der richtigen organisatorischen Massnahmen und Prozesse. Sich ausschliesslich auf die Technologie zu konzentrieren, kann das Integrationsprojekt und die endgültige Lösung stark beeinträchtigen.

Wie viel Zeit für die Planung, Bewertung und Umsetzung benötigt wird, hängt vom Ausgangspunkt Ihrer Organisation ab. Verfügen Sie bereits über eine klare Strategie für die Entwicklung der IGA-Lösung? Sind Ihre Anforderungen an eine IGA-Lösung vergleichbar einfach? Haben Sie bereits gut etablierte IGA-Prozesse?

Wenn Sie dreimal mit «Ja» geantwortet haben, lässt sich der gesamte Übergang eventuell innerhalb eines Jahres abwickeln. Wenn Ihre IGA-Bedürfnisse komplex sind und Sie noch keine IGA-Strategie haben (oder in Ihrer Organisation vielleicht nicht einmal ein Bewusstsein für deren Bedeutung besteht) oder wenn eine strukturierte IGA noch in den Kinderschuhen steckt und möglicherweise unternehmensweite Änderungen erforderlich sind, dann kann es leicht zwei Jahre oder mehr in Anspruch nehmen, SAP IDM zu ersetzen.

Ein Zeitstrahl, der zwei Übergangsszenarien vergleicht: Das erste mit dem Ausgangspunkt „geringe Komplexität und gute Vorbereitung“ umfasst die Schritte Update der IAM-Strategie, Lösungen evaluieren und eine Lösung umsetzen, und dauert etwa ein Jahr. Das zweite, „hohe Komplexität und wenig Vorbereitung“, umfasst die Schritte Entwicklung der IAM-Strategie, Lösungen evaluieren und eine Lösung umsetzen, und kann bis zu 2 Jahre oder länger dauern.

Die Wahl einer passenden Lösung

SAP macht zwar Vorschläge, wie man SAP IDM ersetzen kann, aber jedes Unternehmen hat seine eigene Struktur und speziellen Anforderungen. Für die einen mag es der richtige Weg sein, sich auf Microsoft Entra und die SAP-Identitäts-Cloud-Services zu verlassen, während andere von einer zentralen Identitätsmanagement- und -verwaltungslösung als Herzstück ihrer IGA massiv profitieren würden. Es gibt dazu eine lange Liste von Fragen, die zu klären sind, zum Beispiel:

  • Wie gut erfüllt eine Lösung moderne Sicherheitsstandards wie Multi-Faktor-Authentifizierung, Zero Trust, Conditional Access und rollenbasierte Zugriffskontrolle?
  • Wie einfach und nahtlos ist die Integration mit SAP-Produkten wie SAP ERP, S/4HANA sowie mit anderen geschäftskritischen Anwendungen?
  • Ist die Lösung zukunftssicher, d.h. unterstützt sie die Strategie des Unternehmens, kann sie mit dem Unternehmenswachstum skalieren und sich an aktuelle Technologien wie IoT und KI anpassen?
  • Wie hoch sind die Gesamtbetriebskosten, einschliesslich Lizenzen, Implementierung und langfristigem Support, und wie viel kann durch die Automatisierung und Optimierung von IGA-Prozessen gewonnen werden?
  • Wie ist die Benutzererfahrung für Endnutzende und Administratoren? Intuitive Schnittstellen und leistungsstarke Berichts- und Analysefunktionen erleichtern den Übergang und sind ein häufig unterschätzter Faktor bei der Einführung und damit bei der Realisierung von Sicherheits- und Effizienzgewinnen.
  • Welche Unterstützung können Anbieter und Integratoren bieten?
  • Wer wird für den technischen Betrieb zuständig sein?

Der Wechsel

Nachdem die IGA-Lösung für SAP-Produkte konzipiert wurde, ist es an der Zeit, die neue Lösung zu integrieren und auf sie umzustellen. Im Idealfall umfasst dies die folgenden Schritte:

Zeitstrahl mit den folgenden Schritten: Datenbereinigung, Pilotprojekt, Sukzessive Migration, Schulung, Verlegung in den Betrieb.

  • Eine einleitende Bereinigung der Identitäts- und Zugangsdaten hilft Ihnen, die Migration zu vereinfachen. Auch wenn ein solches Aufräumen unter Umständen zeitaufwendig ist, verringert es den Aufwand während und nach der Migration.
  • Idealerweise testen Sie die neue Lösung im Rahmen eines Pilotprojekts in einer nicht-kritischen Umgebung. So erkennen Sie potenzielle Probleme und stellen sicher, dass die Integrationen wie erwartet funktionieren.
  • Das neue System sollten Sie parallel zum alten System einrichten und die Systeme zusammen mit den Daten sukzessive migrieren.
  • Schulen Sie Ihre Administrators und Benutzende rechtzeitig für das neue System. Zu diesem Zeitpunkt wird sich die Wahl einer intuitiven und benutzerfreundlichen Lösung zum ersten Mal auszahlen (und sich während der Nutzung kontinuierlich als vorteilhaft erweisen).
  • Bereiten Sie den Übergang von der Einrichtung zum Betrieb mit geeignetem Dokumentationsmaterial und einem fähigen Team vor.  

Nächste Schritte

Was sollten Sie also tun, wenn Sie sehen, dass das Kraftwerk Ihrer SAP-Stadt kurz vor dem Ausfall steht?

Eine frühzeitige Planung ist der Schlüssel, um Unterbrechungen zu minimieren und eine Lösung zu implementieren, die Ihrer Organisation selbst in zehn Jahren noch zuverlässige Dienste leistet. Es ist an der Zeit, mit Ihren internen Fachleuten zu sprechen oder sich an Beratende und System Integrators zu wenden, die auf IGA-Lösungen spezialisiert sind und den Austauschprozess begleiten können. Sie helfen Ihnen dabei, eine zukunftsfähige Strategie für Ihre digitalen Identitäten in SAP-Systemen und darüber hinaus zu entwickeln und diese dann auch umzusetzen. Und, was am wichtigsten ist, betrachten Sie die Umstellung nicht als notwendiges Übel, sondern als Chance, Ihr Identitätsmanagement zu modernisieren und es zu einem Enabler für Ihre Ziele in der digitalen Transformation zu machen.

Wie Adnovum unterstützen kann

Adnovum ist eine bewährte Partnerin in der Arbeit mit allen Aspekten von digitalen Identitäten und IGA. Unser Portfolio umfasst die Strategieberatung für Digital-Identity-Lösungen, die Unterstützung bei der Architektur- und Projektplanung, die Integration von und Migration zu neuen IGA-Lösungen sowie den Betrieb und die kontinuierliche Verbesserung der Lösungen.

Ein Kreisdiagramm, das zeigt, wo Adnovum beim Übergang zu einer neuen IAM-Lösung in Bezug auf Technologie, Prozesse und Organisation unterstützen kann. Dies umfasst in der Beratungsphase Vision, Strategie und Initialisierung, in der Realisierungsphase Umsetzung, Betrieb und stetige Verbesserung.Die Grundlage unserer Beratung ist unsere ganzheitliche Sichtweise, mit der wir Technologie, organisatorische Aspekte und Prozesse rund um digitale Identitäten im Blick behalten. So bieten wir unseren Kunden ein massgeschneidertes Setup, das die richtige Mischung aus Sicherheit, Effizienz und Benutzerfreundlichkeit aufweist, um den Geschäftswert zu maximieren.

 

Erfahren Sie, wie wir Sie bei der Ablösung von SAP IDM unterstützen können.

Spezialisten kontaktieren

Publiziert am 27 Nov 2024

Autor

Picture of Axel Schild
Axel Schild

Digital Identity Consultant und Senior IAM Engineer

Placeholder