Auf Wiedersehen, SAP IDM: End of Life. Zeit, Identitäten zu überdenken!

Das Wartungsende von SAP IDM: Was passiert jetzt?

SAP IDM, die langjährige Identity Lifecycle Platform, die zur Bereitstellung und Verwaltung von Zugriffsrechten in SAP-lastigen Umgebungen verwendet wird, wird bald nicht mehr unterstützt. Die Wartung endet offiziell 2027.

Das Wichtigste zuerst: SAP wird keinen direkten Nachfolger anbieten.

Stattdessen hat sich das Unternehmen mit Microsoft zusammengetan, um Microsoft Entra ID als empfohlene Zielplattform zu fördern. Dieser Schritt signalisiert eine Verlagerung in Richtung Cloud, bringt aber auch neue Herausforderungen in Bezug auf Anbieterabhängigkeit, operative Komplexität und vor allem auch digitale Souveränität mit sich.

Ein strategischer Wendepunkt

Viele Unternehmen, insbesondere im Einzelhandel, im Franchising, in der Logistik oder der Fertigung, haben sich in der Vergangenheit nicht nur für die Benutzerbereitstellung auf SAP IDM verlassen, sondern auch als leichtgewichtige IGA-Lösung für andere Anwendungen in Kombination mit Active Directory und dezentrale Rollen.

Daher ist der Wechsel von SAP IDM nicht nur eine technische Migration, sondern ebenso eine architektonische Neugestaltung mit langfristigen Auswirkungen:

Wofür SAP IDM genutzt wurde	Alternativen
SAP User Provisioning (HCM/SF)	SCIM / SAP CIS + Entra / alt.
Role Mapping & SoD Prep	IAG / GRG /SaaS-based Governance
NetWeaver / SAP Portal auth	SAML / OIDC via modern IdPs
Workforce Lifecycle Management	Entra ID Governance / iPaaS
Manual UI Flows / Self-Service	Custom Workflows or Low-Code

Und hier liegt der springende Punkt: Die meisten dieser Aufgaben können nun mithilfe offener Standards erledigt werden, ohne dass man sich auf eine monolithische Suite mit komplexen Migrationspfaden festlegen muss.

SAP IDM End of Life – Vorhang auf für offene Standards & Sovereign SaaS

Die moderne IAM-Landschaft ist heute wesentlich interoperabler als noch vor zehn Jahren. Dank SCIM, SAML, OIDC und REST-APIs lassen sich Identitätsplattformen nun in HR-Strukturen, SaaS-Anwendungen und -Umgebungen sowie interne Portale integrieren, ohne, dass alles von einem einzigen Anbieter stammen muss.

Hier kommt cidaas, ein europäischer Identity-as-a-Service-Anbieter, ins Spiel:

• Nutzung von Standards wie OAuth2, OIDC, SAML, SCIM und REST
• Bereitstellung erfolgt als Multi-Tenant- oder Private-Cloud-SaaS
• Gehostet in Deutschland oder der Schweiz
• Zertifiziert nach ISO 27001, GDPR-konform durch Design
• Unterstützt delegierte Gruppenverwaltung, Self-Service-Portale und API-First-Integration

Im Gegensatz zu Entra ID, das eng in die Produktstrukturen von Microsoft eingebunden ist, ist cidaas anbieterunabhängig und kann flexibel in gemischte, hybride Umgebungen (SAP, Microsoft, Legacy, kundenspezifisch sowie andere) integriert werden.

Das Ende von SAP IDM: Modulare Identitätsarchitektur statt Monolithen

Mit dem Ende von SAP IDM haben Unternehmen die Möglichkeit, auf einen modularen IAM-Stack umzusteigen, zum Beispiel:

• cidaas als zentrale Identitätslösung für Mitarbeiter (B2E) und Partner (B2B)
• cnips (iPaaS) für Workflow-Orchestrierung und Datenmapping
• SAP Cloud Identity Services als SCIM/SAML-Integrationsziel
• SAP IAG (falls erforderlich) für tiefgehende SoD-Analysen und SAP-spezifische Governance
• ServiceNow oder Portal für Benutzer-Self-Service und Anforderungsmanagement

Dieser modulare Ansatz bietet folgende Vorteile:

• Geringere Anbieterabhängigkeit
• Bessere Abstimmung mit internen Zuständigkeiten (Personalwesen, IT, Sicherheit)
• Schnellere Amortisation
• Digitale Souveränität und Datenkontrolle

SAP IDM End of Life & die Notwendigkeit einer Neugestaltung der Architektur

Angesichts des bevorstehenden Auslaufens von SAP IDM stellen sich viele Unternehmen eine entscheidende Frage:

„Was ist die richtige Architektur für das Identitäts- und Zugriffsmanagement, nicht nur für heute, sondern für das nächste Jahrzehnt?“

SAP IDM End of Life Vorbereitung

Für Unternehmen mit SAP-zentrierten Landschaften, komplexen Identitätsabläufen und hybriden Umgebungen, welche Mitarbeiter, Partner, Auftragnehmer und andere Anwendungen umfassen, ist die Antwort selten ein einfacher Ersatz.

SAP IDM ist seit langem das Bindeglied für die Benutzerbereitstellung und Zugriffskontrolle in eigenen sowie anderen nicht SAP-Systemen. Da das Unternehmen jedoch die Unterstützung für IDM bis 2027 offiziell einstellt und kein Nachfolger in Sicht ist, ist eine neue Strategie erforderlich.
Die meisten IAM-Landschaften in Unternehmen sind heute weitaus komplexer als noch vor zehn Jahren, die Anforderungen sind ebenso vielfältig:

• HR-Systeme wie SAP SuccessFactors treiben die Identitätserstellung voran.
• Anwendungen sind hybrid: Cloud, lokal (on-Premises), mobil, Legacy.
• Zu den Benutzern zählen nicht nur Mitarbeiter, sondern auch Partner, Dienstleister und Externe.
• Compliance, Überprüfbarkeit und Datenhoheit sind wichtige Anliegen.
• Es besteht eine wachsende Nachfrage nach dezentralisierten Workflows und schnellerem Onboarding.

Anstatt die gleiche Komplexität in einer neuen Lösung gleich nachzubauen, bietet sich hier die Gelegenheit zur Modernisierung und Vereinfachung.

Eine Lösungsvorlage für ein IAM, das auf Standards beruht

Im Zentrum der vorgeschlagenen Architektur stehen zwei Schlüsselkomponenten:

• cidaas: Eine Cloud-native Identitäts- und Zugriffsmanagement-Plattform, die vollständig auf Standards basiert (OIDC, SAML, SCIM, OAuth2).
• cnips: Eine Low-Code-Integrations- und Automatisierungsplattform (iPaaS), die als Orchestrierungsschicht zwischen den Systemen fungiert.

Zusammen bilden sie einen leistungsstarken und flexiblen Stack, der sich nahtlos in SAP-Ökosysteme sowie andere Anwendungen integrieren lässt, ohne dass eine Bindung an einen bestimmten Anbieter entsteht.

Die neue Architektur: Modular, erweiterbar & interoperabel

So fügen sich die Teile zusammen:

• cidaas fungiert als zentrale IAM-Plattform. Sie übernimmt die Authentifizierung, die Ausgabe von Tokens, die MFA und die Rollen-/Gruppenverwaltung.
• cnips koordiniert Identitätsflüsse, Zugriffsanfragen, Genehmigungen und Bereitstellungen über SAP, Active Directory, externe Anwendungen und darüber hinaus.
• Systeme wie Cloud Identity Services, S/4HANA und SAP Identity Access Governance (IAG) werden über SCIM, REST und SAML integriert.

Diese Architektur entkoppelt die einzelnen Bereiche: Authentication und andere Identitätsdienste sind von der Prozessorchestrierung getrennt und Compliance-Tools können nach Bedarf hinzugefügt werden.

Identitätslebenszyklus und Authentifizierungsmechanismen

Gehen wir einen Schritt weiter und schauen uns die Details an:

1. Inbound-Identitätsmanagement

Die Identitäten stammen aus den folgenden Quellen:

• HR-Systeme (z. B. SAP SuccessFactors, Workday, Personio, usw.) über SCIM oder REST
• Externe Quellen (B2B-Portale, delegiertes Onboarding, projektbasierter Zugriff)

Diese Benutzer werden in cidaas bereitgestellt, mit Metadaten (z. B. Rollen, Abteilungen, juristische Personen) angereichert und für die nachgelagerte Bereitstellung vorbereitet.

2. cidaas als Identitätsanbieter

cidaas unterstützt die Authentifizierung über:

• OIDC, OAuth2 und SAML 2.0 für Cloud- und Unternehmensanwendungen
• MFA-Richtlinien, einschließlich Biometrie, OTP und Gerätekontext
• Individuell gestaltete Anmeldeseiten und Self-Service-Portale für verschiedene Benutzergruppen

cidaas unterstützt auch die delegierte Gruppenverwaltung, sodass Geschäftsinhaber oder Teamleiter die Mitgliedschaften verwalten können, ohne die IT zu belasten.

Orchestrierung über cnips

Sobald Benutzer in cidaas vorhanden sind, löst cnips folgendes aus und verwaltet es:

• Lebenszyklus-Workflows (Joiner, Mover, Leaver)
• Mehrstufige Genehmigungen für Zugriffsanfragen
• Attributumwandlung und -zuordnung (z. B. Organisationscodes, länderspezifische Rollen)
• Systemspezifische Feldnormalisierung
• Integration mit ITSM-Systemen wie ServiceNow

4. Downstream-Bereitstellung

cnips stellt Benutzern über SCIM, REST oder sogar SOAP folgendes bereit:

• SAP Cloud Identity Services (CIS) und S/4HANA
• SAP IAG für Zugriffsmanagement und Risikoanalyse
• Active Directory / Azure AD
• Andere Anwendungen und SaaS-Systeme

Wenn erweiterte SoD, Beglaubigung oder Rezertifizierung erforderlich sind, kann cnips entweder:

• Sich für SAP-spezifische Zugriffssteuerung in SAP IAG integrieren
• Externe Prozesse über seine Workflow-Engine oder GRC-Tools von Drittanbietern steuern

Warum diese Architektur funktioniert

Dieser standardbasierte Lösungsansatz wurde bereits in komplexen Unternehmensumgebungen eingeführt – nicht nur, weil er IDM ersetzt, sondern weil er es verbessert.

Zu den wichtigsten Vorteilen gehören:

• Offene Standards: SCIM, SAML, OIDC, REST sind zukunftssicher und interoperabel.
• Anbieterunabhängig: cidaas und cnips sind nicht an Microsoft- oder SAP-Lizenzmodelle gebunden.
• Cloud-nativ: Verfügbar als SaaS oder Private Cloud, skalierbar und immer auf dem neuesten Stand.
• Souveränes Hosting: Vollständig DSGVO-konform, mit Hosting in Deutschland/EU oder der Schweiz.
• Dezentrale Workflows: Geschäftsanwender können Verantwortung für den Zugriff übernehmen, wodurch der IT-Aufwand reduziert wird.
• Low-Code-Automatisierung: Schnelle Einführung von Identitätsprozessen, anpassbar an lokale Anforderungen.

Ersetzen Sie SAP IDM nicht einfach durch ein anderes „Einheitswerkzeug“. Wechseln Sie von komplex zu schlank. Bei der Auswahl von Alternativen geht es nicht nur darum, Funktionen anzupassen, es geht darum, das Modell komplett zu überdenken.

SAP IDM End of Life: Anfordern, genehmigen, zuweisen mit cidaas

cidaas und cnips-iPaaS ermöglichen eine vollständige Zugriffsmanagement über den gesamten Lebenszyklus hinweg, ohne die IGA zu überladen.

Das moderne Zugriffsmanagement befindet sich in einem Widerspruch. Einerseits benötigen Unternehmen eine feingranulare Kontrolle darüber, welche Personen auf was zugreifen kann, insbesondere in komplexen Umgebungen mit Geschäftsrollen, Datenkontext und Compliance-Anforderungen.

Andererseits sind traditionelle IGA-Plattformen oft überdimensioniert: Monolithisch, teuer und schwer an reale Arbeitsabläufe anzupassen. Genau hier bietet der Einsatz von cidaas in Kombination mit der Orchestrierung über cnips eine moderne, API-first-Alternative. Zusammen ermöglichen sie nicht nur Self-Service-Zugriffsanfragen, sondern auch mehrstufige Genehmigungsabläufe und automatisierte Rollenzuweisungen. Das Besondere: Das alles wird ermöglicht und trotzdem bleibt die Architektur schlank, modular anpassbar und offen.

Schauen wir uns einmal an, wie das funktioniert.

Von der Anfrage bis zur Rollenzuweisung – Ein optimierter Governance-Lifecycle

In dieser Architektur fungiert cidaas als zentrale Identitäts- und Rollenplattform, während cnips die Prozesslogik koordiniert, Genehmigungen bearbeitet und eine Verbindung zu SAP-Geschäftssystemen herstellt.

Hier ist der Ablauf Schritt für Schritt:

1. Ein Benutzer (intern, Partner oder extern) greift auf ein von cidaas betriebenes Self-Service-Portal zu.
2. Diese Anfrage wird an cnips weitergeleitet, das die Genehmigungs- und Orchestrierungslogik ausführt.
3. Nach der Genehmigung aktualisiert cidaas die Zuweisung der Geschäftsrolle des Benutzers im Identity Store und spiegelt damit den gewährten Zugriff wider.
4. Die Änderung wird einer oder mehreren Anwendungsrollensammlungen in SAP BTP zugeordnet oder über SCIM, REST oder Claim Injection (OIDC/SAML) an SAP Identity Services bereitgestellt.
5. Optional kann cnips die SAP Integration Suite oder SAP Gateway aufrufen, um den Kontext zu validieren, Geschäftsregeln anzuwenden oder Anfragen mit systemspezifischen Daten (z. B. Buchungskreis, Werk, Organisationseinheit) anzureichern.

Flexible Governance – ohne Overhead

Im Gegensatz zu älteren IGA-Systemen erzwingen cidaas und cnips kein vordefiniertes Governance-Modell. Stattdessen ermöglichen sie es Unternehmen, genau die richtige Menge an Zugriffs-Governance zu implementieren und dabei die volle Kontrolle zu behalten. Einige wichtige Vorteile dieses Ansatzes:

Kontextbezogene Rollenzuweisung

Rollen in cidaas sind mit Gruppentypen und Geschäftsattributen verknüpft. Dies ermöglicht kontextspezifische Zugriffsentscheidungen, beispielsweise die Vergabe von Finanzrollen nur an Benutzer in bestimmten Regionen oder Rechtssubjekten.

Nahtlose Genehmigungsketten

cnips kann mehrstufige Genehmigungen basierend auf der Organisationsstruktur, der Projektverantwortung oder anderen Identitätsmetadaten modellieren. Genehmigungen können in Microsoft Teams, einem Webportal oder nativen Unternehmenssystemen ausgeführt werden.

Reversibel und überprüfbar

Jede Zugriffsänderung wird nachverfolgt, mit einem Zeitstempel versehen und kann automatisch rückgängig gemacht werden. Dies gewährleistet die Einhaltung interner Richtlinien und externer Vorschriften – ohne die Komplexität vollwertiger GRC-Stacks.

Integration an erster Stelle

Da sowohl cidaas als auch cnips API-nativ sind, lassen sie sich leicht in Ticketingsysteme (z. B. ServiceNow), Geschäftsabläufe und SAP-Tools integrieren. Es gibt keine „Black-Box”-Logik alle Prozessschritte sind in der Workflow-Engines editierbar.

Drei abschließende Gedanken zum SAP IDM End of Life

Das Wartungsende für SAP IDM ohne ausgewählten Nachfolger gibt Anlass zum Nachdenken:

1. Anstatt zu einem neuen „Einheitswerkzeug” zu migrieren, sollten Sie Ihre Identitätslandschaft vereinfachen: SaaS IAM ist bereit. Moderne Tools wie cidaas bieten jetzt ein IAM der Enterprise-Klasse in der Cloud. Sie sind schnell, skalierbar & API-first.
   Offene Standards ermöglichen eine Auswahl. Mit SCIM und SAML können Sie sich in SAP oder jeden beliebigen Drittanbieter einklinken. Einzelhandels- und B2B-Modelle ändern sich. Sie benötigen flexibles Onboarding, delegiertes Management und Support für Nicht-Mitarbeiter.
   Datenhoheit ist wichtig. Insbesondere in der EU kann die Abhängigkeit von Hyperscalern GDPR-Risiken mit sich bringen. Ein souveränes SaaS vermeidet dies. Hinzu kommt, dass Sie ohnehin migrieren müssen. Warum also nicht vereinfachen, anstatt die Komplexität eines auslaufenden Systems zu replizieren?
2. Bei der Ablösung von SAP IDM geht es nicht nur darum, Funktionen anzupassen. Es geht darum, das Modell komplett zu überdenken. Mit einer solchen mehrschichtigen Architektur können Sie: Die Kontrolle zentralisieren, ohne jedes System zu zentralisieren und umfangreiche Vorprojekte vermeiden, indem Sie Legacy-Integrationen schrittweise ersetzen. Wählen Sie für jede Aufgabe die beste Lösung: Identität, Bereitstellung, Orchestrierung und Governance. Unabhängig davon, ob Ihre Umgebung von SAP dominiert oder hybrid ist mit Microsoft, Atlassian, Salesforce oder branchenspezifischen Anwendungen. Dieser modulare Ansatz funktioniert.
3. Zugriffsmanagement muss nicht unbedingt die Bereitstellung einer monolithischen IGA-Suite bedeuten. Mit cidaas und cnips erhalten Unternehmen ein schlankes, modulares und anpassungsfähiges Framework für die Zugriffsverwaltung. Dieses Framework eignet sich gleichermaßen für Cloud-First-Architekturen, hybride SAP-Landschaften als auch komplexe B2B-Umgebungen.Es ist vor allem ein leistungsstarkes Lösungsmodell für alle, die folgende Anforderungen haben:

• • Workflow-gesteuerte Access Control
  • Föderierte Identität mit richtlinienbasierter Zuordnung
  • Lebenszyklusautomatisierung mit Kontext
  • Governance ohne starre Strukturen

SAP IDM End of Life – Zeit in Panik zu geraten? Nein, mit der Erfolgsvorlage von cidaas und cnips läuft eine Umstellung reibungslos.

Haben Sie Interesse mehr über Ihre Möglichkeiten nach SAP IDM zu erfahren? Nutzen Sie gerne unsere kostenlose Demo. Unsere cidaas-Experten helfen Ihnen gerne weiter.