Jeder Anbieter behauptet inzwischen, er würde den "Identity Lifecycle automatisieren". Dann stellt sich heraus, dass damit eigentlich nur "die 20 % der Apps mit SCIM-Unterstützung" gemeint sind - und der Rest bleibt bei Tickets, Tabellen und Hoffnung hängen.

Dieser Leitfaden richtet sich an IT- und Security-Verantwortliche in SaaS-lastigen Unternehmen mit 50-2.000 Mitarbeitenden, die:

  • SSO einsetzen (Okta, Entra, Ping usw.)
  • in Joiner/Mover/Leaver-(JML)-Tickets untergehen
  • an der SCIM-Mauer hängen und 60-80 % ihrer Apps weiterhin manuell steuern
  • prüfsichere Governance brauchen, aber kein einjähriges IGA-Großprojekt starten wollen

Wir beleuchten 12 führende Lösungen für Identity-Lifecycle-Management (ILM) mit Fokus auf JML-Automatisierung und Abdeckung jenseits der "einfachen" SCIM-Apps.

Identity-Teams nutzen "Joiner, Mover, Leaver" (JML) als Kurzform für Bereitstellungs- und Entzugs-Workflows im Lebenszyklus - und gerade bei "Movers" scheitern die meisten Werkzeuge.

Schnelle Empfehlungen (wenn du die Abkürzung willst)

Am besten für schlanke, SaaS-lastige Mid-Market-Teams (50-2.000 Mitarbeitende)
-> Iden - vollständige JML-Automatisierung über alle Apps (ob mit oder ohne SCIM), speziell für kleine IT-Teams.

Am besten für Microsoft-first-Organisationen
-> Microsoft Entra ID Governance - starke Lifecycle- und Access-Reviews, direkt an Entra ID angebunden.

Am besten für große, regulierte Konzerne, die Komplexität managen können
-> SailPoint Identity Security Cloud oder Saviynt EIC - sehr breite Abdeckung, schwergewichtig, aber extrem leistungsfähig.

Am besten, wenn ihr tief im Okta-Ökosystem seid
-> Okta Lifecycle Management - solide für SCIM-fähige SaaS-Anwendungen und HR-getriebene Abläufe.

Am besten, wenn PAM und ILM vom gleichen Anbieter kommen sollen
-> CyberArk Identity Lifecycle Management - verknüpft den Mitarbeitenden-Lebenszyklus mit privilegiertem Zugriff.

Am besten für hybride/on-prem Governance mit klassischem IGA
-> One Identity Manager, IBM Security Verify Governance oder Oracle Identity Governance.

Am besten für leichtgewichtiges Verzeichnis + Geräteverwaltung + ILM in einem
-> JumpCloud - Identität, Gerät und SSO mit grundlegenden Funktionen für den Benutzerlebenszyklus.

Warum "Movers" der schwierigste Teil im Lifecycle-Management sind

Joiner und Leaver sind vergleichsweise einfach:

  • Joiner: Konten anlegen, Grundzugriffe ("Birthright Access") vergeben, in Kern-Gruppen aufnehmen
  • Leaver: Zugriffe entziehen, Identitäten deaktivieren, Lizenzen zurückholen

Movers dagegen sind echte Governance:

  • Beförderungen, Versetzungen, temporäre Projekteinsätze
  • Doppelfunktionen ("Marketing vertreten, während man im Vertrieb ist")
  • Wechsel über Regionen/Einheiten hinweg mit unterschiedlichen SoD-(Segregation-of-Duties-)Anforderungen

Die meisten Organisationen behandeln Movers so, dass sie zusätzliche Zugriffe vergeben - und vergessen, die alten zu entfernen. Das führt zu:

  • überprivilegierten Nutzenden, die sich immer weiter vom eigentlichen Rollenprofil entfernen
  • Compliance-Problemen (SoD-Verstöße)
  • Helpdesks, die Berechtigungen mühsam manuell auseinanderdröseln

Gute ILM-Werkzeuge behandeln Movers als Ereignisse erster Klasse: Sie bewerten Zugriffe neu, setzen Richtlinien durch und passen Berechtigungen an - statt nur neue Zugriffe oben drauf zu stapeln.

Worauf du bei Identity-Lifecycle-Management-Software achten solltest (2026-Checkliste)

Geh über die Frage "kann es aus dem HR-System bereitstellen?" hinaus und frage nach:

1. Abdeckung: Erfasst es alle Identitätsquellen?

  • SaaS-Anwendungen, inklusive Long-Tail-Tools ohne SCIM/API
  • On-Prem-/Legacy-Systeme, Dateifreigaben, Verzeichnisse
  • OT/ICS, SCADA, Portale von Dienstleistern, interne Fachanwendungen
  • Nicht-menschliche Identitäten (Bots, Dienstkonten, KI-Agenten)

Traditionelle und "moderne" IGA-Lösungen decken meist nur etwa 20 % des Stacks ab (SCIM-fähige Apps) - die übrigen 80 % bleiben manuell.

Wenn ILM nur SCIM-Apps abdeckt, löst es lediglich die einfachen 20 % - der Rest bleibt Ticketarbeit.

2. Tiefe der Automatisierung für JML - insbesondere Movers

  • Native Unterstützung für JML-Ereignisse und Lifecycle-Zustände
  • Richtliniengesteuerte Workflows statt statischer Skripte
  • Kann Rollenwechsel, temporäre Zugriffe, Projektrollen modellieren
  • Unterstützt Genehmigungen, zeitlich begrenzte Zugriffe, automatisches Rightsizing

SailPoint etwa modelliert Joiner-, Mover- und Leaver-Ereignisse und verknüpft sie mit automatisierten Workflows.

3. Feingranulare Steuerung (jenseits von "in Gruppe X?")

  • Vergabe auf Kanal-Ebene in Slack, Repository-Ebene in GitHub, Projekt-Ebene in Jira
  • Einblick in und Steuerung von Entitlements, nicht nur App-Gesamtzugriff

Der Unterschied: "hat Zugriff auf Salesforce" vs. "kann alle Kundendaten exportieren".

4. Integration mit HR, ITSM und SSO

  • HR als "Source of Truth" (Workday, BambooHR, Personio usw.)
  • ITSM für Genehmigungen und Prüfpfad (ServiceNow, Jira Service Management)
  • SSO/IDP für Authentifizierung (Okta, Entra ID, Ping usw.)

Du willst, dass Lifecycle-Ereignisse einmal ausgelöst und dann überallhin durchgereicht werden.

5. Governance & Compliance

  • Access Reviews und Rezertifizierungen
  • SoD-Richtlinien und Verstoß-Erkennung
  • Unveränderliche / manipulationssichere Audit-Logs
  • Eingebaute Berichte: SOC 2, ISO 27001, HIPAA, DORA usw.

6. Time-to-Value und Administrationsaufwand

  • Können 1-5 IT-Mitarbeitende das System ohne Berater betreiben?
  • Dauert das Anbinden einer "neuen App" Monate oder Stunden?
  • Besteht der Alltag aus "Richtlinien konfigurieren" oder "Java/XML-Regeln schreiben"?

7. Preisgestaltung und Gesamtkosten (TCO)

Schau nicht nur auf Modulpreise, sondern frage nach:

  • Effektivpreis pro gesteuerter Identität (inklusive aller Module)
  • Bedarf an externen Integratoren oder laufender, spezialisierter Administration
  • "Versteckte" SCIM-Kosten durch Upgrades auf Enterprise-Tarife

g starts at roughly $5 per user/month for mid-market-aiming to be a fraction of old IGA TCO.

Die 12 besten Identity-Lifecycle-Management-Lösungen 2026

1. Iden - Vollständige Lifecycle-Automatisierung für schlanke, SaaS-lastige Teams

Iden ist eine KI-native Identity-Governance-Plattform für schnell wachsende Unternehmen mit kleinen IT-Teams. Sie liefert echte JML-Automatisierung über alle Systeme - inklusive nicht-SCIM-/nicht-API-fähiger Apps - und geht tief in feingranulare Berechtigungen.

Stärken

  • Universelle Abdeckung: proprietäre Konnektoren und agentische Workflows automatisieren Notion, Slack, Figma, Linear, Jira, GitHub - selbst in Nicht-Enterprise-Tarifen.
  • Granulare Berechtigungen: Kanal-, Repository-, Projekt- und Umgebungs-Ebene statt nur Gruppen.
  • Mover-bewusste Automatisierung: Richtlinien-Workflows für Beförderungen, Versetzungen, temporäre Rollen und SoD-kritische Übergänge.
  • Agentische Workflows: KI-gestützte, kontinuierliche Prüfungen, automatisierte Reviews, Lizenzrückgewinnung und vollständige Nachweise - statt periodischer Tabellen.
  • Wartungsfreie Konnektoren: werden von Iden betrieben; neue/"Nischen"-Apps werden in Stunden oder Tagen angebunden, nicht in Monaten.
  • Ausgelegt auf Organisationen mit 50-2.000 Mitarbeitenden mit schlanker IT.

Idens Benchmarks zeigen bis zu 80 % weniger manuelle Zugriffstickets und bis zu 30 % niedrigere SaaS-Kosten durch automatische Lizenzrückgewinnung und den Verzicht auf SCIM-gebundene Upgrades.

Einschränkungen

  • Am besten für progressive Mid-Market-Unternehmen; sehr große, stark kundenspezifische Legacy-Umgebungen brauchen parallel oft noch klassisches IGA.
  • Jüngere Marke; einige Prüfer müssen zunächst abgeholt werden, statt automatisch "SailPoint/Saviynt" zu bevorzugen.

Am besten geeignet für

  • Schnell wachsende, SaaS-lastige Organisationen (50-2.000)
  • Schlanke IT-Teams, die vollständige Abdeckung ohne Berater suchen
  • Teams, die sich gegen den SCIM-Aufschlag und Enterprise-Plan-Zwang wehren

Preisgestaltung

  • Rund 5 US-Dollar pro Nutzer und Monat für Kern-Governance, keine SCIM-basierten Upgrades.

More about Iden

2. SailPoint Identity Security Cloud - Enterprise-IGA mit tiefen Kontrollen

SailPoint bleibt mit seinem Cloud-nativen Angebot der klassische IGA-Schwergewichtsanbieter - und liefert die nötige Power für Großunternehmen.

  • Das Lifecycle-Modul unterstützt Joiner, Mover, Leaver mit richtliniengesteuerter Automatisierung und erweiterbaren Workflows.
  • Verbindet sich mit vielen Anwendungen und Verzeichnissen.

Vorteile

  • Umfassende Governance, Rollenmodellierung, SoD
  • Geeignet für regulierte, komplexe Organisationen
  • Reifes Partner- und Integratorennetzwerk

Nachteile

  • Einführungsprojekte über Monate; benötigt Spezialistinnen und Spezialisten
  • Überdimensioniert für 50-2.000-Mitarbeitende-Organisationen, die Geschwindigkeit und breite Abdeckung suchen
  • Komplexe, hochpreisige Lizenzmodelle

Am besten geeignet für

  • Mehr als 5.000 Identitäten, mehrere Geschäftseinheiten, starker Prüf- und Regulierungssdruck

Preisgestaltung

  • Käufer berichten von etwa 5-12 US-Dollar pro Identität und Monat für SailPoints Cloud-Angebot - je nach Modulen und Umfang.

3. Saviynt Enterprise Identity Cloud (EIC) - Konvergente Identity-Plattform

Saviynt EIC vereint IGA, PAM und Applikations-Governance in einer SaaS-Plattform.

Saviynts EIC verwaltet über 50 Millionen Identitäten - eine der größten Cloud-nativen IGA-Plattformen nach Volumen.

  • Automatisiert Identity-Lifecycle, Rezertifizierungen, SoD und Risiken mit KI-gestützten Empfehlungen.

Vorteile

  • IGA + PAM + Drittparteienverwaltung in einer Plattform
  • Starke Analytik, risikobasierte Empfehlungen
  • Effektiv für hybride / Multi-Cloud-Unternehmen

Nachteile

  • Hohe Komplexität und Einführungsaufwand
  • Benötigt in der Regel Expertendienstleistungen

Am besten geeignet für

  • Konzerne, die IGA + PAM + Drittparteiverwaltung aus einer Hand möchten

Preisgestaltung

  • Gestaffelte Pakete (Essentials, Pro usw.); Budget auf Enterprise-Niveau

4. Microsoft Entra ID Governance - Lifecycle für den Microsoft-Stack

Entra ID Governance erweitert Entra ID (ehemals Azure AD) um Lifecycle-, Berechtigungs- und Review-Workflows.

  • Starke Joiner/Mover/Leaver-Automatisierung für Entra-Identitäten.
  • Integriert sich mit HR-Systemen (Workday usw.), um Konten automatisch zu aktualisieren/deaktivieren.

Vorteile

  • Tiefe Integration mit Microsoft 365/Entra
  • Gute Verwaltung von Berechtigungen und Reviews
  • Natürliche Wahl für Microsoft-orientierte Umgebungen

Nachteile

  • Weniger Workflow-Flexibilität als vollwertiges IGA; komplexe Movers erfordern oft Power Automate/Logic Apps
  • Schwächer außerhalb von Entra-verbundenen und SCIM-fähigen Anwendungen
  • Lizenzkomplexität (P1, P2, Governance, Suite)

Am besten geeignet für

  • Microsoft-zentrierte Teams, die integriertes ILM wollen

Preisgestaltung

  • Rund 7 US-Dollar pro Nutzer und Monat als eigenständiges Add-on oder etwa 12 US-Dollar pro Nutzer und Monat in der Suite

5. Okta Lifecycle Management - Starke SCIM-Automatisierung für Okta-Umgebungen

Okta LCM ergänzt Okta SSO um Bereitstellung und Entzug von Konten.

  • Sehr gute Abdeckung für SCIM-fähige Apps; das Integrationsnetzwerk von Okta bringt viele SaaS-Anwendungen per "One-Click" an Bord

Vorteile

  • Passt ideal zu Okta-Workforce-Identity-Kunden
  • Reifes Konnektoren-Verzeichnis
  • Unterstützung für HR-getriebene Bereitstellung

Nachteile

  • Deckt vor allem SCIM/SAML-Apps gut ab; der Long Tail bleibt manuell oder erfordert Skripting
  • Governance-/Review-Funktionen reichen nicht an vollwertiges IGA heran
  • Die Gesamtkosten steigen, wenn man SSO, MFA, LCM und Governance bündelt

Am besten geeignet für

  • Okta-zentrierte Teams mit überwiegend moderner SaaS-Landschaft

Preisgestaltung

  • Unabhängige Leitfäden nennen für Okta LCM rund 4 US-Dollar pro Nutzer und Monat als Zusatzmodul

6. One Identity Manager - Klassisches IGA für hybride/on-prem Umgebungen

One Identity ist eine ausgereifte IGA-Lösung für komplexe On-Premises- oder hybride Szenarien.

  • Automatisiert den Lifecycle für On-Prem-Anwendungen, Verzeichnisse und hybride SaaS-Landschaften

Vorteile

  • Stark bei SAP, Mainframes, Legacy-IT
  • Reife Rezertifizierungs- und Governance-Funktionen

Nachteile

  • Klassische IGA-Einführung mit entsprechender Komplexität - nichts für schlanke mittelständische Teams
  • Häufig Integrator-pflichtig

Am besten geeignet für

  • Große Unternehmen mit starker Legacy- oder SAP-Prägung

Preisgestaltung

  • Enterprise, angebotsbasiert

7. CyberArk Identity Lifecycle Management - ILM plus privilegierter Zugriff

CyberArk ist vor allem für PAM bekannt; CyberArk Identity LM liefert SaaS-basiertes Provisioning, das direkt mit dem Management privilegierter Konten verknüpft ist.

  • Automatisiert Provisioning/Deprovisioning über Anwendungen und Verzeichnisse hinweg
  • Enge PAM-Integration verbindet den Mitarbeitenden-Lebenszyklus mit privilegierten Konten

Vorteile

  • Ideal, wenn PAM und ILM vom gleichen Anbieter kommen sollen
  • Gute Integration mit HR-Systemen und Verzeichnissen

Nachteile

  • Fokus primär auf PAM; funktional nicht so breit wie vollwertiges IGA
  • Weniger attraktiv, wenn CyberArk nicht bereits Standard ist

Am besten geeignet für

  • CyberArk-Umgebungen, die den Nutzerlebenszyklus mit Governance privilegierter Konten verbinden wollen

Preisgestaltung

  • Enterprise, angebotsbasiert

8. IBM Security Verify Governance - Lifecycle & Governance von IBM

IBM bringt starke IAM- und Governance-Funktionalität in hybride Landschaften.

  • Verknüpft Anwendungszugriff mit Geschäftsprozessen
  • Nutzungsbasierte Bepreisung; separate "Resource Units" für Lifecycle und Provisioning

Vorteile

  • Solide Governance und Reporting für komplexe Organisationen
  • Flexible "Resource Unit"-Preisgestaltung

Nachteile

  • Starke Abhängigkeit von IBM-Stack; nichts für kleine Teams, die schnelle Ergebnisse brauchen
  • Nicht optimiert für rasche Einführung durch schlanke IT-Abteilungen

Am besten geeignet für

  • Große Unternehmen mit umfangreichen IBM-Security-Investitionen

Preisgestaltung

  • Laut IBM-Kalkulator liegen Lifecycle/Provisioning für 5.000 Nutzende bei etwa 2,13 US-Dollar pro Nutzer und Monat als Referenzwert

9. Oracle Identity Governance - Tiefes ILM mit JML-Workflows

Oracle IGA ist vor allem für Oracle-zentrierte Großunternehmen interessant.

  • Umfassendes Workflow- und Berechtigungsmanagement für JML und darüber hinausgehende Lifecycle-Prozesse

Vorteile

  • Enge Integration mit Oracle-Anwendungen und -Datenbanken
  • Ausgereifte Governance

Nachteile

  • Komplex, stark integratorgetrieben
  • Vor allem für starke Oracle-Umgebungen sinnvoll

Am besten geeignet für

  • Oracle-zentrierte Unternehmen mit umfangreicher On-Prem-Infrastruktur

Preisgestaltung

  • Enterprise, kontaktbasierte Lizenzierung über den Vertrieb

10. ForgeRock Identity Governance/Cloud - Modernisierte Governance, starke Konnektoren

Identity Governance und Identity Cloud von ForgeRock liefern Lifecycle-Management, Reviews und Richtliniendurchsetzung für Großunternehmen.

  • Lifecycle-Ereignisse, Berechtigungspolicies und Reporting über den ForgeRock-Stack hinweg

Vorteile

  • Flexible Bereitstellung (Cloud/Software), starke Konnektoren
  • Geeignet für komplexe, mehrkanalige Identitätsszenarien

Nachteile

  • Weiterhin Enterprise-orientiert hinsichtlich Kosten und Komplexität
  • Kleinere Teams tun sich mit einer Selbstimplementierung schwer

Am besten geeignet für

  • Bestehende ForgeRock-Kunden, die integrierte Governance suchen

Preisgestaltung

  • Enterprise, angebotsbasiert

11. Ping Identity (PingOne Advanced Identity Cloud & Workforce) - Flexibler Lifecycle

Die PingOne-Portfolios liefern Provisioning/Lifecycle über Standardkonnektoren (LDAP, SQL, REST, SCIM) und das Identity Connector Framework (ICF).

Vorteile

  • Stark für flexibles Provisioning/Deprovisioning
  • Gute Option für Ping-SSO-/MFA-Kunden

Nachteile

  • Governance- und Feingranularitätsfunktionen im Ausbau; oft ist Individualentwicklung nötig
  • Komplexe Preis- und Produktstruktur

Am besten geeignet für

  • Ping-zentrierte Organisationen, die ILM erweitern wollen

Preisgestaltung

  • Enterprise, angebotsbasiert

12. JumpCloud - Verzeichnis, Geräteverwaltung und grundlegendes ILM für KMU

JumpCloud bietet Cloud-Verzeichnis, SSO, MFA, Geräteverwaltung und Benutzer-Lifecycle.

  • User-Lifecycle ist Bestandteil der Plattform-/Paketstruktur

Vorteile

  • Gut für kleinere Organisationen, die Identität + Geräteverwaltung + SSO aus einer Hand suchen
  • Einfache, menüartige Preisstruktur

Nachteile

  • Begrenzte ILM- und Governance-Tiefe im Vergleich zu spezialisierten IGA-Lösungen
  • Eher für IT-Management als für fein granulare Governance geeignet

Am besten geeignet für

  • KMU, die vereinheitlichte Identität + Geräteverwaltung, aber kein Enterprise-IGA benötigen

Preisgestaltung

  • Öffentliche Preise: SSO bei 11-13 US-Dollar pro Nutzer und Monat; Geräteverwaltung bei 9-11 US-Dollar pro Nutzer und Monat; Lifecycle in höheren Tarifen enthalten

Vergleichstabelle im Überblick

Legende
Abdeckung: S = hauptsächlich SCIM/API, U = universell (SCIM + nicht-SCIM/Legacy)
Automatisierung: B = grundlegendes JML, A = fortgeschrittenes JML/Workflows, AA = agentisch/KI-gesteuert

Lösung Bereitstellung Abdeckung Automatisierung Feingranularität Unternehmensgröße Relativer Preis*
Iden SaaS U AA Ressourcen-Ebene 50-2.000 $$
SailPoint ISC SaaS S/teilw. U A Stark/konfig-lastig 5.000+ $$$
Saviynt EIC SaaS S/teilw. U A Stark/App-Governance 5.000+ $$$
Entra ID Gov SaaS S A Gruppen/App/begrenzt 500+ MS $$
Okta LCM SaaS S B/A Überwiegend Gruppen 500-10.000 $$
One Identity Software/hybrid U A Stark/Enterprise 5.000+ $$$
CyberArk LM SaaS S/teilw. U A Stark/PAM 1.000+ $$$
IBM Verify Gov SaaS/on-prem U A Stark 5.000+ $$$
Oracle IG Software U (Oracle) A Stark/Oracle 5.000+ $$$
ForgeRock Gov SaaS/Software U (Konnektoren) A Stark/konfigurierbar 5.000+ $$$
PingOne SaaS/hybrid S/teilw. U B/A Konfigurierbar 1.000+ $$-$$$
JumpCloud SaaS S (Verzeichnis+SaaS) B Überwiegend Gruppen 50-1.000 $-$$

*Relativer Preis ist eine grobe Einordnung und orientiert sich an Listenpreisen für Enterprise-Kunden.

Welche ILM-Lösung solltest du wirklich wählen?

Auf den Webseiten der Anbieter heißt es überall "wir machen ILM". In der Praxis solltest du die Wahl an drei Fragen festmachen:

  1. Wie groß und komplex seid ihr wirklich?
    • Unter ca. 2.000 Mitarbeitenden, SaaS-lastig, schlanke IT? Dann lass SailPoint-Klasse-Komplexität lieber außen vor.
  2. Wie groß ist der Anteil nicht-SCIM- oder Legacy-Systeme in eurem Stack?
    • Hoher nicht-SCIM-Anteil = reine SCIM-Automatisierung ist Governance-Theater.
  3. Wollt ihr die Lösung selbst betreiben oder dauerhaft auf Berater angewiesen sein?

Wenn ihr ein schnell wachsendes Mid-Market-Unternehmen (50-2.000) seid

  • Fordert universelle Abdeckung, wartungsfreie Konnektoren, schnelle Inbetriebnahme und richtliniengesteuerte Workflows, die kleine Teams beherrschen können.
  • Genau das ist Idens Spielfeld: vollständiges JML für jede App, feingranulare Steuerung und agentische Workflows - ganz ohne eigene IAM-Abteilung.

Wenn ihr ein großes, reguliertes, komplexes Unternehmen seid

  • SailPoint, Saviynt, One Identity, IBM und Oracle bleiben hier oft gesetzt.
  • Wichtig: Ihr kauft ein Programm, keinen One-Click-Produktkauf - plant Budget für Design, Rollout und laufende Administration ein.

Wenn ihr Microsoft- oder Okta-zentriert und überwiegend in der Cloud seid

  • Entra ID Governance und Okta LCM sind naheliegend, aber prüft genau, was sie nicht abdecken: Long Tail, OT/ICS, nicht-SCIM-Anwendungen und feingranulare Berechtigungen.
  • Viele Teams kombinieren SSO/IDP mit einer zusätzlichen Governance-Schicht, um diese Lücken zu schließen - genau dort positioniert sich Iden.

FAQ

1. Wie unterscheidet sich Identity-Lifecycle-Management von "IGA" oder "IAM"?

  • ILM automatisiert Joiner, Mover, Leaver: Wer erhält Zugriff, wann, wie er sich ändert und wann er entzogen wird.
  • IGA ist breiter: Lifecycle, Access Reviews, SoD, Richtlinien, Audits.
  • IAM umfasst Authentifizierung (SSO, MFA), Autorisierung und teilweise PAM.

Die meisten hier betrachteten Lösungen liegen funktional irgendwo zwischen ILM und IGA.

2. Brauche ich ILM, wenn ich bereits SSO habe?

Ja. SSO beantwortet die Frage, wie sich Nutzende anmelden - nicht, wer was wie lange bekommt.

  • SSO stellt in der Regel nur SCIM-fähige Apps bereit.

  • SSO bietet selten Einblick in Entitlements oder SoD-Prüfungen.

  • Offboarding in SSO stellt nicht sicher, dass jedes nachgelagerte Konto wirklich verschwunden ist - insbesondere bei nicht-föderierten Anwendungen.

Für echte Governance oberhalb von SSO sind ILM/IGA erforderlich.

3. Was ist der größte Fehler bei Mover-Szenarien?

Movers als "Joiner + neue Zugriffe" zu behandeln, statt als "Rollenänderung, die neu bewertet werden muss".

Typische Probleme:

  • Alte Zugriffe werden beim Teamwechsel nie entzogen
  • Temporäre Projektzugriffe werden dauerhaft
  • Keine SoD-Regeln im Workflow - Konflikte schleichen sich ein

Wähle Werkzeuge, die:

  • Movers als explizite Ereignisse modellieren
  • Bestehende Berechtigungen gegen neue Rollen/Richtlinien prüfen
  • Sowohl Vergabe als auch Entzug automatisieren

4. Wie viel sollten wir für ILM einplanen?

Es kommt darauf an:

  • Auf Mid-Market fokussierte Plattformen (~5 US-Dollar/Nutzer/Monat) wie Iden zielen auf schnellen ROI - weniger Tickets und geringere SCIM-Aufschläge.
  • SSO-Add-ons (Okta LCM, Entra ID Gov) liegen oft bei 4-12 US-Dollar/Nutzer/Monat - je nach Bündelung und Rabatten.
  • Enterprise-IGA (SailPoint, Saviynt, IBM, Oracle) bewegt sich im ähnlichen oder höheren Bereich, aber der TCO umfasst auch Einführungs- und Betriebskosten.

Berücksichtige in der Wirtschaftlichkeitsrechnung:

  • Manuelle Ticket- und IT-Stunden heute
  • Audit- und Compliance-Kosten
  • SCIM-Aufschläge für Enterprise-Upgrades
  • SaaS-Verschwendung durch verwaiste oder "Zombie"-Konten

5. Wie führen wir ILM ein, ohne ein 12-monatiges "Big-Bang"-Projekt zu starten?

Pragmatischer, schrittweiser Rollout:

  1. Starte mit Joinern/Leavern für SSO/IDP, E-Mail, HR-System und die wichtigsten SaaS-Anwendungen; Ziel: Zero-Touch-Onboarding und -Offboarding.
  2. Nimm Movers dazu - zunächst für die risikoreichsten Rollen (Engineering, Finanzen, Kundendaten).
  3. Automatisiere Reviews für die kritischsten Anwendungen/Rollen; lass andere zu Beginn noch manuell.
  4. Erweitere die Abdeckung auf Long-Tail-/nicht-SCIM-Anwendungen, sobald die Kernflüsse stabil laufen.
  5. Kontinuierliches Rightsizing: ergänze SoD-Regeln, Lizenzrückgewinnung und Echtzeitkontrollen, sobald ihr reifer seid.

Die zentrale Entscheidungsfrage: Kann eure ILM-Plattform diesen schrittweisen, richtliniengesteuerten Ansatz unterstützen - oder wird jede Änderung zum neuen Projekt? Genau hier sind universelle Abdeckung, agentische Workflows und ein Design für schlanke Teams (Idens Spezialität) entscheidend für nachhaltigen Erfolg.

Book a call