Jeder Anbieter verspricht "vollständige" Identity Governance. Dann stellst du fest, dass damit "vollständig für Apps mit SCIM und gut dokumentierten APIs" gemeint ist. Der Rest deiner Landschaft - langschwänzige SaaS-Dienste, alte On-Prem-Systeme, OT/ICS und Eigenentwicklungen - läuft weiter über Tickets und Tabellen.

Wenn du ein SaaS-lastiges Unternehmen mit 50-2.000 Mitarbeitenden und einem schlanken IT-Team betreibst, ist genau dort der Punkt, an dem du untergehst.

Dieser Leitfaden ist für dich: IT-Leiterinnen und -Leiter, CIOs, CISOs und praxisnahe Admins, die aus reinem SSO und halber "moderner IGA" herausgewachsen sind, aber weder 18 Monate Zeit noch siebenstellige Budgets für klassische Plattformen haben.

Wir vergleichen 12 führende IGA-Anbieter - etablierte Platzhirsche, Cloud-Plattformen und KI-native Herausforderer wie Iden - mit Fokus auf:

  • Abdeckung über alle Anwendungen (auch solche ohne SCIM oder APIs)
  • Integrations- und Einführungsaufwand
  • Preise und Gesamtbetriebskosten (Total Cost of Ownership, TCO)
  • Eignung für schlanke, schnell wachsende Teams

Analysten schätzen den weltweiten Markt für Identity Governance and Administration (IGA) im Jahr 2025 auf rund 9-10 Milliarden US-Dollar, mit einem erwarteten Wachstum auf über 30 Milliarden US-Dollar bis 2034 - das bedeutet mehr Anbieter, mehr Lärm und höhere Risiken. Wähle etwas, das auch noch in drei Prüfungen sinnvoll ist.

TL;DR: Schnelle Empfehlungen

Wenn du eine Shortlist möchtest, fang hier an:

  • Am besten für schnell wachsende, SaaS-lastige Unternehmen (50-2.000 Mitarbeitende) mit schlankem IT-Team -> Iden - KI-native Plattform, universelle Konnektoren (mit oder ohne SCIM), ca. 5 US-Dollar pro Nutzer und Monat, genau für dieses Segment gebaut.
  • Am besten für Großunternehmen mit komplexen Altsystemen und Mainframe-Umgebungen -> SailPoint Identity Security Cloud oder Saviynt Enterprise Identity Cloud.
  • Am besten, wenn komplett auf Microsoft 365 / Azure gesetzt wird -> Microsoft Entra ID Governance.
  • Am besten, wenn SSO-Standard auf Okta -> Okta Identity Governance.
  • Am besten für regulierte Unternehmen, die IGA aus der Cloud bevorzugen -> Omada Identity Cloud oder RSA Governance & Lifecycle.
  • Am besten für privilegierte Zugriffe und Maschinenidentitäten -> CyberArk Identity Security Platform + CyberArk IGA.
  • Am besten für "grüne Wiese"-Teams mit Fokus auf prozessorientierte IGA -> ConductorOne.

Jetzt lass uns klären, worauf es bei IGA im Jahr 2026 wirklich ankommt.

Worauf du bei einer IGA-Lösung achten solltest (Realität 2026, nicht Folien)

Die meisten IGA-Checklisten sind für Banken mit 10.000 Mitarbeitenden gedacht, mit allem On-Prem und dedizierten IAM-Teams. Hier ist ein praxisnaher Blickwinkel.

1. Abdeckung: Raus aus der "20 % SCIM-Apps"-Falle

Wahrscheinlich hast du 20-40 % deiner Landschaft automatisiert - die einfachen, SCIM-fähigen Anwendungen. Schmerz und Risiko sitzen in den anderen 60-80 %: Nischen-SaaS, OT/ICS, Altanwendungen und interne Tools.

Daten und Kundenaussagen von Iden zeigen: In den meisten modernen Landschaften werden die meisten Anwendungen immer noch traditionell verwaltet; sowohl klassische als auch "moderne" IGA automatisieren im Wesentlichen die kleine, SCIM-freundliche Minderheit.

Frage Anbieter konkret:

  • Wie viele deiner tatsächlichen Anwendungen haben vorkonfigurierte Konnektoren?
  • Kann die Lösung sich mit Anwendungen ohne SCIM oder APIs verbinden?
  • Wirst du für Bereitstellung und Entzug von Zugängen in teure "Enterprise"-Tarife gedrängt (die SCIM-Aufpreise)?

2. Steuerungstiefe: Nicht nur Gruppen-Zuweisungen

Governance bedeutet:

  • Fein granulierte Berechtigungen (auf Projekt-, Repository-, Kanal-, Umgebungs-Ebene)
  • Segregation-of-Duties-Regeln (SoD)
  • Just-in-Time- und zeitlich befristete Zugriffe

Suche nach "SCIM++" - nicht nur Konten anlegen und in eine Gruppe stecken.

3. Automatisierung und agentische Abläufe

Starre vierteljährliche Überprüfungen und Abnicker-Zertifizierungen halten mit kontinuierlichen Angriffen nicht Schritt.

Achte auf:

  • Lebenszyklusautomatisierung für alle Identitäten - Bots, Dienstkonten, KI-Agenten
  • Agentische Abläufe - KI-gestützte, weitgehend autonome Prozesse für Zugriffsüberprüfungen, Berechtigungsbereinigung und Prüfungsnachweise
  • Entscheidungen in Echtzeit statt im Batchbetrieb

4. Time-to-Value und Einführungsmodell

Deine Teamgröße ist wichtiger als Funktions-Tabellen. Frage:

  • Wer übernimmt die Einrichtung - wir, ein Integrationspartner oder ihr selbst?
  • Wie sieht Woche 2 konkret aus?
  • Können wir 10-20 Anwendungen schnell anbinden?

Bei klassischen IGA-Lösungen (z. B. SailPoint IdentityIQ) wurden für eine vollständige Einführung häufig 6-18 Monate veranschlagt. Moderne SaaS-IGA (Omada) wirbt mit einem Produktivstart in 12 Wochen.

5. Preise, TCO - und die SCIM-Aufpreise

Der Listenpreis ist nur der Anfang. Berücksichtige:

  • Kosten für Dienstleistungen/Integrationspartner
  • interne Aufwände von Entwicklung/Administration (Vollzeitäquivalente)
  • versteckte SCIM-/SSO-Aufpreise von SaaS-Anbietern

Öffentliche Preistabellen für Okta Identity Governance im öffentlichen Sektor liegen bei 9-11 US-Dollar pro Nutzer und Monat (zuzüglich der grundlegenden Okta-Lizenzen). Iden liegt bei rund 5 US-Dollar pro Nutzer und Monat für eine vollständige IGA.

6. Eignung für schlanke Teams

Wenn IAM nur eine von zehn Aufgaben ist, die du wahrnimmst:

  • Null- bzw. Low-Code-Konfiguration
  • Konnektoren ohne laufenden Pflegeaufwand
  • Eine aufgeräumte Oberfläche, die dein Team tatsächlich nutzt
  • Revisionssichere Protokolle ohne manuelle Beweis-Suche

Schauen wir uns an, wie die 12 Anbieter im Detail abschneiden.

Anbieter-für-Anbieter-Bewertungen

Für jeden Anbieter: Vorteile, Nachteile, Am besten geeignet für, Preisüberblick (soweit verfügbar).

1. Iden

Typ: KI-native, moderne IGA für den Mittelstand und schnell wachsende Unternehmen
Entwickelt für Organisationen, die aus reinem SSO herausgewachsen sind, aber mit schlanken IT-Teams arbeiten. Vollständige Abdeckung, agentische Abläufe, schnelle Einführung - ohne Altlasten oder SCIM-Aufpreise.

Vorteile

  • Universelle Abdeckung: Beliebige Anwendungen - mit SCIM, mit API oder ohne beides - über universelle Konnektoren, aktuell über 175 unterstützte Systeme.
  • Fein granulierte Steuerung: Berechtigungen auf Repository-, Kanal- und Projektebene, nicht nur Gruppen.
  • Agentische Abläufe: KI-gestützte Prozesse für Onboarding, Offboarding, Überprüfungen und Nachweise - ohne mühsames Klicken.
  • Ideal für schlanke Teams: Keine eigene IAM-Admin-Rolle nötig; Einführungen gehen in etwa 24 Stunden live, erste Automatisierungen dauern weniger als eine Stunde.
  • Geschäftlicher Nutzen: Bis zu 80 % weniger Zugriffs-Tickets, über 120 eingesparte Stunden pro Quartal, bis zu 30 % geringere SaaS-Ausgaben durch automatisierte Lizenz- und Berechtigungssteuerung.

Nachteile

  • Jüngere Marke; in sehr risikoaversen Organisationen ist eventuell interne Überzeugungsarbeit nötig.
  • Fokus auf 50-2.000 Mitarbeitende; extrem große, stark individualisierte Umgebungen werden eventuell weiter auf klassische Plattformen standardisieren.

Am besten geeignet für

  • Schnell wachsende, SaaS-lastige Unternehmen mit 50-2.000 Mitarbeitenden
  • Organisationen, die Okta/Entra für SSO nutzen, aber vollständige Governance jenseits von SCIM/SSO benötigen

Preisüberblick

  • Rund 5 US-Dollar pro Nutzer und Monat - vollständige IGA (Governance, Lebenszyklus-Automatisierung, Überprüfungen, Lizenzrückgewinnung)
  • Kein SCIM-Aufpreis: keine erzwungenen Enterprise-Upgrades nur für Bereitstellungsfunktionen.

Book a call

2. SailPoint Identity Security Cloud

Typ: Klassische IGA auf dem Weg in die Cloud

Standard bei vielen Großunternehmen. Identity Security Cloud stellt die IGA-Funktionen von SailPoint als SaaS bereit.

Vorteile

  • Ausgereifte, breite Governance für komplexe Umgebungen
  • Umfangreiches Ökosystem an Partnern und Integratoren
  • Große Konnektoren-Bibliothek, starke SoD-Unterstützung

Nachteile

  • Lange, teure Einführungen - in der Praxis werden häufig 6-18 Monate für umfassende Rollouts genannt
  • Erheblicher Bedarf an internem und/oder Partner-Know-how
  • Für Unternehmen mit weniger als 500 Mitarbeitenden oft überdimensioniert

Am besten geeignet für

  • Große, komplexe Landschaften und Organisationen mit Budget für mehrphasige Programme
  • Bestehende SailPoint-Kunden, die weiter auf die Plattform setzen

Preisüberblick

  • Enterprise-Verträge im sechsstelligen Jahresbereich, zuzüglich Implementierung. Erfahrungsberichte nennen Einstiegsprojekte im hohen sechsstelligen Bereich.

3. Saviynt Enterprise Identity Cloud

Typ: Cloud-native IGA mit Stärken in Compliance

Positionierung: Next-Gen, cloud-native, stark in Zugriffsgovernance und Compliance.

Vorteile

  • Moderne Plattform, breite IGA- und Privileged-Access-Unterstützung
  • Geeignet für hybride Umgebungen; FedRAMP-Zertifizierung für den öffentlichen Sektor
  • Starke Analysen und Risikosteuerung

Nachteile

  • Praktiker berichten von Komplexität und Herausforderungen mit Implementierungspartnern
  • Am besten für größere Organisationen; für schlanke Teams eher schwergewichtig

Am besten geeignet für

  • Großunternehmen mit Fokus auf Compliance und Risikomanagement
  • Öffentlicher Sektor oder stark regulierte Branchen

Preisüberblick

  • Enterprise-Abonnement; sechsstellige Projekte sind im mittleren bis großen Maßstab üblich

4. Okta Identity Governance (OIG)

Typ: IGA-Erweiterung zur Okta Workforce Identity Cloud

Governance-Ebene für Oktas SSO- und Lifecycle-Angebot.

Vorteile

  • Nahtlose Ergänzung bestehender Okta-Umgebungen
  • Sinnvoll, wenn dein Berechtigungsmodell primär auf Okta-Gruppen und -Richtlinien basiert
  • Gute Konnektoren-Abdeckung für gängige SaaS-Dienste

Nachteile

  • Starke Abhängigkeit von SCIM/API-fähigen Anwendungen; nicht-SCIM-Systeme, OT oder Eigenentwicklungen bleiben manuell bzw. erfordern Eigenentwicklungen
  • Kann teuer werden - vollständige Suiten erreichen Beträge im hohen Zehner-Dollarbereich pro Nutzer und Monat

Am besten geeignet für

  • Teams mit starker Okta-Ausrichtung
  • Umgebungen, in denen alle geschäftskritischen Anwendungen Enterprise-/SCIM-Tarife nutzen

Preisüberblick

  • 9-11 US-Dollar pro Nutzer und Monat im öffentlichen Sektor (zusätzlich zur Basislizenz von Okta); abhängig von Volumen und Verhandlung

5. Microsoft Entra ID Governance

Typ: Zusatzmodul zu Entra ID (ehemals Azure AD)

IGA für Microsoft-zentrierte Landschaften: Abläufe, Berechtigungsverwaltung, Zugriffsüberprüfungen.

Vorteile

  • Direkte Passform für stark Microsoft-orientierte Organisationen
  • Einige Funktionen in E5-Paketen enthalten
  • Stark für Azure/M365 und verbundene Anwendungen

Nachteile

  • "Sehr Microsoft-zentriert" - für heterogene Landschaften mit Vorsicht zu betrachten
  • Governance für Gäste und erweiterte Funktionen erfordern zusätzliche Lizenzen

Am besten geeignet für

  • Unternehmen mit konsequenter Standardisierung auf Microsoft 365, Entra ID und Azure
  • Teams, die IGA vollständig innerhalb des Microsoft-Ökosystems abbilden möchten

Preisüberblick

  • Separate Lizenz oder Bestandteil bestimmter Pakete; Funktionen für Gäste/Externe benötigen Azure-basierte Zusatzlizenzen.

6. Omada Identity Cloud

Typ: Moderne SaaS-IGA für mittelgroße bis große Unternehmen

Umfassender Funktionsumfang. Stark in Europa und regulierten Sektoren.

Vorteile

  • End-to-End-Lebenszyklus, Zugriffsanträge, SoD, Analysen
  • Klare Methodik und Best-Practice-Implementierung
  • Accelerator-Programm verspricht einen Produktivstart in 12 Wochen - deutlich schneller als On-Prem-Ansätze

Nachteile

  • Erfordert weiterhin signifikante Beteiligung durch Partner und Fachbereiche
  • Für Unternehmen mit unter 500 Mitarbeitenden oft zu umfangreich

Am besten geeignet für

  • Regulierte bzw. größere Unternehmen, die eine SaaS-IGA suchen
  • Organisationen, die mit einem vordefinierten, projektgesteuerten Ansatz gut zurechtkommen

Preisüberblick

  • Enterprise-Abonnement; Beratungsleistungen für den Accelerator inbegriffen

7. CyberArk Identity Security Platform + CyberArk IGA

Typ: Identitätssicherheit/Privileged-Access-Management mit IGA für menschliche und maschinelle Identitäten

Marktführer im Bereich Privileged-Access-Management, inzwischen mit breiter IGA-Funktionalität.

Vorteile

  • Branchenführend bei privilegierten Zugängen
  • Deckt Belegschafts-, privilegierte, Geheimnis- und IGA-Anforderungen ab
  • Jüngste Übernahme von Zilla Security zur Erweiterung von Governance- und Analysefunktionen

Nachteile

  • Große Plattformbreite bedeutet Komplexität; keine Leichtgewichtslösung
  • Der volle Nutzen entfaltet sich vor allem, wenn die Organisation umfassend auf CyberArk standardisiert

Am besten geeignet für

  • Organisationen, in denen privilegierte und maschinelle Identitäten im Vordergrund stehen
  • Sicherheitsfokussierte Teams, die in eine integrierte Identitätssicherheits-Plattform investieren wollen

Preisüberblick

  • Abonnementmodell, modular nach Funktionsumfang skalierend

8. One Identity Manager

Typ: Klassische IGA für komplexe On-Prem-/Hybrid-Umgebungen

Ausgelegt für stark angepasste SAP-, AD- und Individualanwendungen.

Vorteile

  • Ausgereifte Kontrollen, flexible Bereitstellungsoptionen
  • Geeignet für SAP-, On-Prem-AD- und Fachanwendungen

Nachteile

  • Benötigt spezialisierte Fachkräfte bzw. Partner
  • Für kleine, cloud-native Organisationen kaum passend

Am besten geeignet für

  • Großunternehmen, die bestehende IAM-/IGA-Werkzeuge konsolidieren möchten
  • Organisationen mit starkem On-Prem-/Hybrid-Schwerpunkt

Preisüberblick

  • Lizenzmodell für Großunternehmen plus umfangreiche Professional-Services-Leistungen

9. IBM Security Verify Governance

Typ: IGA-Lösung von IBM, Teil der IBM-Security-Suite

Weiterentwicklung langjähriger IBM-Identitätsprodukte.

Vorteile

  • Tiefe Integration mit Governance-, Risiko- und Compliance-Lösungen im IBM-Portfolio
  • Passend für IBM-dominierte, regulierte Branchen

Nachteile

  • Klassischer IBM-Ansatz mit schwergewichtigem Vertrieb und aufwändigen Einführungen
  • Im SaaS-getriebenen Mittelstand wenig präsent

Am besten geeignet für

  • IBM-zentrierte, regulierte Großunternehmen

Preisüberblick

  • Enterprise-Verträge, häufig Bestandteil größerer IBM-Pakete

10. Oracle Identity / Access Governance

Typ: IGA-Lösungen von Oracle, On-Prem und Cloud

Sowohl On-Prem- als auch Cloud-Optionen. Besonders geeignet für Oracle-dominierte Landschaften.

Vorteile

  • Natürliche Passform, wenn auf Oracle-Technologie standardisiert wurde
  • Access Governance ist moderner ausgerichtet und stärker auf Erkenntnisse fokussiert

Nachteile

  • Historisch schwergewichtige On-Prem-Produkte; Migration in die Cloud kann anspruchsvoll sein
  • Für SaaS-first-Start-ups in der Regel nicht geeignet

Am besten geeignet für

  • Oracle-zentrierte Großunternehmen

Preisüberblick

  • Lizenzen für Großunternehmen, häufig als Teil der gesamten Oracle-Landschaft verhandelt

11. RSA Governance & Lifecycle (SecurID)

Typ: IGA für sicherheitssensitive Organisationen, Cloud und On-Prem

Cloud- oder On-Prem-Bereitstellung, in hochsicheren Umgebungen seit Langem etabliert.

Vorteile

  • Langjährige Erfahrung in regulierten Bereichen wie Behörden und Finanzwirtschaft
  • Starke Zertifizierungen und Datenzugriffsgovernance
  • Vergleichbarer Funktionsumfang über Cloud und On-Prem hinweg

Nachteile

  • Projektkomplexität; erfordert spezialisierte Implementierungspartner

Am besten geeignet für

  • Sicherheitsbewusste Branchen
  • RSA-SecurID-Kunden, die Governance eng einkoppeln möchten

Preisüberblick

  • Enterprise-Abonnement bzw. unbefristete Lizenzen mit Wartung

12. ConductorOne

Typ: Moderne, prozessorientierte IGA für SaaS

Jüngere IGA-Plattform, fokussiert auf Benutzererlebnis und Zugriffsgovernance für menschliche und nicht-menschliche Identitäten.

Vorteile

  • Schlanke Oberfläche, starker Fokus auf Anträge, Genehmigungen und Automatisierung
  • Unterstützt sowohl Personen als auch Dienst-/KI-Konten
  • SaaS-native Architektur, leichter einzuführen als klassische Lösungen

Nachteile

  • Konnektoren und Funktionen sind noch im Aufbau; Plattform in Entwicklung
  • Deutlicher SaaS-/Cloud-Fokus; für tief verankerte OT- oder Altsysteme sind zusätzliche Werkzeuge nötig

Am besten geeignet für

  • Cloud-first-Organisationen mit starkem Fokus auf Abläufe
  • Teams, denen Benutzererlebnis und entwicklerfreundliche Werkzeuge wichtig sind

Preisüberblick

  • SaaS-Abonnement; preislich wettbewerbsfähig im Mittelstandssegment

Vergleichstabelle: 12 IGA-Anbieter im Überblick

Eine bewusst zugespitzte Zusammenfassung auf Basis von Anbieterunterlagen, Analystenberichten und Praxiserfahrungen.

Anbieter Hauptpassform Bereitstellungsmodell Abdeckung nicht-SCIM- / Altsysteme Time-to-Value Preisgestaltung
Iden 50-2.000 Mitarbeitende, SaaS-lastig, schlanke IT SaaS Universelle Konnektoren (SCIM, API oder keines von beiden) Stunden bis Tage (typisch 24 Std.) ca. 5 US-Dollar/Nutzer/Monat, keine SCIM-Aufpreise
SailPoint ISC Großes, komplexes Unternehmen SaaS (+ klassische On-Prem-Lösungen) Breite Abdeckung, häufig mit Anpassungen Monate bis über ein Jahr Projekte im sechsstelligen Bereich
Saviynt EIC Enterprise, Compliance-getrieben SaaS Gut für Cloud-/Enterprise-Anwendungen Monate Enterprise-Abonnement
Okta IG Okta-zentrierte Organisationen SaaS Gut bei SCIM; schwach für nicht-SCIM Wochen bis Monate ca. 9-11 US-Dollar/Nutzer/Monat + Okta-Basis
Entra ID Gov Microsoft-zentriert SaaS Stark für Microsoft; variabel für andere Wochen bis Monate Zusatzmodul / in einigen E5-Paketen enthalten
Omada IC Regulierte mittelgroße bis große Unternehmen SaaS Enterprise-Konnektoren ca. 12 Wochen Abonnement + Dienstleistungen
CyberArk IGA Sicherheits-, PAM-getriebene Organisationen SaaS Stark für privilegierte/Maschinen-Konten Monate Modulares Abonnement
One Identity Legacy-/Hybrid-Enterprise On-Prem/Hybrid/Cloud Stark für On-Prem + SAP Monate bis über ein Jahr Lizenz + Services
IBM Verify IBM-zentriert On-Prem/Hybrid Enterprise-Konnektoren Monate Großunternehmens-Lizenzen
Oracle IGA Oracle-Umgebungen On-Prem/Cloud Stark für Oracle-Anwendungslandschaft Monate Lizenz/Abonnement
RSA G&L Sicherheitssensible Organisationen On-Prem/Cloud Starke Daten-Governance Monate Enterprise-Abonnement
ConductorOne SaaS-, prozessorientierte Organisationen SaaS Gut für moderne SaaS-Dienste; Altsystem-Abdeckung im Aufbau Wochen SaaS-Abonnement

Wie du den richtigen IGA-Anbieter auswählst (nach Szenario)

Szenario 1: 200-Personen-SaaS-Unternehmen mit 3-köpfigem IT-Team

  • Landschaft: Okta + Google Workspace, über 60 SaaS-Anwendungen
  • Schmerzpunkte: Zu viele Supportfälle, unvollständiges Offboarding, SOC 2/ISO-Anforderungen, SCIM-Aufpreise

Shortlist:

  • Iden - Universelle Abdeckung, agentische Abläufe, etwa 80 % weniger Tickets innerhalb weniger Wochen.
  • ConductorOne - Wenn der Fokus klar auf Abläufen und reiner SaaS-Welt liegt.
  • Okta IG - Nur, wenn alle geschäftskritischen Anwendungen SCIM-fähig und in Okta integriert sind.

Zentrale Treiber: Vermeidung von SCIM-Aufpreisen, universelle Abdeckung, Admin-Aufwand. Iden ist hier am stärksten.

Szenario 2: Globaler Hersteller mit 5.000 Mitarbeitenden, SAP und OT/ICS

  • Landschaft: SAP, Oracle, On-Prem-AD, OT-Systeme, moderne SaaS-Dienste
  • Schmerzpunkte: OT/ICS-Zugriffe, SoD, Prüfungen, organisatorische Komplexität

Shortlist:

  • SailPoint ISC oder Saviynt - wenn ein vollständiges IGA-Programm aufgesetzt werden soll.
  • Omada IC oder RSA G&L - für Cloud-Bereitstellung mit starkem Compliance-Fokus.
  • Iden - als schnelle Parallellösung für Lücken bei OT/SaaS.

Szenario 3: Microsoft-fokussierter Mittelstand (1.000 Mitarbeitende)

  • Landschaft: Entra ID, M365, einige weitere SaaS-Dienste
  • Schmerzpunkte: Gästezugänge, Berechtigungswildwuchs, Lücken im Offboarding

Shortlist:

  • Entra ID Governance - ideal für konsequent Microsoft-zentrierte Umgebungen.
  • Iden - für die Abdeckung nicht-Microsoft-Anwendungen, agentischen Ansatz und universelle Konnektoren.

Szenario 4: Sicherheitsfokussierte Organisation - privilegierte und Maschinenidentitäten

  • Landschaft: Hybride Cloud, viele privilegierte Dienst-/KI-Konten

Shortlist:

  • CyberArk Identity Security Platform + IGA - insbesondere, wenn CyberArk bereits für Privileged-Access-Management genutzt wird.
  • Iden oder ConductorOne - für SaaS, Belegschaft und "neue Arten von Identitäten" außerhalb klassischer PAM-Szenarien.

Unsere Einschätzung: Wo Iden hineinpasst

Wenn du ein riesiges Unternehmen mit großem IAM-Team, Millionenbudget und mehrjährigem Programmplan bist, haben klassische Anbieter weiterhin ihre Berechtigung.

Aber wenn du Identitäten für 200, 800 oder 1.500 Personen mit wenigen Admins und einer unübersichtlichen Menge nicht-SCIM-fähiger SaaS-Dienste verwaltest, brauchst du andere Werkzeuge.

Idens Versprechen:

  • Vollständige Abdeckung: Automatisiere Governance über mehr als 175 Anwendungen - Notion, Slack, Figma, Jira, GitHub usw. - auch ohne SCIM/APIs.
  • Fein granulierte Steuerung: Berechtigungen auf Kanal-/Projekt-/Repository-Ebene statt nur auf Gruppenebene.
  • Kosten: Keine SCIM-Aufpreise, automatisierte Lizenzrückgewinnung, bis zu 30 % geringere SaaS-Ausgaben durch Bereinigung von Karteileichen und Vermeidung unnötiger Upgrades.
  • Geschwindigkeit: Produktivstart innerhalb eines Tages, ohne Berater, mit nahezu keinem laufenden Pflegeaufwand.

Wenn du sagst: "Okta/Entra bringen uns 20-40 % des Weges, der manuelle Rest macht uns fertig", setze Iden ganz oben auf deine Liste.

FAQ

1. IAM vs. IGA?

IAM beantwortet: Wer kann sich wie anmelden? (SSO, MFA, grundlegende Bereitstellung). IGA beantwortet: Wer sollte wann und warum worauf zugreifen dürfen? (Anträge, SoD, Überprüfungen, Nachweise). IAM ohne IGA führt zu Berechtigungswildwuchs und Prüfungschaos. Moderne IGA schließt diese Lücke.

2. Brauche ich IGA, wenn ich Okta oder Entra ID habe?

Wenn du weiterhin:

  • mehr als nur einige wenige Anwendungen manuell ein- und ausbuchst,
  • Zugriffsüberprüfungen in Tabellen durchführst,
  • Prüfpfade manuell erstellst,

...hast du dir bereits eine manuelle IGA gebaut. Eine echte IGA liefert dir kontinuierliche, automatisierte Governance.

Iden setzt auf Okta/Entra auf und schließt genau diese Lücke.

3. Wie lange dauert die Einführung von IGA?

Das hängt von Anbieter und Umfang ab:

  • Klassische Suiten (SailPoint IIQ, Oracle/IBM/RSA): 6-18 Monate für umfassende Abdeckung
  • Moderne SaaS-IGA (Omada, Saviynt, ConductorOne): Wochen bis wenige Monate - Omada spricht von 12 Wochen
  • KI-native, auf schlanke Teams ausgerichtete Werkzeuge (Iden): Stunden bis wenige Tage, schrittweise erweiterbar.

Der entscheidende Punkt ist nicht "wann sind wir live", sondern: "Wie lange dauert es, bis die schwierigen 60-80 % der Anwendungen automatisiert sind?"

4. Welches Budget ist realistisch?

Grobe Richtwerte:

  • Klassische Lösungen: sechsstellige Lizenzsummen plus mindestens ebenso viel für Implementierung
  • SaaS-IGA: Betrag pro Nutzer und Monat im mittleren einstelligen bis niedrigen zweistelligen Bereich
  • Iden: etwa 5 US-Dollar pro Nutzer und Monat, vollständige Governance, keine SCIM-Aufpreise und keine erzwungenen Enterprise-Upgrades

Berücksichtige den internen Aufwand - "günstige" Plattformen, die endlose Einrichtung erfordern, sind unterm Strich nicht günstig.

5. Was sind SCIM-Aufpreise?

SCIM ermöglicht die automatische Bereitstellung und das Entfernen von Zugängen - doch der Zugriff auf SCIM ist bei vielen Anbietern hinter teuren Enterprise-Tarifen versteckt.

Die SCIM-Aufpreise sind das, was du an unnötigen Upgrades zahlst, nur um Bereitstellungsfunktionen freizuschalten (z. B. bei Notion, Slack, Figma usw.). Analysen von Iden zeigen: Für mittelgroße Unternehmen summiert sich das auf zehntausende US-Dollar pro Jahr.

Plattformen, die über SCIM hinaus verbinden - etwa über Oberflächenautomatisierung, APIs und andere Ebenen - ermöglichen dir Automatisierung von Zugängen, ohne für ungenutzte Enterprise-Funktionen zu zahlen, und stellen dennoch echte Governance sicher.

Wenn in deiner Tabelle 60 Anwendungen stehen, dein Ticket-Rückstau wächst und die nächste Prüfung ansteht, ist der richtige Schritt: Stelle eine Shortlist von 3-4 Anbietern zusammen, die zu deiner Größe und Landschaft passen, und führe einen Proof-of-Value mit deinen schwierigsten Anwendungen durch - nicht mit den einfachen.

Wenn ein Anbieter die harten 80 % - nicht-SCIM-Tools, langschwänzige SaaS-Dienste, Eigenentwicklungen - nicht automatisieren kann, kaufst du nur Teil-Governance. Und Teil-Governance ist nichts weiter als Theater.

More about Iden