Jeder Anbieter verspricht vollständige Identitäts-Governance. Und dann kommt das Kleingedruckte: Gemeint ist vollständig - für Apps mit SCIM und sauberen APIs.

Für die meisten schnell wachsenden Unternehmen - Okta oder Entra, 30-80 SaaS-Anwendungen, ein paar Altlasten und jede Menge Nischentools ohne SCIM - ist klar, wohin das führt: teilweise Automatisierung, Prüfungen in Tabellen, Offboarding-Checklisten, die immer etwas übersehen.

Dieser Leitfaden ist für Teams, die genau so arbeiten müssen.

Wir werden:

  • den IGA-Markt 2026 und seine Entwicklung einordnen
  • die wirklich entscheidenden Kernfunktionen herausarbeiten (und trennen, was nur "nice to have" ist)
  • die führenden Lösungen vergleichen: SailPoint, Saviynt, Okta, Microsoft Entra, One Identity, IBM, Oracle, ConductorOne und Iden
  • Ihnen einen praxisnahen Bewertungsrahmen für Anbietergespräche und Ausschreibungen an die Hand geben

Analysten schätzen den aktuellen IGA-Markt im hohen einstelligen Milliardenbereich, mit zweistelligen jährlichen Wachstumsraten bis Mitte der 2030er Jahre. Dieses Wachstum kommt von Organisationen wie Ihrer - 50-2.000 Mitarbeitende, starker SaaS-Einsatz, schlanke IT - nicht von Fortune-50-Banken.

Für wen dieser IGA-Buyer's Guide gedacht ist

Dieser Leitfaden passt zu Ihnen, wenn:

  • Sie 50-2.000 Mitarbeitende haben und stark auf SaaS setzen
  • Sie bereits SSO (Okta, Entra, Ping etc.) nutzen, die Bereitstellung aber noch manuell läuft
  • Ihr IT-Team klein ist (1-10 Personen) und von Zugriffsanfragen überlastet wird
  • SOC 2, ISO 27001, HIPAA, DORA, CMMC oder ähnliche Vorgaben jetzt konkret werden
  • Sie mit modernen IGA-Erweiterungen an die "SCIM-Mauer" gestoßen sind

Wenn das auf Sie zutrifft, brauchen Sie keinen Koloss. Sie brauchen vollständige Abdeckung, fein granulare Kontrolle und Automatisierung, die Ihr Team selbst beherrschen kann.

TL;DR: Schnelle Empfehlungen

Wenn Sie nur überfliegen, starten Sie hier. Das sind pragmatische, richtungsweisende Shortlists auf Basis von Praxiserfahrungen und öffentlichen Bewertungen.

Das ist eine Orientierungshilfe, keine offizielle Empfehlung. Gleichen Sie alles mit Ihren Anforderungen und eigenen Pilotprojekten ab.

Beste IGA-Werkzeuge nach Szenario

  • Schlanke, SaaS-lastige Teams (50-2.000), die an der SCIM-Mauer hängen: Iden
  • Große, stark regulierte Unternehmen mit viel Legacy: SailPoint Identity Security Cloud / IdentityIQ
  • "All-in" auf Microsoft 365 + Azure: Microsoft Entra ID Governance
  • Starker Okta-Fokus: Okta Identity Governance
  • Kombiniertes IGA + Cloud-Privileged-Access (CIEM/PAM): Saviynt Enterprise Identity Cloud
  • Individuelle/on-prem Windows-/AD-Anwendungen: One Identity Manager
  • IBM- oder Mainframe-Schwerpunkt: IBM Security Verify Governance
  • Oracle-Schwerpunkt (ERP, HCM, Datenbanken): Oracle Identity Governance / Oracle Access Governance
  • Cloud-nativer Herausforderer: ConductorOne

Überblickstabelle: Wer passt zu wem

Anbieter Am besten geeignet für Abdeckungsstil Time-to-Value Preissignal
Iden Schlanke, SaaS-lastige Organisationen, 50-2.000 Nutzende Universell (SCIM, API, nicht-API-Apps) Stunden bis Tage Einfache Pro-User-Lizenz (ca. mittlerer einstelliger Bereich)
SailPoint Große, regulierte, komplexe Hybridumgebungen Sehr breit, stark bei Legacy & On-Prem Mehrere Monate+ Üblicherweise sechsstelliger Jahresmindestpreis
Saviynt Cloud-First, kombiniertes IGA/PAM im Großunternehmen Breit in der Cloud, weniger in Nischen Monate Angebotspflichtig, auf große Unternehmensbudgets ausgelegt
Okta IGA Okta-zentriert, schnelle SaaS-/SCIM-Automatisierung Stark für SaaS-/SCIM-Apps Wochen Pro-User-Erweiterung zu Okta
Entra ID Governance Microsoft-zentrierte Organisationen Am stärksten im Microsoft-Umfeld Wochen bis Monate Erfordert Entra-P2-Tarif
One Identity Starke Legacy-, On-Prem- und individuelle Windows-/AD-Landschaften Robust für Legacy/individuelle Anwendungen Monate Projektorientiert, hoher Bedarf an Professional Services
IBM Verify Governance Mainframe-/Legacy-Szenarien, IBM-Schwerpunkt Sehr hohe Anpassbarkeit Monate+ Unternehmenskonditionen
Oracle IGA Oracle-Stack Enge Oracle-Integration Monate+ In Unternehmensverträgen gebündelt
ConductorOne Cloud-nativer, entwicklerfreundlicher Herausforderer SaaS-fokussiert, starke API-Abdeckung Wochen Nutzungsbasiert, nur auf Anfrage

Die Analyse der einzelnen Plattformen folgt weiter unten.

Der IGA-Markt 2026: Was sich verändert hat

Identitäts-Governance und -Verwaltung ist entstanden, um zwei Fragen von Prüfern zu beantworten:

  1. Wer hat worauf Zugriff?
  2. Wie hat die Person diesen Zugriff erhalten - und sollte sie ihn noch haben?

2026 verankern dieselben Fragen eine deutlich chaotischere Realität:

  • Remote- und Hybrid-Belegschaften
  • Dutzende SaaS-Anwendungen pro Mitarbeitendem
  • Dienstleister, technische Konten, Bots, KI-Agenten, Partneridentitäten
  • Regulatorische Rahmenwerke, die dauerhafte Kontrolle verlangen - nicht jährliche Checklisten

Software für Identitäts-Governance wird auf ein jährliches Wachstum von 13-15 % geschätzt und soll bis Anfang/Mitte der 2030er Jahre ein jährliches Volumen im zweistelligen Milliardenbereich erreichen.

Zwei Entwicklungen prägen IGA aktuell für Einkäufer:

  1. Von statischen Überprüfungen zu kontinuierlicher Governance. Angreifer warten nicht auf quartalsweise Rezertifizierungen. Plattformen bewegen sich hin zu Echtzeit-Richtlinien, Risikobewertungen und automatischer Behebung.
  2. Von Konnektor-Katalogen zu echter Vollabdeckung. Klassische Anbieter warben mit Hunderten Konnektoren; in der Praxis automatisieren die meisten Kunden aber nur einen Bruchteil ihrer Landschaft. Heute setzen Käufer voraus, dass Automatisierung für jede wichtige Anwendung funktioniert - unabhängig von SCIM oder APIs.

Zahlen machen diese Abdeckungslücke immer wieder deutlich: die meisten SaaS-Anwendungen besitzen kein natives SCIM, sodass Organisationen nur 20-40 % der Anwendungen automatisieren, während 60-80 % weiterhin über Anfragen und Tabellen gepflegt werden. Genau an dieser Stelle geht dieser Leitfaden in die Tiefe.

Was in moderner IGA wirklich zählt

Klassische IGA-Ausschreibungen bestehen aus endlosen Checklisten - Passwortsync, Konnektoren, Oberflächen, Berichte. Die meisten Werkzeuge haken diese Felder ab. Konzentrieren Sie sich auf die Funktionen, die tatsächlich einen Unterschied machen.

1. Abdeckung: über die SCIM-Mauer hinaus

Fragen Sie Anbieter kritisch, wie sie mit Folgendem umgehen:

  • Nicht-SCIM-SaaS (Standard-Notion, Slack, Figma, Linear)
  • Nischentools, die tatsächlich im Einsatz sind
  • Legacy-On-Prem/OT/ICS
  • Eigene interne Anwendungen ohne APIs

Wenn SCIM oder "Sonderanpassungen" nötig sind, steuern Sie auf Teilautomatisierung und hohe Professional-Services-Rechnungen zu.

Die meisten SSO- und "modernen IGA"-Werkzeuge decken nur rund 20 % der Anwendungen ab und lassen die anderen 80 % in manueller Bereitstellung/Abschaltung zurück.

Zentrale Fragen:

  • Welchen Prozentsatz meiner heutigen Anwendungslandschaft können Sie sofort, ohne Programmierung, automatisieren?
  • Wie binden Sie Anwendungen an, die kein SCIM und keine APIs haben?
  • Wie schnell kommen neue Konnektoren hinzu - und wer erledigt diese Arbeit?

2. Kontrolle: Granularität und Funktionstrennung (SoD)

Einfache Bereitstellung beschränkt sich auf Gruppen und Rollen. Sie brauchen jedoch:

  • Fein granulare Berechtigungen (Projekt, Repository, Kanal, Umgebung)
  • Funktionstrennungs-Prüfungen (Segregation of Duties)
  • "Toxische" Kombinationen von Rechten über Werkzeuge hinweg

Wenn Sie nur "zur Gruppe hinzufügen" sehen, bleiben echte Berechtigungsrisiken unsichtbar.

3. Lebenszyklus-Automatisierung - nicht nur Überprüfungen

Suchen Sie nach einem durchgängigen, richtliniengesteuerten Lebenszyklus:

  • Joiner: Grundzugriffe, rollenbasierte Berechtigungen, sofortige Anwendungszuweisung, sobald HR "eingestellt" meldet
  • Mover: Änderungen und Genehmigungen, die aus HR-/Organisationsdaten abgeleitet werden - nicht aus Ad-hoc-Nachrichten
  • Leaver: Vollständig automatische Entziehung von Rechten, vollständiges Offboarding über alle Anwendungen

In vielen mittelgroßen Organisationen dauert Offboarding heute noch Stunden und betrifft Dutzende Systeme. Moderne IGA sollte das auf einen 30-sekündigen, von HR ausgelösten (und prüfbaren) Vorgang reduzieren.

4. Kontinuierliche Governance & agentische Workflows

Statische Quartalsüberprüfungen reichen nicht, wenn Dienstleister, Bots und KI-Agenten Dutzende von Berechtigungen besitzen. Achten Sie auf:

  • Laufende Zugriffsprüfungen (Nutzung, Zeitbegrenzung)
  • KI-gestützte Richtlinienentscheidungen, die risikoarme Fälle automatisch genehmigen/entziehen können
  • Agentische Workflows (KI-gesteuerte Automatisierung, die ausführt, protokolliert und korrigiert - ohne ständige menschliche Aufsicht)

Forschungsarbeiten zeigen, dass agentische Systeme in der Identity-Security die Geschwindigkeit und Genauigkeit gegenüber manuellen Abläufen deutlich erhöhen.

5. Nicht-menschliche Identitäten: eine "neue Art" von Zugriff

Moderne IGA muss steuern können:

  • Technische Konten, API-Token/-Schlüssel
  • Bots, RPA-Prozesse, KI-Agenten
  • Partner- und externe Identitäten

Behandeln Sie diese als vollwertige Identitäten: mit Richtlinien, Überprüfungen und vollständigem Lebenszyklus - nicht als Randthema.

6. Time-to-Value und Einführung

Klassische IGA-Einführungen dauern oft 12-18 Monate und erfordern sechsstellige Budgets für Professional Services.

Im Vergleich dazu berichten Kunden moderner Cloud-nativer IGA-Lösungen von Go-Lives innerhalb von Tagen oder wenigen Wochen.

Wichtige Fragen:

  • Was haben Ihre letzten drei mittelgroßen Kunden in den ersten 90 Tagen tatsächlich automatisiert?
  • Brauchen wir Systemintegratoren oder spezialisierte IAM-Ingenieure?
  • Wie viel laufenden Administrationsaufwand verursacht die Lösung in einer 500-Personen-Organisation?

7. Gesamtkosten (TCO), nicht nur Lizenzpreis

Berücksichtigen Sie alles:

  • SSO-/SCIM-Upgrades ("SCIM-Aufschlag")
  • Aufwände für individuelle Integrationen/Professional Services
  • Interne Zeit von IT, Security, Anwendungsverantwortlichen
  • On-Prem-Infrastruktur bei hybriden oder selbst gehosteten Setups

Iden verzichtet zum Beispiel auf den SCIM-Aufschlag, indem Anwendungen in Standardtarifen automatisiert und ungenutzte Lizenzen zurückgeholt werden. Kunden berichten von betrieblichen Einsparungen und weniger SaaS-Verschwendung - bis zu 30 % niedrigere SaaS-Ausgaben durch automatische Rückgewinnung von Lizenzen; keine Notwendigkeit teurer Enterprise-Upgrades nur für SCIM.

IGA-Anbieter im Vergleich: Stärken, Kompromisse, Preise

Im Folgenden die Einordnung von neun zentralen IGA-Lösungen anhand der oben genannten Kriterien. Preise sind Richtwerte - holen Sie stets aktuelle Angebote ein.

Iden - universelle, agentische Governance für schlanke SaaS-Teams

KI-native IGA für schnell wachsende Organisationen, die SSO ausgereizt haben, sich aber keine ausufernden Legacy-IGA-Programme leisten können.

Stärken

  • Konzipiert für 50-2.000 Mitarbeitende, SaaS-lastig, kleine IT-Teams
  • Universelle Konnektoren (SCIM, API und Anwendungen ohne API)
  • Fein granulare Steuerung: Kanal, Repository, Projekt
  • Nahezu wartungsfrei: für schlanke Teams, die kein dediziertes IAM-Betriebsteam aufbauen wollen

Iden automatisiert Bereitstellung und Governance für über 175 Anwendungen, darunter viele wichtige Nicht-SCIM-Werkzeuge (Notion, Slack, Figma, Linear, GitHub).

Frühe Anwender berichten von rund 80 % weniger Zugriffsanfragen in den ersten 60 Tagen sowie bis zu 30 % geringeren SaaS-Ausgaben durch Lizenzrückgewinnung und eingesparte SCIM-Upgrades.

Vorteile

  • Echte Vollabdeckung - SCIM und Nicht-SCIM; keine erzwungenen Tarif-Upgrades
  • Agentische, richtliniengesteuerte On-/Offboarding-, Zugriffs- und Prüfungsabläufe
  • Dauerhafte Governance: Just-in-Time-Zugriff, zeitlich begrenzte Berechtigungen, automatische Nachweise
  • Administrationsoberfläche für praktische IT-Verantwortliche - nicht nur für IAM-Spezialisten
  • Sehr schnelle Einführung: produktiv in unter einer Stunde, breite Abdeckung innerhalb von 24 Stunden

Nachteile

  • Am besten geeignet für Mittelstand und kleinere Enterprise-Umgebungen; weniger passend für extrem große, hochgradig individuelle Landschaften
  • Jüngere Marke; weniger vorgefertigte Beratungsvorlagen für sehr große Konzerne

Am besten geeignet für

  • Wachsende SaaS-Organisationen mit 50-2.000 Mitarbeitenden
  • Teams mit SSO, die dennoch in einer Flut von Zugriffsanforderungen stecken
  • Unternehmen, die vollständige Abdeckung wollen, ohne ein eigenes IAM-Team aufzubauen

Preisgestaltung Einfache Pro-User-Lizenz, mittlerer einstelliger Dollarbetrag pro Nutzenden und Monat, keine Gebühren für Professional Services oder SCIM-Konnektoren. Betriebseinsparungen durch vermiedene Upgrades, weniger Beratungsaufwand und reduzierten manuellen Bearbeitungsaufwand.

More about Iden

SailPoint Identity Security Cloud / IdentityIQ

Der Enterprise-Standard für IGA. Riesiger Konnektorkatalog, ausgereifte Zugriffs-Governance.

Vorteile

  • Sehr umfangreiche Konnektor-Bibliothek (Cloud/On-Prem)
  • Reife Richtlinien-Engine, Funktionstrennung, Rezertifizierungen
  • Ideal für sehr große, komplexe Umgebungen
  • Breites Ökosystem an Systemintegratoren und Beratungspartnern

Nachteile

  • Komplex; erfordert häufig dedizierte IAM-Betriebsteams und Integrationspartner
  • Cloud-Produkte erben vielfach Legacy-Designs; steile Lernkurve, großer Anpassungsbedarf
  • Für SaaS-lastige Mittelständler meist überdimensioniert

Typische Verträge im Mittelstand beginnen bei 100.000-250.000 US-Dollar pro Jahr; Drei-Jahres-Verträge liegen oft im hohen sechsstelligen Bereich. Große SailPoint-Projekte benötigen 12-18 Monate, bis der volle Nutzen erreicht ist.

Am besten geeignet für

  • Regulierte, große Unternehmen (Finanzsektor, Behörden, Gesundheitswesen)
  • Organisationen mit Mainframe/On-Prem, die bereits ein IAM-Team haben

Preisgestaltung

  • Pro Identität, angebotsbasiert; rechnen Sie mit sechsstelligen Gesamtkosten und hohem Anteil an Professional Services.

Saviynt Enterprise Identity Cloud

Kombinierte Plattform für IGA + Cloud-Privileged-Access (PAM/CIEM).

Vorteile

  • Eine zentrale SaaS-Lösung für IGA, PAM und CIEM
  • Tiefe Cloud-Sicherheitsanalysen und Berechtigungsbewertung

Nachteile

  • Erfordert fundiertes internes oder Partner-Know-how
  • Schwächer bei On-Prem/Legacy im Vergleich zu SailPoint
  • Vor allem relevant für große Unternehmen, die voll konvergente Lösungen suchen

Am besten geeignet für

  • Große, Cloud-lastige Unternehmen, die Zugriffssicherheit konsolidieren wollen

Preisgestaltung

  • Enterprise-Angebot, typischerweise sechsstellige jährliche Aufwände

Okta Identity Governance

IGA-Erweiterung für bestehende Okta-Umgebungen.

Vorteile

  • Nahtlos für Unternehmen, die bereits Okta nutzen
  • Schneller Mehrwert: Zugriffsüberprüfungen, grundlegende Joiner/Mover/Leaver-Prozesse

Nachteile

  • Am stärksten für SaaS/SCIM; eingeschränkt bei Nicht-SCIM und Legacy
  • Viele Nutzende berichten von Grenzen gegenüber "vollwertigen" IGA-Lösungen bei detaillierten Berechtigungen

Wird als Erweiterung im niedrigen einstelligen Dollarbetrag pro Nutzenden und Monat zusätzlich zu den Kern-Okta-Lizenzen verkauft.

Am besten geeignet für

  • Okta-First-Organisationen, die Zugriffsüberprüfungen und Lebenszyklen ergänzen wollen, ohne eine weitere Plattform einzuführen

Preisgestaltung

  • Pro-User-Erweiterung; reale Vertragskonditionen liegen meist unter öffentlichen Listenpreisen.

Microsoft Entra ID Governance

Microsofts IGA-Ebene über der bestehenden Identitätsinfrastruktur.

Vorteile

  • Tiefe Integration in M365, Teams, SharePoint und Azure
  • Besonders attraktiv, wenn Entra P2 bereits lizenziert ist

Nachteile

  • Sehr stark im Microsoft-Kosmos, außerhalb davon deutlich komplexer
  • Konfiguration und Oberflächen werden häufig als wenig intuitiv beschrieben

Erfordert Entra P2, typischerweise mittlerer bis hoher einstelliger Dollarbetrag pro Nutzenden und Monat.

Am besten geeignet für

  • Organisationen mit starkem Microsoft-Fokus, die möglichst alles in diesem Ökosystem halten wollen

Preisgestaltung

  • In Lizenzpaketen gebündelt, rabattierbar; der tatsächliche Preis hängt stark vom Gesamtlizenzmodell ab

One Identity Manager

Der On-Prem-Veteran in der Governance-Welt.

Vorteile

  • Sehr geeignet für klassische Windows-/AD- und Legacy-Landschaften
  • Leistungsfähige Anpassungs- und Workflow-Möglichkeiten

Nachteile

  • Wirkt in Teilen überholt, sehr schwergewichtig für kleine und mittlere Unternehmen
  • Starke Abhängigkeit von Professional Services und Support

Am besten geeignet für

  • Große, traditionell geprägte IT-Organisationen, die noch nicht bereit für Cloud-native Architekturen sind

Preisgestaltung

  • Enterprise-Angebot, hoher Projektanteil

IBM Security Verify Governance

IBMs Antwort auf komplexe Regulierung und Legacy-Umgebungen.

Vorteile

  • Stark anpassbare Richtlinien und Workflows
  • Gut passend für bestehende IBM-Security-Kunden und Mainframe-Workloads

Nachteile

  • Schwierige Pilotprojekte und Konfiguration, insbesondere für kleinere Teams
  • Erfordert internes IBM-/IAM-Fachwissen

Am besten geeignet für

  • Große IBM-Landschaften, Mainframe-Schwerpunkt

Preisgestaltung

  • Enterprise-Angebot, hoher Professional-Services-Anteil

Oracle Identity Governance / Oracle Access Governance

Für Organisationen, die stark auf Oracle-Plattformen setzen.

Vorteile

  • Enge Integration mit Oracle-Anwendungen und -Datenbanken
  • In Oracle-Kontext ausgereift

Nachteile

  • Geringer Mehrwert für Nicht-Oracle-Umgebungen
  • Aufwendige Implementierung, komplexe Lizenzmodelle

Am besten geeignet für

  • Unternehmen mit klarem Oracle-Schwerpunkt

Preisgestaltung

  • Häufig Bestandteil größerer Oracle-Verträge

ConductorOne

Moderner, Cloud-nativer, agentischer Herausforderer.

Vorteile

  • Fokus auf autonome KI-Agenten für Zugriffsanfragen und -prüfungen
  • Schlankere Alternative zu traditionellen Plattformen

Nachteile

  • Konnektorportfolio noch im Aufbau
  • Ökosystem und Marktpräsenz noch nicht auf klassischem Enterprise-Niveau

Am besten geeignet für

  • Cloud-native Unternehmen, die Wert auf agentische Workflows und moderne Benutzeroberflächen legen

Preisgestaltung

  • Nutzungsbasiert, nur auf Anfrage; positioniert als mittelstandsfreundlich

Vergleichstabelle

Anbieter Abdeckung von Nicht-SCIM-Apps Fein granulare Berechtigungen Nicht-menschliche Identitäten Time-to-Value Komplexität Richtwert Preisgestaltung
Iden Universell (SCIM, API, ohne API, 175+ Apps) Kanal, Repository, Projekt Vollwertige Behandlung von Bots, technischen Konten, Agenten Stunden bis Tage Gering Einfache Pro-User-Lizenz, kein SCIM-Aufschlag
SailPoint Sehr breit; teils mit kundenspezifischem Code Vollständige Funktionstrennung/Berechtigungen Starke Abdeckung menschlicher, teilweise nicht-menschlicher Identitäten Monate bis über ein Jahr Hoch, starker PS-Bedarf Jährlich sechsstellige Beträge und mehr
Saviynt Breite Cloud-Abdeckung, schwächer in Nischen Stark in Cloud-Umgebungen Starke Abdeckung privilegierter/nicht-menschlicher Konten Monate Hoch, konvergente Plattform Enterprise, nur auf Anfrage
Okta IGA Stark bei SCIM, schwach bei Nicht-SCIM Gut für Gruppen/Rollen In Entwicklung, Verbesserungen laufend Wochen Mittel Pro-User-Erweiterung, niedriger Dollarbereich
Entra Tief im Microsoft-Umfeld, außerhalb variabel Solide für Microsoft Verbesserung im Gange (Azure-Fokus) Wochen bis Monate Mittel bis hoch Erfordert Entra P2
One Identity Sehr gut On-Prem, schwach bei SaaS Vollständig, aber stark konfigurationslastig Unterstützt Monate Hoch Enterprise, projektgetrieben
IBM Stark für IBM/Mainframe, sonst kundenspezifisch Frei anpassbar Unterstützt Monate+ Hoch Enterprise, PS-getrieben
Oracle Optimal für Oracle-Anwendungen Ausgereifte Oracle-Kontrollen Unterstützt Monate+ Hoch Gebündelt/verhandelt
ConductorOne Gute SaaS-Abdeckung, wachsend Stabil, API-getrieben Unterstützt Wochen Niedrig bis mittel Nutzungsbasiert, nur auf Anfrage

So treffen Sie 2026 eine kluge IGA-Auswahl

IGA zu kaufen erinnert an die Datenbankwahl im Jahr 2005: Überall Funktionen, nirgends eindeutige Definitionen. So schneiden Sie durch den Lärm.

1. Ihre konkreten Probleme aufschreiben

Formulieren Sie offen und praxisnah:

  • "5-20 Neueinstellungen pro Monat; 3-5 Tage bis zu vollständigem Werkzeugzugriff."
  • "Unmöglich, Salesforce-/GitHub-Zugriffe des letzten Quartals nachzuweisen, ohne zwei Wochen Aufwand."
  • "Offboarding besteht aus einer 40-Punkte-Checkliste, 30+ Anwendungen."
  • "Wir zahlen für Enterprise-SaaS-Tarife nur wegen SCIM."

Leiten Sie daraus Ihre Muss-Kriterien ab: Lebenszyklus-Automatisierung, universelle Abdeckung, unveränderliche Protokolle, Lizenzrückgewinnung.

2. Ihr Governance-Modell festlegen

Wer übernimmt tatsächlich die Verantwortung für:

  • Richtlinien
  • Pflege der Anbindungen
  • Zugriffsüberprüfungen/Genehmigungen

Haben Sie kein dediziertes IAM-Team, scheiden Plattformen aus, die genau das voraussetzen.

3. Echte Abdeckung belegen lassen

Verlangen Sie von jedem Anbieter:

  • Die Anbindung von 10-20 Ihrer realen (gern auch "unschönen") Anwendungen live zu demonstrieren
  • Einen vollständigen End-to-End-Ablauf für mindestens ein Nicht-SCIM-Werkzeug
  • Eine klare Darstellung, wie neue Anbindungen entstehen - idealerweise ohne Programmierung

Plattformen wie Iden, die auf universelle Abdeckung und geringen Wartungsaufwand ausgelegt sind, werden hier glänzen - oder eben nicht.

4. Kontinuierliche Governance testen, nicht statische Checklisten

Ein gutes Pilotprojekt umfasst:

  • Eine automatisierte Zugriffsüberprüfung für eine risikoreiche Anwendung
  • Just-in-Time-, zeitlich begrenzte Zugangsgenehmigungen
  • Automatische Erkennung und Bereinigung ungenutzter Berechtigungen

Wenn alles auf Exporte und "Abnicken" hinausläuft, handelt es sich nicht um moderne IGA.

5. Drei-Jahres-TCO modellieren

Berücksichtigen Sie:

  • Abonnements
  • Implementierung/Professional Services
  • Interne Vollzeitäquivalente
  • Enterprise-Upgrades für SCIM
  • Einsparungen durch Lizenzrückgewinnung und weniger manuelle Anfragen

Schlankere, KI-native Plattformen mit steckfertigen Konnektoren schlagen schwere Suiten häufig bei Geschwindigkeit und Kosten - selbst wenn der Listenpreis pro Nutzendem ähnlich aussieht.

Empfehlung: Wo Sie starten sollten

Wenn Sie 50-2.000 Personen, viel SaaS und ein schlankes IT-Team haben:

  1. Stellen Sie eine Shortlist aus drei Anbietern zusammen: einen Schwergewichts-Anbieter (SailPoint oder Saviynt), eine SSO-nahe Lösung (Okta oder Entra, je nach Ihrer Basis) und eine KI-native Plattform, die wirklich für Sie gebaut ist (Iden).
  2. Führen Sie eine 4-6-wöchige Bewertung durch, die sich an Ihren schwierigsten Anwendungen orientiert - nicht an Hochglanzdemos.
  3. Priorisieren Sie vollständige Abdeckung und echten Betriebsvorteil - nicht das Abhaken möglichst vieler Feature-Kästchen.

In direkten Vergleichen zeigt sich immer wieder:

  • Schwergewichte passen zu großen Budgets und vorhandenen IAM-Teams.
  • SSO-Erweiterungen sind bequem, durchbrechen die SCIM-Mauer aber nicht.
  • KI-native Plattformen mit universeller Abdeckung wie Iden reduzieren Anfragen, Prüfungsaufwand und schließen tatsächliche Sicherheitslücken - ohne zusätzliches Personal.

Wenn Sie erleben wollen, wie sich "vollständige" Identitäts-Governance für schlanke Teams anfühlt, machen Sie Folgendes: Legen Sie jedem Anbieter einen echten Teil Ihrer Landschaft vor und schauen Sie, wer ihn in einer Woche automatisiert. Wer zuerst einen sechsmonatigen Projektplan braucht - aussortieren.

Book a call

FAQ: IGA im Jahr 2026

F: IAM vs. IGA - worin liegt der echte Unterschied? IAM umfasst Authentifizierung, Autorisierung und den Kernzugriff (SSO, Mehrfaktor-Authentifizierung, Verzeichnisse). IGA steuert, wer Zugriff haben soll, warum, wann und wie lange. Das beinhaltet:

  • Bereitstellung und Entzug von Zugriffsrechten
  • Zugriffsanfragen und Genehmigungen
  • Zugriffsrezertifizierungen
  • Richtlinien und Prüfungen

In der Praxis: SSO kümmert sich um den Login. IGA (wie Iden) steuert alles, was danach passiert.

F: Wenn wir Okta/Entra haben, brauchen wir dann trotzdem IGA? Ja.

SSO/Lebenszyklusfunktionen decken die Grundlagen ab. Echte IGA kümmert sich um:

  • Anwendungen ohne SCIM oder außerhalb der direkten Steuerung des Identitätsproviders
  • Detaillierte SaaS-Berechtigungen (Repositories, Projekte)
  • Prüfungs- und Berichtspflichten gegenüber Auditoren
  • Nicht-menschliche Identitäten

SSO ist Authentifizierung. IGA verhindert Berechtigungsdrift, schließt Blindflecken und sichert die kontinuierliche Compliance für die 60-80 % Ihrer Landschaft, die SSO nicht vollständig abdeckt.

F: Welches Budget sollte ich für IGA einplanen?

  • Großunternehmen (SailPoint, Saviynt): sechsstellige Beträge pro Jahr plus Professional Services, mehrjährige Einführungen
  • Mittelstand/schlanke Teams (Iden und andere Herausforderer): niedriger bis mittlerer fünfstelliger Bereich pro Jahr, wenig Beratungsaufwand, schneller Nutzenaufbau

Konzentrieren Sie sich auf die Drei-Jahres-Gesamtkosten: SCIM-Aufschlag, Professional-Services-Budgets und interne IT-Stunden - nicht nur den Lizenzpreis.

F: Wie vermeide ich eine IGA-Einführung, die nie wirklich live geht?

  • Starten Sie schlank: 10-20 Anwendungen, zentrale Anwendungsfälle
  • Fordern Sie eine schnelle, vom Anbieter geführte Konfiguration in Ihrer realen Umgebung
  • Meiden Sie Lösungen, die Sie zwingen, zunächst HR-Prozesse oder Rollenmodelle grundlegend umzubauen
  • Wählen Sie Plattformen, die schnelle Erfolge und eine schrittweise Ausweitung ermöglichen

Wenn nach einem Monat keine echte Automatisierung im Betrieb ist, wird es später kaum einfacher.

F: Wo ordnet sich Iden ein? Iden bietet universelle, vollständige Governance: SCIM-/Nicht-SCIM-Abdeckung, fein granulare Kontrolle und KI-gestützte, agentische Workflows, optimiert für schlanke Teams.

Iden will kein klassischer IGA-Koloss sein. Die Plattform ist für Unternehmen gedacht, die mit SSO und Skripten an Grenzen stoßen, aber Identitäts-Governance suchen, die sich wie moderne SaaS-Software anfühlt - nicht wie ein mehrjähriges Infrastrukturprogramm.