Migrácia zo SAP IDM na midPoint

SAP Identity Management dosiahne koniec údržby 31. decembra 2027. SAP neponúka priameho nástupcu on-premise pre komplexné, multi-systémové identity prostredia. We Know Identity migruje nasadenia SAP IDM na midPoint — zachovávame vaše SAP integrácie a zároveň eliminujeme závislosť od proprietárnej platformy.

Expertíza v SAP ekosystéme
Natívne konektory pre SAP R/3, SuccessFactors, S/4HANA a SAP HCM
Skúsenosti s migráciou IDM
Overená metodológia migrácie komplexných IDM nasadení s fázovým prechodom
Certifikovaný partner Evolveum
Certifikovaný implementačný partner midPoint s kompetenciami v architektúre a dodávke
Európska dodávka
Tímy na mieste aj vzdialené v EU časovom pásme, operácie v súlade s GDPR

Situácia: Koniec údržby SAP IDM

SAP potvrdil, že SAP Identity Management (SAP IDM) 8.0 dosiahne end of mainstream maintenance on 31. decembra 2027. Existuje jednorazová možnosť rozšírenej údržby do 31. decembra 2030, ale za výrazné dodatočné náklady a bez vývoja nových funkcií.

More significantly, SAP will not deliver a direct on-premise successor for complex identity governance across mixed SAP and non-SAP environments. Vlastné cloudové portfólio SAP — Identity Authentication Service (IAS), Identity Provisioning Service (IPS), Identity Access Governance (IAG) a Identity Directory Service (IDS) — pokrýva autentifikáciu SAP cloudových aplikácií a základný provisioning. Nenahrádza SAP IDM ako centrálnu platformu pre správu identít pre organizácie s Active Directory, LDAP, HR systémami, vlastnými aplikáciami a komplexnou automatizáciou životného cyklu.

Kritické riziká zotrvania na SAP IDM

  • No security patches after 2027 — or 2030 if extended maintenance is purchased
  • No support for modern SAP cloud products — IAS, BTP, and S/4HANA cloud integrations require updated connector patterns SAP IDM nedokáže poskytnúť
  • SAP-proprietary architecture — SAP IDM’s UME-based store, workflow engine, and connector framework are unique to the product and cannot be migrated incrementally
  • Talent scarcity — SAP IDM administrators and developers are increasingly rare as the platform is deprecated
  • Growing compliance risk — access reviews, SoD enforcement, and lifecycle automation become harder to evidence as the platform ages
  • Extended maintenance cost — the 2030 extension requires a one-time charge that may exceed the cost of migration itself

Prečo migrovať teraz, nie v roku 2026 alebo 2027

Industry guidance consistently estimates 24 to 36 months for a structured SAP IDM migration across a complex environment. That means organizations that have not started planning in 2025 or early 2026 are already at risk of a compressed, high-pressure cutover window.

Organizácie, ktoré migrujú teraz — namiesto čakania — získajú:

  • Priestor pre správnu architektúru: fázová migrácia umožňuje prechod konektor po konektore bez prerušenia služieb
  • Čas na správne mapovanie IDM procesov: Task-based workflow model SAP IDM sa líši od policy-based provisioningu midPoint; redizajn vyžaduje štruktúrovaný analytický čas
  • Stabilita konektora SAP R/3: konektory SAP založené na RFC vyžadujú dôkladné testovanie naprieč vaším ABAP prostredím pred úplným prechodom
  • Kontrola rozpočtu: unáhlené migrácie sú vždy drahšie; fázová dodávka rozloží náklady a zníži riziko
  • Rozvoj tímu: váš prevádzkový tím potrebuje čas na naučenie sa architektúry midPoint predtým, než ju prevezme

Alternatívy od SAP — a ich obmedzenia

SAP odporúča svoje Cloud Identity portfólio a nadviazal partnerstvo s Microsoftom na poziciovanie Microsoft Entra ID ako migračnej cesty. Obe majú skutočné využitie, ale ani jedno nie je úplnou náhradou SAP IDM pre organizácie spravujúce komplexné on-premise identity prostredia.

SAP Cloud Identity (IAS / IPS / IAG)

  • Navrhnuté pre identitu SAP cloudových aplikácií, nie pre multi-systémovú správu
  • IPS zvláda základný provisioning do SAP cieľov; komplexná logika životného cyklu vyžaduje vlastné skriptovanie
  • Žiadna vstavaná certifikácia prístupu alebo SoD mimo úzky rozsah SAP IAG
  • Nedokáže provisionovať do Active Directory, LDAP alebo ne-SAP obchodných aplikácií
  • Uzamyká správu identít do komerčného modelu cloudovej platformy SAP

Microsoft Entra ID (SAP-odporúčaná cesta)

  • Silný pre ekosystém Microsoft a SSO; slabší pre komplexné IGA governance procesy
  • SAP provisioning cez Entra sa spolieha na SAP IPS ako middleware vrstvu — komplexita zostáva
  • Licencovanie na používateľa v enterprise meradle pridáva značné priebežné náklady
  • Governance funkcie (prístupové revízie, SoD, role engineering) vyžadujú dodatočné Microsoft IGA licencovanie
  • Nahrádza závislosť na dodávateľovi SAP závislosťou na dodávateľovi Microsoft

Prečo midPoint pre migráciu SAP IDM

midPoint je účelovo vytvorený pre triedu problémov, ktoré riešil SAP IDM: komplexná správa životného cyklu identít naprieč heterogénnymi podnikovými systémami. Pokrýva SAP aj ne-SAP ciele v jednej platforme, bez licencovania na používateľa a bez závislosti na komerčnom pláne jedného dodávateľa.

1. Natívne SAP konektory

Evolveum poskytuje produkčný SAP R/3 konektor využívajúci RFC/BAPI volania pre provisioning používateľských účtov a rolí. SuccessFactors je podporovaný cez SCIM a OData konektory. Oba sa priamo integrujú do provisioningového enginu midPoint.

2. Kompletná IGA governance sada

midPoint zahŕňa role engineering, detekciu SoD konfliktov, certifikačné kampane prístupu, schvaľovacie procesy a audit-ready reporting — governance schopnosti, na ktoré sa zákazníci SAP IDM spoliehali a ktoré cloudové portfólio SAP plne nenahrádza.

3. Žiadne licencovanie na používateľa

midPoint je licencovaný na nasadenie, nie na spravovanú identitu. Pre organizácie spravujúce tisíce alebo stovky tisíc účtov je to zásadná nákladová výhoda oproti Microsoft Entra IGA aj SaaS-based IGA platformám.

4. HR-riadená automatizácia životného cyklu

SAP HCM a SuccessFactors sú bežné zdroje joiner/mover/leaver udalostí v SAP IDM prostrediach. HR integračný framework midPoint spracováva tieto zdroje natívne, s detailnými pravidlami životného cyklu nahrádzajúcimi task-based provisioningovú logiku SAP IDM.

5. On-Premise a hybridné nasadenie

midPoint sa nasadzuje on-premise, na Kubernetes alebo v hybridnom modeli. Pre organizácie s požiadavkami na rezidentnosť dát, regulačnými obmedzeniami alebo on-premise SAP infraštruktúrou je táto flexibilita dôležitá — a nie je dostupná v cloudovom IGA portfóliu SAP.

6. Nezávislosť od dodávateľa

Open-source jadro s komerčnou podporou od Evolveum. Vaša identity platforma nie je závislá od cenových rozhodnutí SAP alebo Microsoft. Konfigurácia, konektory a governance pravidlá patria vašej organizácii — nie sú uzamknuté v proprietárnej platforme.

Čo WKI zabezpečuje pri migrácii zo SAP IDM na midPoint

Migrácie SAP IDM zahŕňajú viac než inštaláciu midPoint. Migrácia vyžaduje analýzu existujúcich IDM rolí, úlohových tokov, konfigurácií konektorov a organizačných dátových štruktúr, nasledovanú starostlivou reimplementáciou v architektúre midPoint.

Inžiniering SAP konektorov

Konfigurácia a testovanie konektorov SAP R/3 (RFC/BAPI), SAP SuccessFactors (SCIM/OData) a SAP HCM v midPoint. Mapovanie atribútov, rozšírenie schémy, korelácia účtov a správa oprávnení v súlade s vaším SAP prostredím.

Redizajn procesov a politík

SAP IDM používa task-based provisioningové procesy. midPoint používa policy-based provisioning s role-driven mapovaním. Prekladáme vaše existujúce IDM úlohové toky do modelu rolí midPoint, stavov životného cyklu a schvaľovacích procesov — zachovávame logiku bez kopírovania zastaralých dizajnových vzorov.

Migrácia dát identít

Extrakcia dát identít z UME-based úložiska SAP IDM, korelácia s autoritatívnymi HR a adresárovými zdrojmi a import do midPoint so správnym prepojením účtov, mapovaním tieňových účtov a integritou relačných dát.

Konektory pre ne-SAP systémy

Väčšina prostredí SAP IDM tiež spravuje Active Directory, LDAP adresáre, databázy a vlastné aplikácie. Budujeme alebo konfigurujeme konektory midPoint pre celý váš systémový landscape — nielen SAP ciele.

Nastavenie governance

Návrh modelu rolí, implementácia SoD pravidiel, konfigurácia certifikácie prístupu a audit reporting v súlade s vašimi compliance požiadavkami — obnovenie governance vrstvy, na ktorej závisí vaša organizácia, ale v udržateľnej modernej platforme.

Paralelný beh a prechod

Fázový prechod s paralelnou prevádzkou SAP IDM a midPoint počas prechodu. Kontroly rekonciliácie, validácia dát a podpisové brány pred vyradením každého systému z rozsahu IDM.

Migračný prístup

Migrácie SAP IDM štruktúrujeme do štyroch fáz, navrhnutých na zníženie rizika, zachovanie kontinuity správy a poskytnutie času vášmu tímu na vybudovanie prevádzkovej istoty pred vyradením SAP IDM.

Fáza 1 — Prieskum a návrh architektúry

4–6 týždňov

Inventúra všetkých SAP IDM konektorov, provisioningových úloh a dátových tokov. Dokumentácia existujúceho modelu rolí, logiky procesov a organizačných pravidiel. Návrh architektúry pre midPoint, ktorý mapuje vašu súčasnú IDM logiku na natívny provisioningový a governance model midPoint. Stratégia konektorov: ktoré systémy použijú existujúce konektory midPoint oproti tým, ktoré vyžadujú vlastný vývoj.

Fáza 2 — Budovanie midPoint a konfigurácia SAP konektorov

8–14 týždňov

Nasadenie midPoint na vašu cieľovú infraštruktúru. Konfigurácia konektora SAP R/3: provisioning používateľov, priraďovanie rolí a životný cyklus účtov. Konfigurácia konektora SuccessFactors alebo SAP HCM pre HR-riadenú automatizáciu joiner/mover/leaver. Počiatočná implementácia modelu rolí na základe návrhu architektúry. Základné pravidlá životného cyklu: onboarding, off-boarding, zmeny pozícií a žiadosti o prístup.

Fáza 3 — Ne-SAP konektory, governance a testovanie

6–10 týždňov

Budovanie a testovanie konektorov pre Active Directory, LDAP, databázy a všetky vlastné systémy aktuálne spravované SAP IDM. Konfigurácia governance vrstvy: SoD pravidlá, certifikácia prístupu, schvaľovacie procesy. Funkčné a integračné testovanie naprieč celým prepojeným systémovým landscapeom. Testovanie rekonciliácie: zarovnanie dát medzi tieňovými účtami midPoint a cieľovými systémami.

Fáza 4 — Paralelný beh, prechod a odovzdanie

4–8 týždňov

Paralelná prevádzka SAP IDM a midPoint na báze systém po systéme. Validácia, že provisioningové udalosti v midPoint produkujú identické výsledky ako legacy IDM systém. Prechod každého systémového rozsahu, keď rekonciliácia potvrdí presnosť. Plánovanie vyradenia SAP IDM. Odovzdanie prevádzky: runbooky, konfiguračná dokumentácia, nastavenie monitoringu a školenie tímu.

Často kladené otázky

+ Ako dlho trvá typická migrácia zo SAP IDM na midPoint?

Väčšina komplexných prostredí SAP IDM vyžaduje 6 až 18 mesiacov na úplnú migráciu v závislosti od počtu pripojených systémov, komplexity existujúcej provisioningovej logiky a rozsahu governance požiadaviek. Odborné odporúčania od Evolveum a SAP partnerov konzistentne odporúčajú vyhradiť 24 až 36 mesiacov na plánovanie a realizáciu vo veľkých podnikoch. Menšie nasadenia s menším počtom konektorov sa môžu presunúť rýchlejšie.

+ Dokáže midPoint zvládnuť našu integráciu SAP R/3 a SuccessFactors?

Áno. Evolveum udržiava produkčný SAP R/3 konektor, ktorý používa RFC/BAPI volania na provisioning používateľov a rolí v SAP R/3, ECC a S/4HANA. Integrácia SuccessFactors je dostupná cez SCIM a OData konektory. Oba konektory zvládajú vytváranie účtov, správu atribútov, priraďovanie rolí a operácie životného cyklu účtov. WKI má praktické skúsenosti s konfiguráciou týchto konektorov v komplexných SAP prostrediach.

+ Prečo nemigrovať na SAP Cloud Identity Services?

SAP Cloud Identity Services (IAS, IPS, IAG) pokrýva autentifikáciu a základný provisioning pre SAP cloudové aplikácie. Nemôže nahradiť funkciu SAP IDM ako centrálnej platformy pre správu identít pre zmiešané SAP a ne-SAP prostredia. Organizácie s Active Directory, LDAP, vlastnými aplikáciami a komplexnou automatizáciou joiner/mover/leaver zistia, že cloudové portfólio SAP je nedostatočné pre ich plný rozsah správy identít. midPoint bol navrhnutý špeciálne pre tento multi-systémový governance problém.

+ Prečo nemigrovať na Microsoft Entra?

Microsoft Entra je SAP-odporúčaný partner pre migráciu IDM a je silnou platformou pre prostredia orientované na Microsoft. Avšak cesta provisioningu SAP cez Entra sa stále spolieha na SAP IPS ako middleware vrstvu, takže komplexita nie je eliminovaná. Licencovanie Entra IGA pridáva náklady na používateľa vo veľkom meradle. Organizácie hľadajúce vendor-neutrálnu, on-premise-schopnú, plne otvorenú governance platformu — bez lock-in od SAP alebo Microsoft — považujú midPoint za vhodnejší architektonický fit. Správna odpoveď závisí od vášho existujúceho prostredia a strategického smerovania.

+ Čo sa stane s našimi existujúcimi rolami a provisioningovými úlohami SAP IDM?

SAP IDM používa task-based provisioningový model s MX skriptami a UME-based úložiskom identít, ktoré sú špecifické pre túto platformu. Tieto nemožno priamo importovať do midPoint. Migrácia zahŕňa analýzu vašich existujúcich úloh a procesov, extrakciu základnej obchodnej logiky a jej reimplementáciu v policy-based provisioningovom modeli midPoint. Toto je dizajnová práca, nie len migrácia dát. WKI vykonáva štruktúrovanú fázu prieskumu na dokumentáciu vašej súčasnej IDM logiky pred začatím akejkoľvek implementácie.

+ Môžeme migrovať vo fázach namiesto úplného prechodu?

Áno, a toto je prístup, ktorý WKI odporúča. Fázová migrácia presúva jeden systémový rozsah naraz zo SAP IDM na midPoint, pričom obe platformy bežia paralelne počas každého prechodového okna. Toto znižuje riziko prechodu, umožňuje validáciu každého konektora pred pokračovaním a udržiava identity operácie stabilné počas celého projektu. Úplný prechod zo SAP IDM je záverečná fáza, nie východiskový bod.

+ Čo s možnosťou rozšírenej údržby do roku 2030?

SAP ponúka rozšírenú údržbu do 31. decembra 2030 za dodatočný jednorazový poplatok. Toto kupuje čas, ale nemení základnú situáciu: SAP IDM nebude dostávať nové funkcie, moderné SAP cloudové integrácie zostanú nepodporované a platforma bude naďalej vyžadovať nedostatkové špecialistické zručnosti. Rozšírená údržba je možnosť riadenia rizík, nie strategické riešenie. Ak vaša organizácia potrebuje 12 až 18 ďalších mesiacov na realizáciu riadnej migrácie, môže byť vhodná — ale mala by byť plánovaná ako migračná dráha, nie ako trvalá stratégia.

+ Čo WKI potrebuje z našej strany na začatie migrácie?

Úvodný prieskumný engagement začína prístupom k vašej konfiguračnej dokumentácii SAP IDM, prehľadom systémového landscapu a rozhovormi s vašimi IAM a SAP technickými tímami. Spočiatku nepožadujeme plný prístup k systému — prvá fáza je primárne revízia dokumentácie a architektúry. Poskytujeme štruktúrovaný dotazník pred prvým engagementom, aby sa váš tím mohol efektívne pripraviť.

Začnite plánovanie migrácie SAP IDM

Štruktúrované posúdenie zmapuje vaše súčasné prostredie SAP IDM, identifikuje správnu architektúru midPoint a vytvorí realistický migračný plán s časovým harmonogramom a odhadmi nákladov.

Objednajte si posúdenie SAP IDM

Pre rozhodovateľov

SAP Identity Management dosiahne koniec údržby v decembri 2027, bez priameho on-premise nástupcu pre komplexné multi-systémové prostredia. Predĺžená údržba do roku 2030 stojí viac ako mnohé migrácie. Organizácie, ktoré začnú teraz, získajú 24–36 mesačný priestor potrebný na správny postupný prechod — a vyhnú sa komprimovanému, vysoko rizikovému cutoveru, ktorý prichádza s čakaním. Migrujeme SAP IDM nasadenia na midPoint so zachovaním vašich SAP integrácií, elimináciou per-user licenčných nákladov a odstránením závislosti na jednom dodávateľovi.