IAM-Tools im Vergleich 2025: OneIdentity, SailPoint, Saviynt & Omada
Die Wahl des richtigen IAM-Tools entscheidet über Sicherheit, Compliance und Betriebsaufwand. In diesem Vergleich schaue wir auf OneIdentity, SailPoint, Saviynt & Omada.
Im Fokus stehen:
- Architektur (SaaS, Hybrid, On-Prem)
- IGA-Funktionen wie Governance
- Provisioning und Rezertifizierung
- Rollen- und Policy-Modelle wie RBAC und ABAC
- Connectoren
- ITSM und PAM
- Automatisierung und UX
- Kosten und TCO
Grundlage sind typische Praxisfälle wie Joiner, Mover, Leaver, Cloud-Konten und SoD-Kontrollen. Am Ende gibt es eine kompakte Tool-Matrix und klare Empfehlungen, für wen welches Produkt passt.
Transparenz: keine bezahlte Platzierung, Stärken und Schwächen werden klar benannt.
Die Tools im Detail
One Identity Manager – Identity & Access Management
One Identity Manager ist eine führende IGA-Plattform für On-Premises- und Hybrid-Szenarien. Mit starker Governance, tiefen Integrationen in Microsoft-, SAP- und Cloud-Ökosysteme sowie dem „IT Shop“ für Self-Service steuern Unternehmen Zugriffe effizient, reduzieren Risiken und erfüllen Compliance-Vorgaben zuverlässig.
Alle Vorteile auf einen Blick:
- Umfassendes Lifecycle-Management – Automatisierte Provisionierung, Änderungen & De-Provisionierung über zentrale Workflows.
- Self-Service & Workflows („IT Shop“) – Intuitive Antragsstrecken mit konfigurierbaren Genehmigungen (inkl. E-Mail/Teams-Freigaben mit Add-ons).
- Compliance & Governance – Attestierungen/Rezertifizierungen, Richtlinien & SoD-Kontrollen sowie aussagekräftiges Reporting.
- Rollenbasierte Zugriffskontrolle (RBAC) – Geschäfts- und Applikationsrollen für konsistente, sichere Berechtigungen.
- Breite Integration – Tiefe Anbindungen u. a. an Microsoft Entra ID/Azure AD, Microsoft 365/Teams, Exchange, SAP, Unix/LDAP sowie SCIM-basierte SaaS-Dienste.
Gedankenflieger begleitet Sie auf dem gesamten Weg mit One Identity Manager – von der Planung und Implementierung über individuelle Anpassungen und Rollenkonzepte bis hin zum zuverlässigen Support Ihrer IGA-Lösung.
Highlights in One Identity Manager 9.3.1 (aktuelles Release)
- Patch-Release mit neuen Funktionen & Verbesserungen – 9.3.1 baut auf 9.3 auf und liefert gezielte Erweiterungen sowie Stabilitäts- und Verhaltensverbesserungen.
- Upgrade-Hinweis – In der 9.3-Linie gelten besondere Update-Schritte (u. a. kein automatisches Update für Jobserver/Web-Apps; manuelle Aktualisierung gemäß „Upgrade steps“).
- Modul-Updates
- ServiceNow-Integration 9.3.1 – aktualisierte Katalog-Integration für IT-Shop-Anträge direkt aus ServiceNow.
- Database Systems Integration (DSI) 9.3.1 – Schema-/Template-Updates und Patches für DB-Connectoren.
- Epic-Integration 9.3.1 – aktualisierte Healthcare-Anbindung (Release Notes).
- Grundlage 9.3 – Plattformwechsel auf .NET 8 (Skripte/Erweiterungen kompatibel machen; NuGet-Abhängigkeiten in Skripten; NLog-/appsettings-Konfigurationen).
Highlights in One Identity Manager 9.2.2 (neueste Wartungsversion der 9.2-Linie)
- Maintenance-Release – Verbesserungen und Fixes in der 9.2-Linie.
- Modul-Updates
- ServiceNow-Integration 9.2.2 – aktualisierte Katalog-Integration für IT-Shop-Services.
- Cloud HR Systems 9.2.2 – Erweiterungen für Workday/Dayforce-Szenarien (Release Notes).
- Database Systems Integration 9.2.2 – aktualisierte DB-Connectoren und Templates.
- Epic-Integration 9.2.2 – verbesserte Synchronisation & Fehlerbehebungen.
SailPoint IdentityIQ – Identity & Access Management für komplexe Umgebungen
SailPoint IdentityIQ (IIQ) ist eine führende On-Premise-Lösung für Identity Governance & Administration (IGA). Mit maximaler Flexibilität, tiefgreifender Systemintegration und starken Governance-Funktionen unterstützt IIQ Unternehmen dabei, Zugriffe effizient zu steuern, Risiken zu reduzieren und Compliance-Vorgaben sicher einzuhalten
Alle Vorteile auf einen Blick:
- Umfassendes Lifecycle Management – Automatisierte Provisionierung, Änderungen und Deprovisionierung von Zugängen
- Self-Service & Workflows – Intuitive Benutzeroberfläche für Zugriffsanfragen mit anpassbaren Genehmigungsprozessen
- Compliance & Governance – Access-Zertifizierungen, Policies, Reporting und umfangreiche Audit-Features
- Rollenbasierte Zugriffskontrolle (RBAC) – Klare Rollenmodelle für konsistente und sichere Berechtigungen
- Breite Integration – Über 100 Connectoren für Datenbanken, APIs sowie Cloud- und On-Premise-Systeme
- KI- & ML-Unterstützung – Unterstützung für Access Modelling und Requests
Gedankenflieger begleitet Sie auf dem gesamten Weg mit IdentityIQ – von der Planung und Implementierung über individuelle Anpassungen und Rollenkonzepte bis hin zum zuverlässigen Support Ihrer IGA-Lösung
Highlights in IdentityIQ 8.5
- Access Request Approvals in Microsoft Teams – Freigaben direkt in Teams bearbeiten
- Attribut-Sichtbarkeit einschränken – Steuerung, welche Benutzerattribute sichtbar sind
- Generative AI für Entitlements – Automatisch generierte Beschreibungen für Berechtigungen
- Intelligente Empfehlungen – Vorschläge für Entitlements im Self-Service-Zugriffsportal
Highlights in IdentityIQ 8.4
- Access History – Detaillierte Timeline aller Zugriffe pro Identität inkl. Export
- Common Access – Role Mining und automatische Rollenerstellung auf Basis bestehender Berechtigungen
- Feingranulare Admin-Rechte – Zuweisbare Leserechte in der Admin-Oberfläche für Support-Teams
- PostgreSQL-Support – Erweiterte Datenbankunterstützung für mehr Flexibilität in der Infrastruktur
Saviynt Enterprise Identity Cloud – IGA & PAM aus der Cloud
Saviynt EIC ist eine konvergente, cloud-native Plattform für Identity Governance & Administration (IGA), Privileged Access Management (PAM) und App-Governance. Der Fokus liegt auf schneller Wertschöpfung, starken Analytics und nahtloser Integration in heterogene Umgebungen.
Alle Vorteile auf einen Blick:
- Lifecycle & Provisioning – End-to-end-Automatisierung für Joiner-Mover-Leaver inkl. Delegations- und Genehmigungs-Workflows.
- Self-Service & Workflows – Geführte Zugriffsanträge mit Richtlinienprüfung, SoD und Attestierungen – alles in einer UI.
- Compliance & Analytics – Eingebaute Reports, Risiko-Scores und „Identity Analytics“ zur Entscheidungsunterstützung.
- PAM/Just-in-Time – Sitzungs- und Secret-Kontrollen, optional mit Bring-Your-Own-Vault.
- Breite Integration – Hunderte Konnektoren/Toolkits (u. a. Zscaler, Microsoft-Ökosystem, Datenbanken, SaaS).
Highlights in Saviynt EIC v25 (2025 Track)
- Aktuelle Plattform-Updates (Aug 2025) – Verbesserte UX, tiefere Application Visibility und Advanced Analytics; AI-native Features für effizientere Entscheidungen.
- Admin Guide „EIC-Admin-25“ – Neue globale Optionen (z. B. für Request-Formulare, TOTP-Step-Up im PAM-Kontext u. a.).
Highlights in Saviynt EIC v24.1 (April 2025)
- Unified Navigation & neue Startseite – Vereinheitlichte Navigation und überarbeitete Home-Page für schnelleren Zugriff auf Kernfunktionen.
- Login-API – Ab v24.1 zusätzlich Basic Auth für /api/login verfügbar (vereinfachte Integration).
- Modul-Verbesserungen – Laufende Erweiterungen in Konnektoren (z. B. Datenbanken, SAP-Module).
Omada Identity Cloud – Moderne SaaS-IGA, schnell produktiv
Omada Identity Cloud ist eine vollumfängliche, cloud-native IGA-Plattform mit Best-Practice-Framework. Sie deckt den kompletten Identity-Lifecycle ab, bringt starke Governance-Funktionen, ML-gestützte Rollen-Insights und (neu) den KI-Assistenten Javi – direkt in Microsoft Teams. Für hybride Szenarien sorgt die Cloud Application Gateway (CAG) für eine sichere, einfache On-Prem-Anbindung ohne IPSec-VPN.
Alle Vorteile auf einen Blick:
- Lifecycle & Provisioning (JML) – Standardisierte Prozesse, Self-Service-Anträge, Attestierungen & Richtlinien, SoD.
- Rollen & Insights (ML) – Role Mining / Role Insights mit datengetriebenen Empfehlungen und Visualisierungen.
- AI-Unterstützung (Javi) – Conversational IGA: Anträge stellen, genehmigen, Infos abrufen – nativ in Teams.
- Konnektivität – Breiter Connectivity Directory & konfigurierbare Templates (keine Code-Orgie für Standard-Use-Cases).
- Hybride Anbindung – Cloud Application Gateway (CAG): Outbound-TLS 1.3, asymmetrische Verschlüsselung, OTA-Updates.
- Security & Compliance – Trust-Center mit ISO 27001:2022, SOC 2 Type 2/SOC 3 Nachweisen.
- Time-to-Value – Implementierung mit Accelerator Package in ~12 Wochen.
August 2025 Release
- Zielgerichtete Verbesserungen für Betrieb, Sicherheit, Effizienz und Skalierung (aktuelles Monats-Release).
Juli 2025 Release
- Cloud Application Gateway (CAG) – GA: On-Prem-Anbindung ohne IPSec-VPN, Outbound-only TLS 1.3, asymmetrische Verschlüsselung, OTA-Updates, unterstützt Import, Provisioning, Schema Discovery, Connection Tests.
- Access-Prozesse: neue Access Rights-Seite (Mehrfach-Entzug), „Request Type“ in Approvals (Neu vs. Verlängerung inkl. ursprünglichem Valid to), Side-Panels mit Kontextinfos.
- Identity Analytics: neue Dashboards (u. a. Account-Ownership-Logs, Resource Assignments, Identity Change Logs) + Data-Quality-Widgets (z. B. ausstehende De-Provisionings, fehlende Owner).
- Surveys/Rezertifizierungen: Default-Aktion für unbeantwortete Fragen (z. B. „remove“) zur Least-Privilege-Durchsetzung.
- UX/Listenansichten: flexible Approval-Gruppierung nach Identität oder Resource.
- Connectivity: AWS-Connector stellt Provisioning-Calls von GET→POST um (keine sensiblen Daten in URLs/Logs); PostgreSQL im generischen DB-Connector jetzt Create/Update/Delete (volle Provisionierung).
- Javi: kostenfreier Base-Tier in Teams installierbar; mobile-freundliche Alerts.
Vergleichsmatrix
Die Vergleichsmatrix bündelt die wichtigsten Kriterien für OneIdentity, SailPoint, Saviynt und Omada. Im Fokus stehen Architektur und Betriebsmodelle, IGA-Funktionen wie Provisioning, Rezertifizierung und SoD, Konnektoren und Integrationen, Automatisierung, KI und Analytics sowie der Umgang mit Cloud und IaaS. Ziel ist eine schnelle Orientierung, welche Plattform zu deinem Zielbild, deiner Integrationslandschaft und deinem Betriebsmodell passt.
| Kriterium |  |  |  |  |
|---|---|---|---|---|
| Bereitstellung & Automatisierung | Workflows, Jobserver, Skripting | Event- und Policy-gesteuert | Workflow-Engine, JIT, Zero Standing Privileges | Policy- und Workflow-gesteuert |
| Cloud/IaaS-Governance | Über Connectoren und Add-ons | Ausgeprägt, IaaS-Governance in Business Plus | Stark, Identity Security Posture Management | Fokus auf IGA; IaaS per Integrationen |
| SoD/Access Risk | SoD-Checks, Risiko-Bewertungen | Access Risk Management, SoD | SoD, Access Risk, JIT-Kontrollen | Starkes SoD-Mapping und Tests |
| PAM | Safeguard (On-Prem und SaaS) | Kein natives PAM, Integrationen | Cloud-PAM integriert, JIT | Kein natives PAM, Integrationen |
| KI/Analytik | Regel- und Richtlinien-Analytics | AI und ML für Modellierung und Empfehlungen | Empfehlungen und Risk-Insights | Insights und Analytics für IGA |
| Rollen-/Policy-Modelle | RBAC und ABAC, SoD-Policies | RBAC und ABAC; rollenbasierte Empfehlungen | RBAC und ABAC, risikobasiert | RBAC, policy-basiert, SoD |
| Betriebsmodell | On-Prem, Hybrid, SaaS | SaaS; IdentityIQ On-Prem als Option | Voll SaaS, Multi-Tenant | SaaS; On-Prem Option |
| Rezertifizierung/Kampagnen | Kampagnen, delegierte Reviews | Kampagnen, kontinuierliche Reviews | Kampagnen auf App- und Entitlement-Level | Kampagnen, risikobasiert |
| Produkt/Plattform | Identity Manager, Identity Manager On Demand; PAM: Safeguard | Identity Security Cloud (Standard, Business, Business Plus) | Enterprise Identity Cloud (konvergiert IGA, PAM, App-GRC) | Omada Identity Cloud; Omada Identity Suite |
| Geeignet für | Hybrid- und On-Prem-lastige Unternehmen mit PAM-Bedarf | Cloud-orientierte Unternehmen mit SaaS-Fokus | Cloud-first Organisationen mit vielen SaaS-Zielen | Unternehmen mit klarem IGA-Fokus und schnellen Deployments |
| IGA-Schwerpunkte | Governance, Provisioning, Rollen, Policies | Cloud-IGA, Lifecycle, AI-gestützte Governance | IGA plus Third-Party und App Governance | Lifecycle, Governance, Policy, SoD |
| Typische Stärken | Flexibles Datenmodell, On-Prem-Kompatibilität, PAM aus einer Hand | Reife SaaS, klare Pakete, starke AI | Schnelle Time-to-Value, konvergierte Module inkl. PAM | Klarer IGA-Fokus, schnelle SaaS-Einführung |
| Integrationen (AD/Entra, HR, ITSM) | Entra ID/AD, HR, ITSM, SIEM, PAM | Entra ID/AD, HR, ITSM, SaaS-Apps | Entra ID/AD, HR, ITSM, Cloud | Entra ID/AD, HR, ITSM, Business Apps |
| Mögliche Fallstricke | Customizing-Komplexität, Upgrade-Pfade planen | Funktionen je Suite, On-Prem nur mit IdentityIQ | Breite erfordert klares Betriebsmodell und Governance | Kein natives PAM; IaaS-Governance je nach Bedarf über Integrationen |
| Konnektoren & App-Onboarding | Breites Portfolio; starke AD/Entra-Integration | Großes Cloud-Connector-Portfolio; AI-gestütztes Onboarding | Beschleunigtes Onboarding; viele SaaS-Connectoren | Umfangreiche Konnektoren; AD/Entra |
Fazit
-
OneIdentity punktet, wenn On-Prem oder Hybrid im Vordergrund steht und du PAM aus einer Hand willst.
-
SailPoint überzeugt als reife SaaS mit starker Cloud-Abdeckung und praxistauglichen AI-Features.
-
Saviynt ist eine gute Wahl für Cloud-first Organisationen mit Bedarf an konvergierter IGA und Cloud-PAM.
-
Omada eignet sich für einen klaren IGA-Fokus mit schneller Einführung und soliden SoD-Funktionen.