Reference
SagaFlow: Jak jsme z on-prem monolitu udělali cloud-native SaaS platformu
SagaFlow je workflow a BPM platforma od společnosti SimBIT, původně navržená pro banky a velké korporáty provozující vlastní infrastrukturu. Jaroslav Urbánek nastoupil jako fractional CTO s úkolem "dát to do Azure." Z plánované tříměsíční migrace se stal dvouletý transformační projekt, který platformu proměnil od základů — od architektury přes bezpečnostní model až po obchodní model.
Mělo to být jednoduché
Zadani znelo jasne: vezmeme stavajici platformu a nasadime ji do Azure. Realita byla jina. Kazda instance stala priblizne 20 000 CZK (~800 EUR) mesicne -- slo o neoptimalizovany lift-and-shift do Azure VM, ktery neskaloval. Kazdy novy zakaznik znamenal dalsi drahou instanci a manualni nasazeni. Platforma byla navrzena pro banky s vlastnimi servery -- ne pro SaaS model, ktery SimBIT potreboval k rustu.
Aplikace nebyla cloud-ready. Chyběl bezpečnostní a autorizační layer pro multi-tenant prostředí. Jednotlivé komponenty nebylo možné škálovat nezávisle. Frontend postavený na Angular 1.x potřeboval kompletní přepis.
Místo jednoduché migrace jsme se pustili do systematické transformace — s jasným cílem: single-tenant SaaS platforma, kde každý zákazník běží ve vlastní Azure subscription s plnou izolací a predikovatelnou cenou.
Cesta transformace
Fáze 1 — Analýza a proof of concept
Audit stávající architektury, identifikace závislostí a blokujících komponent. Ověření, že Azure Container Apps dokáže pokrýt potřeby platformy bez nutnosti přechodu na Kubernetes.
Fáze 2 — Bezpečnostní fundament
Implementace FIDO2 passwordless autentizace přes Hanko.io. Zero-trust model od prvního dne. Oddělení autorizačního layeru od aplikační logiky. V době, kdy většina platforem stále spoléhala na hesla.
Fáze 3 — Dekompozice monolitu
Rozdělení monolitické aplikace na nezávislé microservices. Každá služba ve vlastním kontejneru s nezávislým škálováním. IaC (Infrastructure as Code) od začátku pro reprodukovatelné nasazení.
Fáze 4 — Frontend rewrite
Kompletní přepis frontendu z Angular na React. Nový design system, responzivní UI, podpora pro workflow builder. Oddělení frontendu od backendu umožnilo nezávislé release cykly.
Fáze 5 — Produkční provoz a optimalizace
Stabilizace nákladů, ladění auto-scalingu, monitoring a alerting. Nasazení pro MPSV (Ministerstvo práce a sociálních věcí) jako platformy pro řízení procesů IMIP na workflow.mpsv.cz. Šest cenových úrovní pro různé velikosti zákazníků.
Klíčová rozhodnutí
Single-tenant per subscription
Každý zákazník běží ve vlastní Azure subscription. Vyšší izolace, jednodušší billing, čistší správa oprávnění. Dražší na správu, ale pro regulované prostředí (státní správa, finance) nezbytné. Náklady na zákazníka jsou transparentní a predikovatelné.
FIDO2 passwordless dříve, než to bylo standardem
Rozhodli jsme se pro Hanko.io a FIDO2-first přístup v době, kdy passwordless byla stále niche technologie. Zero passwords od prvního dne. Žádné resety hesel, žádné phishing vektory. Dnes je to best practice — tehdy to byl odvážný krok.
Container Apps místo AKS
Azure Container Apps nabízí managed Kubernetes bez provozní zátěže plného AKS clusteru. Pro většinu cenových úrovní je to optimální volba. Pro Enterprise tier jsme vyhodnotili AKS jako escape hatch s potenciální úsporou 19 % na compute nákladech.
Angular pryč, React dovnitř
Kompletní přepis frontendu nebyl populární rozhodnutí, ale Angular 1.x neměl cestu vpřed. React přinesl větší ekosystém, snazší nábor a lepší tooling pro workflow builder, který je srdcem platformy.
Flexibilita dodání
Tři modely, jeden codebase
Součástí projektu bylo vybudování kompletního Azure ekosystému pro SimBIT -- od založení tenantu přes registraci jako partner Microsoftu až po navázání CSP partnerství s Arrows. Díky tomu SagaFlow nabízí tři modely dodání platformy. Stejný codebase, stejné pipeline, stejné cenové tiery -- liší se pouze vlastnictví subscription a tok fakturace.
SaaS u SimBIT
SimBIT provozuje platformu na vlastních subscriptions. Zákazník získá plně spravovaný SaaS bez starostí. Marže je zabudovaná přímo do ceny.
CSP spravovaná služba
Přes CSP partnerství s Arrows SimBIT spravuje zákaznickou Azure subscription, přefakturovává náklady na Azure a poskytuje kompletní správu od A do Z -- 100% jako služba. Zákazník se Azure vůbec nedotýká.
Nasazení do prostředí zákazníka
Platforma nasazena do vlastního Azure prostředí zákazníka -- jako v případě MPSV. Zákazník vlastní subscription, SimBIT nasazuje a volitelně spravuje.
Reálná čísla
22
měsíců transformace
8
Azure subscriptions
6
cenových úrovní
0
hesel v systému
~55 %
uspora pri 4 instancich vs. puvodni model
23+
Azure služeb
Vývoj měsíčních nákladů
Celkové reálné náklady za 22 měsíců činily 25 126 EUR napříč všemi subscriptions. Měsíční náklady začínaly na 87 EUR v počáteční fázi, dosáhly vrcholu 1 971 EUR při plném nasazení všech prostředí a stabilizovaly se kolem 1 450 EUR měsíčně pro 4 běžící instance.
Cenové úrovně se pohybují od 217 EUR/měsíc (Starter) po 4 829 EUR/měsíc (Enterprise), přičemž každá zahrnuje compute, storage, networking a managed services s definovanými SLA.
Financni anatomie
Kde se setri a kde se preplati
Ne vsechny nakladove polozky jsou si rovny. Nektera rozhodnuti maji disproporcionalni dopad na celkovou cenu. Tady jsou tri, ktera definuji ekonomiku cele platformy.
3,6x
Container Apps vs. AKS preplatek
Dedickovany Workload D4 stoji 510 EUR/mesic. Ekvivalentni AKS VM stoji 140 EUR. Za pohodli managed sluzby se plati 3,6nasobek.
50 %
APIM Premium = polovina Full tieru
Jedno rozhodnuti o SKU API Management setri nebo stoji 2 400 EUR/mesic. Zadna jina volba nema takovy dopad.
18,64 EUR
Skryte naklady na subscription
Container Apps automaticky vytvori Load Balancer a Public IP. Pri 8 subscriptions je to 149 EUR mesicne za neco, co jste si neobjednali.
22,2x
Cenovy multiplikator Trial -> Full
Z 217 na 4 829 EUR. Nejvetsi skok: Professional -> Enterprise (4,9x) kvuli dedickovemu compute, HA a WAF.
Naklad na zakaznika
On-prem instance stala ~800 EUR/mesic. Cloud-native Trial stoji 217 EUR (73 % levnejsi), Professional 358 EUR (55 % levnejsi). Ctyri instance v cloudu stoji ~1 450 EUR/mesic celkem -- oproti 3 200 EUR v puvodnim modelu. Uspora 55 % z 22 mesicu realnych dat.
Bezpecnost
Zero-trust v cislech
0
ulozenych hesel v cele infrastrukture
0
service principal secrets
8
Private Endpoints v Enterprise tieru
2 roky
pred mainstream FIDO2 adopci
Trial/Basic -- zaklad
Managed Identity, Key Vault, zero hesel. Bezpecnejsi nez vetsina on-prem instalaci.
Professional -- privatni sit
+7 Private Endpoints. Databaze neviditelne z verejneho internetu.
Enterprise -- aktivni obrana
+WAF, Premium Front Door, HA, dedickovany VNet. I sofistikovany utocnik narazi na zed.
FIDO2 -- 2 roky pred mainstreamem
V roce 2024 SagaFlow nasadil FIDO2 jako primarni autentizacni faktor. V roce 2025 zacaly Apple, Google a Microsoft propagovat passkeys. V roce 2026 je to standard. Eliminace vektoru utoku #1 (ukradena hesla) o 2 roky drive nez mainstream. Uzivatele mimo firemni perimetr se prihlasi pres email + OTP -- zadne VPN, zadne slozite onboardingy.
Architektura
Každá zákaznická instance běží ve 3 resource groups (compute, data, networking) s 23+ Azure službami. Infrastruktura je definovaná jako kód a nasazovaná přes CI/CD pipeline.
Hlavní nákladové položky
AKS escape hatch
Pro Enterprise tier (4 829 EUR/měsíc) jsme vyhodnotili migraci compute vrstvy z Container Apps na AKS. Výsledek: potenciální úspora 19 % na compute nákladech při zachování všech ostatních služeb. Tato možnost je připravena jako upgrade cesta pro zákazníky s vysokým zatížením.
Spoluprace
Partnersky ekosystem
SagaFlow neni vysledkem prace jedne firmy. Je to souhra specializovanych partneru, kde kazdy prinasi svou expertizu. Schopnost orchestrovat takovy multi-party projekt je sama o sobe jednim z klicovych vysledku.
SimBIT (Simbit Enterprises s.r.o.) -- vlastnik produktu SagaFlow, technologicky vyvoj
TECHNOMATON (Jaroslav Urbanek) -- frakcionalni CTO, cloud architektura, IaC, nakladova analyza
Tekies s.r.o. -- dodavatel platformy IMIP pro MPSV, SimBIT je technologicky partner
Arrows -- CSP partner pro prefakturaci Azure sluzeb
Microsoft -- SimBIT registrovan jako Microsoft partner
SimBIT a TECHNOMATON spolecne dodavaji technologicky zaklad. Tekies s.r.o. bere platformu a integruje ji do prostredi MPSV jako platformu IMIP. Arrows zajistuje prefakturaci Azure. Uspesna dodavka enterprise reseni vyzaduje ekosystem specializovanych partneru -- nikoliv jedineho dodavatele.
Výsledek
Před
- -- Monolitická architektura
- -- On-premises infrastruktura
- -- Manuální nasazení
- -- ~20 000 CZK (~800 EUR) na instanci/mesic
- -- Hesla všude
- -- Angular 1.x frontend
Po
- -- Microservices na Container Apps
- -- Cloud-native na Azure
- -- Automatizované IaC + CI/CD
- -- 1 450 EUR/měsíc (4 instance)
- -- Zero passwords (FIDO2)
- -- React frontend + design system
Platforma dnes pohani procesni rizeni IMIP pro Ministerstvo prace a socialnich veci na workflow.mpsv.cz -- dodano prostrednictvim Tekies s.r.o., kde SimBIT vystupuje jako technologicky partner. Slouzi zakaznikum od malych tymu po enterprise organizace v sesti cenovych urovnich.
Strategicky pohled
Kde je skutecna hodnota
Cloud-native architekturu muze postavit kdokoli s dostatecnym rozpoctem a casem. Skutecna konkurencni vyhoda SagaFlow lezi jinde.
21 let procesni znalosti
281 navrzenych procesu, 72 022 usetrenych pracovnich dnu. Datovy a znalostni asset z bank, statni spravy i soukromeho sektoru, ktery nelze replikovat -- vyzaduje roky praxe a pristupu k realnym organizacim.
Infrastruktura pripravena skalovat
6 cenovych tieru, 3 modely dodani, automatizovany deployment. Novy zakaznik = nova subscription = predikovatelne naklady. Business model je pripraveny na rust bez dalsich architektonickych zmen.
Uprimny pohled na PMF
Jedna reference (MPSV) je validacni bod, nikoliv dukaz skalovatelnosti. Technologie je pripravena -- ted je potreba najit dalsi zakazniky, kteri validiuji cenove tiery a modely dodani v praxi.
Plánujete migraci do cloudu?
Ať už jde o lift-and-shift nebo kompletní re-architekturu, pomůžeme vám najít správnou cestu. Bez zbytečné komplexity, s reálnými čísly.
Domluvme si hovor