Die SSO-Steuer, in Dollar: was SAML bei Auth0, WorkOS und Clerk wirklich kostet
Wir haben einmal über die Feature-Steuer geschrieben: den Trick, Geld dafür zu verlangen, einen bereits geschriebenen Boolean umzulegen, auf einer Infrastruktur, die ohnehin schon läuft. Dieser Beitrag war das Argument. Dieser hier ist die Quittung.
Denn „SSO kostet extra" lässt sich leicht abnicken und leicht vergessen. Eine Zahl auf einer Rechnung vergisst man schwerer. Legen wir also die ganze Rechnung auf den Tisch, für drei Momente, die jedes B2B-Produkt durchläuft: die Plattform-Grundgebühr (berechnet nach monatlich aktiven Nutzern, was alle verlangen und was fair ist: mehr Nutzer verursachen tatsächlich mehr Kosten im Betrieb), plus die beiden Posten, die SAML wirklich abrechnen, die SSO-Verbindung und das SCIM-Provisioning, das mitfährt. Drei lebende Spalten, eine Gesamtsumme. Wir nehmen die Grundgebühr bewusst mit hinein. Die SSO-Steuer ist nicht der einzige Ort, an dem Geld versickert; allein die Lücke beim Plattformpreis selbst beläuft sich auf Tausende pro Jahr, und sie wegzulassen würde unterschätzen, was das Feature-Steuer-Modell dich wirklich kostet. Alle Preise entsprechen den im Juni 2026 veröffentlichten Tarifen des jeweiligen Anbieters.
SSO ist nicht einmal der einzige Zähler, nur der lauteste. Es gibt einen leiseren: die Obergrenze für OAuth-Clients, die Apps und Dienste, die du auf deiner eigenen Seite registrierst. Sie beißt nie während der Evaluierung; sie beißt mitten in der Integration, an dem Nachmittag, an dem du noch ein weiteres Tool anbinden willst und feststellst, dass du keine mehr hast, dir bleibt nur, einen Client wiederzuverwenden, den du nicht wiederverwenden solltest (dass dein Support-Desk Tokens für deine Kern-API ausstellt, ist kein Satz, den du einem SOC-2-Prüfer vorlesen möchtest), oder eine Stufe höher zu springen, um eine einzige Zeile in einer Tabelle hinzuzufügen. Ein Client ist eine Zeile und ein Secret; er kostet den Anbieter nichts, also rechnen wir ihn nicht ab. Aber SSO ist die Schlagzeilen-Steuer, also ist es das, was die Tabellen unten bepreisen.
Szenario 1: dein erster Enterprise-Deal
~1.000 MAU. Dein erstes echtes Logo hat gerade unterschrieben, unter der Bedingung, dass es sich über den eigenen Identitätsanbieter anmeldet, mit automatisch provisionierten Nutzern. Eine SAML-Verbindung, mit SCIM:
| Anbieter | Plan /Mo | SSO /Mo | SCIM /Mo | Gesamt /Mo | Gesamt /Jahr |
|---|---|---|---|---|---|
| Authagonal | $29 | $0 | $0 | $29 | $319 |
| Clerk | $25 | $0 (erste gratis) | $0 | $25 | $300 |
| WorkOS | $0 | $125 | $125 | $250 | $3.000 |
| Auth0 | $0 | inkl. | inkl. | $0 | $0 |
Bei dieser Größe liegen drei der vier nahe null. Clerks erste Verbindung ist gratis (der Plan kostet $25). Auth0s Free-Stufe bündelt jetzt eine Enterprise-Verbindung, Self-Service-SSO und SCIM für $0, bis zu 25.000 MAU. Wirklich gratis, und Anerkennung dafür (der Haken kommt weiter unten). Wir liegen bei $29, alles inklusive. Nur WorkOS schert aus: $3.000/Jahr bereits, alles davon die Pro-Verbindung-Steuer für SSO-und-SCIM. Bisher versteckt sich die Steuer noch weitgehend: füge einen zweiten Enterprise-Kunden hinzu und sieh zu, wie sie an die Oberfläche kommt.
Szenario 2: eine Handvoll Enterprise-Kunden
~10.000 MAU, SSO jetzt Teil des Vertriebsablaufs. Drei SAML-Verbindungen, mit SCIM:
| Anbieter | Plan /Mo | SSO /Mo | SCIM /Mo | Gesamt /Mo | Gesamt /Jahr |
|---|---|---|---|---|---|
| Authagonal | $149 | $0 | $0 | $149 | $1.639 |
| Clerk | $25 | $150 (1 gratis + 2×$75) | $0 | $175 | $2.100 |
| WorkOS | $0 | $375 | $375 | $750 | $9.000 |
| Auth0 | Angebot | Angebot | Angebot | Angebot | Angebot |
Jetzt sind wir die günstigste Zeile in der Tabelle, nicht weil wir Funktionen beschneiden, sondern weil die Grundgebühr alles ist, was du zahlst. Jede dieser drei Verbindungen ist ein zahlender Kunde, also beschleunigt der Pro-Verbindung-Zähler genau dann, wenn SSO anfängt, seinen Job zu tun. WorkOS' separate SCIM-Zeile hat es bereits auf $9.000/Jahr verdoppelt; unsere liegt noch bei $1.639, SAML und SCIM inbegriffen.
Szenario 3: SSO ist jetzt Selbstverständlichkeit
~50.000 MAU. Zehn Enterprise-Kunden, zehn SAML-Verbindungen, mit SCIM. Niemand evaluiert dich mehr ohne es:
| Anbieter | Plan /Mo | SSO /Mo | SCIM /Mo | Gesamt /Mo | Gesamt /Jahr |
|---|---|---|---|---|---|
| Authagonal | $339 | $0 | $0 | $339 | $3.729 |
| Clerk | $25 | $675 (1 gratis + 9×$75) | $0 | $700 | $8.400 |
| WorkOS | $0 | $1.250 | $1.250 | $2.500 | $30.000 |
| Auth0 | Angebot | Angebot | Angebot | Angebot | Angebot |
Lies die obere Zeile gegen die untere. Authagonals gesamte Jahresrechnung (Plattform, unbegrenztes SAML, SCIM, MFA, Audit, Branding, alles) beträgt $3.729. WorkOS' SSO-und-SCIM-Steuer allein beträgt $30.000: mehr als das Achtfache unserer gesamten Rechnung, bevor WorkOS auch nur einen Cent für die Plattform selbst berechnet hat, und das muss es nicht, denn die Steuer ist die Plattform. Genau diese Lücke von ~$26.000 pro Jahr blieb unerwähnt, als wir nur die SSO-Zeile zeigten. Die Bytes sind identisch zu einem Passwort-Login; der Code wurde einmal geschrieben und an alle ausgeliefert. Du würdest jedes Jahr für zwanzig Checkboxen zahlen und für eine Plattform, die du für etwa ein Achtel des Preises hättest haben können.
Zu den Zahlen. Plan ist der nach MAU gestaffelte Plattformpreis: das eine, wofür wir, und die meisten Anbieter, im Wachstum berechtigterweise mehr verlangen. WorkOS enthält User-Management gratis bis 1M MAU, also ist seine gesamte Rechnung die Pro-Verbindung-Steuer. Clerk Pro kostet $25/Mo mit MAU bei diesen Volumina weitgehend inbegriffen (bei 50k ist ein moderater Aufschlag möglich); die erste SSO-Verbindung ist gratis, danach jeweils ~$75, und SCIM kommt gratis mit einer Verbindung. Auth0 hat sein Modell kürzlich genug geändert, dass es einen eigenen Absatz braucht, gleich darunter. Authagonals Jahreszahlen sind das, was tatsächlich berechnet wird: das 11-fache des Monatspreises, weil Jahrespläne einen Monat gratis bekommen (also sind $29/Mo $319/Jahr, nicht $348). Die Jahrespreise der Wettbewerber sind monatlich × 12; falls ein Anbieter die jährliche Abrechnung rabattiert, haben wir das nicht geprüft, ihre echten Summen könnten also etwas niedriger ausfallen, längst nicht genug, um die Lücke zu schließen.
Noch einmal zu Auth0, denn sein Modell ist das subtilste. Auth0 bündelt jetzt eine Enterprise-Verbindung, SSO und SCIM in seinen Free-Plan, gratis bis 25.000 MAU. Bei einer einzigen Verbindung kostet das wirklich nichts, und Anerkennung dafür. Aber seine kostenpflichtigen Consumer-Stufen ziehen sie wieder heraus; die Fußnote weist dich an, „auf B2B umzustellen", um SSO zu behalten. Und B2B kostet das Mehrfache des Consumer-Preises für dieselben Nutzer (Essentials beginnt bei rund $150/Mo gegenüber ~$35), also ist Auth0s echte SSO-Steuer nicht pro Verbindung, sondern der B2B-Aufschlag: ein Vielfaches des Grundpreises für das Privileg, an Unternehmen zu verkaufen. Diese Basis wird per Schieberegler nach MAU bepreist und wird oberhalb von ~20k Nutzern individuell, weshalb Auth0 in unseren 10k- und 50k-Zeilen quote liest statt einer interpolierten Schätzung.
(Zwei weitere Anbieter rechnen auf einer anderen Achse ab, also sind sie nicht in den Tabellen: dieselbe Steuer, anderer Hut. Okta lizenziert SSO pro Nutzer, ~$2/Nutzer à la carte, skaliert mit den Menschen hinter jeder Verbindung statt mit der Anzahl der Verbindungen. Duende IdentityServer verkauft SAML als pauschalen Zusatz, ~$1.500/Jahr zusätzlich zu einer Lizenz von ~$5.750/Jahr, und dann hostest, patchst, skalierst du selbst und baust die Admin-UI, MFA und den Audit-Trail selbst. Ein günstig aussehender Posten, eine enorme echte Rechnung.)
Häufig gefragt
Warum muss ich für SSO extra zahlen? Bei den meisten Anbietern zahlst du nicht extra, weil SSO sie mehr kostet. Tut es nicht. Du zahlst extra, weil Sicherheits- und Compliance-Funktionen die sind, die du am wenigsten ablehnen kannst, also sind sie am profitabelsten, wenn man sie hinter Schranken legt. SAML ist ein etablierter, zwanzig Jahre alter Standard; die Grenzkosten, ihn für einen weiteren Mandanten zu aktivieren, runden auf null.
Was ist die „SSO-Steuer"? Die Praxis, einen Aufschlag zu verlangen (meist pro Verbindung, oft je $75–$125/Mo, oder durch erzwungenes Upgrade auf eine Enterprise-Stufe), um Single Sign-On einzuschalten. Es gibt eine öffentliche Liste der Übeltäter auf sso.tax. Es ist eine Steuer darauf, das Verantwortungsvolle zu tun, eingezogen in dem Moment, in dem du am wenigsten Hebel hast, Nein zu sagen.
Wie viel kostet SSO bei Auth0, WorkOS und Clerk? Nach ihren veröffentlichten Tarifen vom Juni 2026: WorkOS berechnet etwa $125/Mo pro SSO-Verbindung (plus weitere ~$125 für SCIM); Clerk gibt dir eine gratis Verbindung, danach jeweils etwa $75/Mo. Auth0 ist der Außenseiter: es enthält eine Enterprise-Verbindung und SCIM gratis bis 25k MAU, entfernt SSO dann aus seinen kostenpflichtigen Self-Serve-Plänen und leitet Produktiv- oder Mehrfach-Verbindungs-Nutzung auf eine nur auf Angebot basierende B2B-Schiene. Bei zehn Enterprise-Kunden kommen WorkOS und Clerk auf grob $15k und $8,1k pro Jahr allein für SAML; Auth0 veröffentlicht dafür keine Zahl. Zahlen ändern sich, prüfe also die aktuelle Preisseite jedes Anbieters.
Gibt es eine kostenlose Stufe? Ja. Gratis bis 250 monatlich aktive Nutzer, jede Funktion inbegriffen, und (anders als bei jeder anderen kostenlosen Stufe) unbegrenzte SSO/SAML-Verbindungen, nicht nur eine. Sie ist nur beim Umfang gedeckelt: überschreite 250 MAU und du wechselst auf einen kostenpflichtigen Plan. Keine Kreditkarte, kein SLA, Community-Support.
Muss ich meinen Plan upgraden, um einen weiteren OAuth-Client oder eine weitere Anwendung hinzuzufügen? Nicht bei uns. Anwendungen sind keine kostenpflichtige Achse, also registrierst du eine pro App oder Dienst, ohne die Stufe zu wechseln. Mehrere Anbieter deckeln oder bemessen Clients (besonders Machine-to-Machine-Clients), was genau die Wahl erzwingt zwischen dem Wiederverwenden eines Clients, den du nicht wiederverwenden solltest, und dem Zahlen für die nächste Stufe.
Man kann viel über ein Unternehmen daran erkennen, wofür es dir etwas berechnet. Die meisten Auth-Anbieter berechnen für Dinge, die sie nichts kosten: ein SAML-Flag, ein SCIM-Flag, eine Zeile für einen weiteren Client. Unseres läuft auf eine einzige Zeile hinaus: zahle dafür, wie groß du wirst, nicht dafür, welche Schalter du umlegen darfst.
Hier steht genau, wer für was berechnet, Anbieter für Anbieter. SSO ist auf unserer Seite des Tisches, ohne Aufpreis, und genauso der elfte Client, von dem du nicht wusstest, dass du ihn brauchen würdest. Lass es für deine Zahlen berechnen.