La taxe SSO, en dollars : ce que SAML coûte vraiment chez Auth0, WorkOS et Clerk
Nous avons écrit un jour sur la taxe sur les fonctionnalités : l'astuce qui consiste à vous facturer le basculement d'un booléen déjà écrit, sur une infrastructure qui tourne déjà. Cet article-là était l'argument. Celui-ci est le reçu.
Car « le SSO coûte un supplément » est facile à approuver d'un hochement de tête, et facile à oublier. Un chiffre sur une facture est plus difficile à oublier. Posons donc toute la facture sur la table, pour trois moments que traverse tout produit B2B : la base de la plateforme (facturée selon les utilisateurs actifs mensuels, ce que tout le monde facture et qui est juste : plus d'utilisateurs coûtent vraiment plus cher à servir), plus les deux lignes qui facturent réellement SAML, la connexion SSO et le provisionnement SCIM qui l'accompagne. Trois colonnes en direct, un total global. Nous incluons la base à dessein. La taxe SSO n'est pas le seul endroit où l'argent fuit ; l'écart sur le prix de la plateforme lui-même se chiffre en milliers par an, et l'omettre reviendrait à sous-estimer ce que le modèle de la taxe sur les fonctionnalités vous coûte réellement. Tous les tarifs correspondent aux prix publiés en juin 2026 par chaque fournisseur.
Le SSO n'est même pas le seul compteur, juste le plus bruyant. Il y en a un plus discret : le plafond du nombre de clients OAuth, les applications et services que vous enregistrez de votre côté. Il ne mord jamais pendant l'évaluation ; il mord en pleine intégration, l'après-midi où vous voulez brancher un outil de plus et où vous découvrez qu'il ne vous en reste plus, vous laissant le choix entre réutiliser un client que vous ne devriez pas (votre service support émettant des jetons pour votre API principale n'est pas une phrase que vous voulez lire à un auditeur SOC 2) ou passer à la formule supérieure pour ajouter une seule ligne dans une table. Un client, c'est une ligne et un secret ; il ne coûte rien au fournisseur, donc nous ne le facturons pas. Mais le SSO est la taxe en une de journal, alors c'est lui que chiffrent les tableaux ci-dessous.
Scénario 1 : votre premier contrat enterprise
~1 000 MAU. Votre premier vrai logo vient de signer, à condition de se connecter via son propre fournisseur d'identité, avec ses utilisateurs provisionnés automatiquement. Une connexion SAML, avec SCIM :
| Fournisseur | Forfait /mois | SSO /mois | SCIM /mois | Total /mois | Total /an |
|---|---|---|---|---|---|
| Authagonal | $29 | $0 | $0 | $29 | $319 |
| Clerk | $25 | $0 (première gratuite) | $0 | $25 | $300 |
| WorkOS | $0 | $125 | $125 | $250 | $3 000 |
| Auth0 | $0 | incl. | incl. | $0 | $0 |
À cette taille, trois des quatre sont proches de zéro. La première connexion de Clerk est gratuite (son forfait est à $25). Le palier Free d'Auth0 inclut désormais une connexion enterprise, le SSO en self-service et SCIM pour $0, jusqu'à 25 000 MAU. Vraiment gratuit, et tout à son honneur (le piège vient plus loin). Nous sommes à $29, tout compris. Seul WorkOS sort du rang : déjà $3 000/an, intégralement la taxe SSO-et-SCIM par connexion. Pour l'instant, la taxe se cache surtout : ajoutez un deuxième client enterprise et regardez-la remonter à la surface.
Scénario 2 : une poignée de clients enterprise
~10 000 MAU, le SSO fait désormais partie de la démarche commerciale. Trois connexions SAML, avec SCIM :
| Fournisseur | Forfait /mois | SSO /mois | SCIM /mois | Total /mois | Total /an |
|---|---|---|---|---|---|
| Authagonal | $149 | $0 | $0 | $149 | $1 639 |
| Clerk | $25 | $150 (1 gratuite + 2×$75) | $0 | $175 | $2 100 |
| WorkOS | $0 | $375 | $375 | $750 | $9 000 |
| Auth0 | sur devis | sur devis | sur devis | sur devis | sur devis |
Nous voici la ligne la moins chère du tableau, non en rognant des fonctionnalités, mais parce que la base est tout ce que vous payez. Chacune de ces trois connexions est un client payant, donc le compteur par connexion s'emballe exactement au moment où le SSO commence à faire son travail. La ligne SCIM séparée de WorkOS l'a déjà fait doubler à $9 000/an ; la nôtre est toujours à $1 639, SAML et SCIM inclus.
Scénario 3 : le SSO est désormais incontournable
~50 000 MAU. Dix clients enterprise, dix connexions SAML, avec SCIM. Plus personne ne vous évalue sans cela :
| Fournisseur | Forfait /mois | SSO /mois | SCIM /mois | Total /mois | Total /an |
|---|---|---|---|---|---|
| Authagonal | $339 | $0 | $0 | $339 | $3 729 |
| Clerk | $25 | $675 (1 gratuite + 9×$75) | $0 | $700 | $8 400 |
| WorkOS | $0 | $1 250 | $1 250 | $2 500 | $30 000 |
| Auth0 | sur devis | sur devis | sur devis | sur devis | sur devis |
Lisez la ligne du haut face à celle du bas. La facture annuelle entière d'Authagonal (plateforme, SAML illimité, SCIM, MFA, audit, personnalisation, tout) est de $3 729. La taxe SSO-et-SCIM de WorkOS à elle seule est de $30 000 : plus de huit fois notre facture entière, avant que WorkOS ait facturé un seul cent pour la plateforme elle-même, et il n'en a pas besoin, car la taxe est la plateforme. Cet écart d'environ $26 000 par an, c'est exactement ce qui restait tu lorsqu'on ne montrait que la ligne SSO. Les octets sont identiques à une connexion par mot de passe ; le code a été écrit une fois et livré à tout le monde. Vous paieriez, chaque année, pour vingt cases à cocher et une plateforme que vous auriez pu avoir pour environ un huitième du prix.
Sur les chiffres. Forfait est le prix de la plateforme par paliers de MAU : la seule chose pour laquelle nous, et la plupart des fournisseurs, facturons légitimement plus à mesure que vous grandissez. WorkOS inclut la gestion des utilisateurs gratuitement jusqu'à 1M de MAU, donc toute sa facture est la taxe par connexion. Clerk Pro est à $25/mois avec les MAU largement inclus à ces volumes (un léger dépassement possible à 50k) ; sa première connexion SSO est gratuite, puis environ $75 chacune, et SCIM est inclus avec une connexion. Auth0 a changé son modèle assez récemment pour mériter son propre paragraphe, juste en dessous. Les chiffres annuels d'Authagonal sont ce qui est réellement facturé : 11× le prix mensuel, car les forfaits annuels offrent un mois gratuit (donc $29/mois fait $319/an, pas $348). Les tarifs annuels des concurrents sont mensuel × 12 ; si un fournisseur remise la facturation annuelle, nous ne l'avons pas vérifié, donc leurs vrais totaux pourraient baisser un peu, loin d'être assez pour combler l'écart.
Encore un mot sur Auth0, car son modèle est le plus subtil. Auth0 inclut désormais une connexion enterprise, le SSO et SCIM dans son plan Free, gratuit jusqu'à 25 000 MAU. Avec une seule connexion, cela ne coûte vraiment rien, et tout à son honneur. Mais ses paliers consumer payants les retirent à nouveau ; la note de bas de page vous dit de « passer au B2B » pour conserver le SSO. Et le B2B coûte plusieurs fois le prix consumer pour les mêmes utilisateurs (Essentials démarre vers $150/mois contre ~$35), donc la vraie taxe SSO d'Auth0 n'est pas par connexion, c'est la prime B2B : un multiple du prix de base pour le privilège de vendre à des entreprises. Cette base est tarifée au curseur selon les MAU et passe sur devis au-delà d'environ 20k utilisateurs, ce qui explique pourquoi Auth0 affiche quote dans nos lignes 10k et 50k au lieu d'une estimation interpolée.
(Deux autres fournisseurs facturent sur un axe différent, donc ils ne sont pas dans les tableaux : même taxe, autre chapeau. Okta licencie le SSO par utilisateur, ~$2/utilisateur à la carte, montant selon les humains derrière chaque connexion plutôt que le nombre de connexions. Duende IdentityServer vend SAML en supplément forfaitaire, ~$1 500/an en plus d'une licence à ~$5 750/an, et ensuite vous hébergez, patchez, faites évoluer, et construisez vous-même l'interface d'admin, le MFA et la piste d'audit. Une ligne à l'air bon marché, une facture réelle énorme.)
Questions fréquentes
Pourquoi dois-je payer un supplément pour le SSO ? Chez la plupart des fournisseurs, vous ne payez pas un supplément parce que le SSO leur coûte plus cher. Ce n'est pas le cas. Vous payez un supplément parce que les fonctions de sécurité et de conformité sont celles que vous êtes le moins en mesure de refuser, donc les plus rentables à verrouiller. SAML est un standard établi, vieux de vingt ans ; le coût marginal de l'activer pour un locataire de plus s'arrondit à zéro.
Qu'est-ce que la « taxe SSO » ? La pratique de facturer une prime (généralement par connexion, souvent $75–$125/mois chacune, ou en forçant un passage à un palier Enterprise) pour activer le single sign-on. Il existe une liste publique des coupables sur sso.tax. C'est une taxe sur le fait d'agir de manière responsable, perçue au moment où vous avez le moins de levier pour dire non.
Combien coûte le SSO chez Auth0, WorkOS et Clerk ? Selon leurs tarifs publiés en juin 2026 : WorkOS facture environ $125/mois par connexion SSO (plus environ $125 de plus pour SCIM) ; Clerk vous offre une connexion gratuite, puis environ $75/mois chacune ensuite. Auth0 fait exception : il inclut une connexion enterprise et SCIM gratuitement jusqu'à 25k MAU, puis retire le SSO de ses plans payants en self-service et oriente l'usage en production ou multi-connexions vers une voie B2B sur devis uniquement. À dix clients enterprise, WorkOS et Clerk reviennent à environ $15k et $8,1k par an pour SAML seul ; Auth0 ne publie aucun chiffre pour cela. Les chiffres évoluent, vérifiez donc la page de tarifs actuelle de chaque fournisseur.
Y a-t-il une offre gratuite ? Oui. Gratuit jusqu'à 250 utilisateurs actifs mensuels, toutes les fonctionnalités incluses, et (contrairement à toutes les autres offres gratuites) un nombre illimité de connexions SSO/SAML, pas une seule. Le plafond porte uniquement sur l'échelle : dépassez 250 MAU et vous passez à une offre payante. Pas de carte bancaire, pas de SLA, support communautaire.
Dois-je passer à une formule supérieure pour ajouter un autre client OAuth ou une autre application ? Pas chez nous. Les applications ne sont pas un axe payant, donc vous en enregistrez une par application ou service sans changer de palier. Plusieurs fournisseurs plafonnent ou facturent les clients (surtout ceux de machine à machine), ce qui force précisément le choix entre réutiliser un client que vous ne devriez pas et payer pour le palier suivant.
On apprend beaucoup sur une entreprise à partir de ce qu'elle vous facture. La plupart des fournisseurs d'authentification facturent des choses qui ne leur coûtent rien : un flag SAML, un flag SCIM, une ligne pour un client de plus. Le nôtre se résume à une seule phrase : payez pour la taille que vous atteignez, pas pour les interrupteurs qu'on vous autorise à basculer.
Voici exactement qui facture quoi, fournisseur par fournisseur. Le SSO est de notre côté de la table, sans supplément, et il en va de même pour le onzième client dont vous ignoriez avoir besoin. Voyez le prix pour vos chiffres.