फ़ीचर टैक्स: उन स्विचों को चालू करने के पैसे देना बंद करें जिनकी लागत कुछ भी नहीं
आपके auth वेंडर की pricing page पर कहीं एक checkbox है जिसकी हर महीने की क़ीमत एक इंजीनियर के laptop से ज़्यादा है, और जिसे देने में कुछ भी ख़र्च नहीं होता। यह लेख उसी checkbox के बारे में है।
sso.tax नाम की एक वेबसाइट है। यह इसलिए मौजूद है क्योंकि इतनी सारी सॉफ़्टवेयर कंपनियाँ single sign-on के लिए इतना ज़्यादा अतिरिक्त शुल्क लेती हैं — एक ऐसा फ़ीचर जिसे चलाने में उन्हें लगभग कुछ भी ख़र्च नहीं होता — कि किसी को सबका हिसाब रखने के लिए एक सार्वजनिक शर्मिंदगी की सूची ही बनानी पड़ी। SAML दो दशकों से एक स्थापित मानक रहा है। कोड लिखा जा चुका है। bytes वही bytes हैं चाहे कोई उपयोगकर्ता password से sign in करे या किसी corporate identity provider से। और फिर भी "SSO चालू करें" वही line item है जो भरोसे से आपके invoice को दोगुना कर देता है, या वही जो आख़िरकार sales को वह नापसंद कॉल करने पर मजबूर कर देता है। वह कोई क़ीमत नहीं है। वह एक ऐसी सड़क पर लगा टोल बूथ है जो पहले ही बन चुकी और जिसका भुगतान हो चुका है।
यहाँ वह फ़र्क़ है जिसे उद्योग चाहेगा कि आप कभी साफ़-साफ़ न समझें। लागत मीटर करने और अनुमति मीटर करने में एक फ़र्क़ है। लागत मीटर करना ईमानदार है: अगर मैं ज़्यादा traffic भेजता हूँ, ज़्यादा डेटा संग्रहीत करता हूँ, या ज़्यादा monthly active users को सक्रिय रखता हूँ, तो मुझे सर्व करने में सचमुच ज़्यादा ख़र्च आता है, और आपको इसके पैसे लेने चाहिए। अनुमति मीटर करना पूरी तरह से कुछ और है। यह मुझसे एक ऐसे boolean को चालू करने के पैसे लेना है जिसे आप पहले ही लिख चुके हैं, ऐसे infrastructure पर जो पहले से चल रहा है, एक ऐसे फ़ीचर का उपयोग करने के लिए जिसकी आप पर marginal लागत शून्य के बराबर है। ज़्यादातर auth pricing pages मुख्यतः दूसरी वाली चीज़ हैं जो पहली वाली के कपड़े पहने हुए है।
एक बार जब आप इसे देख लेते हैं, तो आप इसे देखना बंद नहीं कर पाते। Single sign-on को "Enterprise" टियर के पीछे रोक दिया गया, या प्रति connection सौ-से-ज़्यादा डॉलर प्रति महीने पर बिल किया गया, और कभी-कभी दो बार बिल किया गया: एक बार SSO connection के लिए, और फिर उसी एकीकरण पर सवार SCIM provisioning के लिए। Multi-factor authentication को एक paid upgrade के रूप में बेचा गया, यानी आपके उपयोगकर्ताओं को phishing से बचाने न देने के लिए एक अधिभार। Audit logs को टियर के हिसाब से retention windows में काट दिया गया, मानो पिछली तिमाही की एक row को संग्रहीत करने में आज सुबह की row से ज़्यादा ख़र्च आता हो। Machine-to-machine tokens को सीमित और मीटर किया गया, मानो एक JWT पर signature करना कोई दुर्लभ खनिज हो। और सबसे शुद्ध रूप: वे वेंडर जो SSO, MFA, और user provisioning को तीन अलग-अलग per-seat उत्पादों में बाँट देते हैं, ताकि जो चीज़ आप समझते थे कि आप ख़रीद रहे हैं (login) वह टुकड़ों में सामने आए, हर एक का अपना price tag।
फिर एक और किस्म है: कवर चार्ज। कम से कम एक मशहूर identity उत्पाद एक भी इंसान को authenticate करने से पहले ही कई हज़ार डॉलर सालाना माँगता है। SAML उसके ऊपर एक paid add-on है, और तब भी आपने जो license लिया है वह बस protocol की plumbing है। आप फिर भी login screens, admin UI, MFA enrollment, audit trail ख़ुद बनाते हैं; आप फिर भी पूरी चीज़ को ख़ुद host, patch, और scale करते हैं। License कवर चार्ज है। असली उत्पाद आपकी इंजीनियरिंग टीम के लिए एक अभ्यास के रूप में छोड़ दिया जाता है।
इस सबका शिष्ट नाम है "value-based pricing," और बहुत-से व्यवसायों में यह एक बिल्कुल उचित विचार है। Auth में इसका एक बदसूरत रूप है, क्योंकि जिन फ़ीचर्स को रोका जा रहा है वे security और compliance वाले हैं: ठीक वही फ़ीचर्स जिन्हें मना करने में आप सबसे कम सक्षम हैं। आप एक बेहतर dashboard के बिना जी सकते हैं। आप SSO के बिना नहीं जी सकते जब आपके सबसे बड़े संभावित ग्राहक की procurement टीम इसकी माँग करती है, या MFA के बिना नहीं जब आपका अपना SOC 2 ऑडिटर माँगता है। तो उद्योग ने ठीक उन्हीं फ़ीचर्स को सबसे ऊँचे-मार्जिन वाले दरवाज़े के पीछे रखना सीख लिया। यह ज़िम्मेदार काम करने पर एक टैक्स है, जो ठीक उसी पल वसूला जाता है जब आपके पास "ना" कहने का सबसे कम दम होता है।
तो आपको एक auth provider को किस चीज़ के पैसे देने चाहिए? उन चीज़ों के जिनमें उन्हें सचमुच पैसे ख़र्च होते हैं। Scale में पैसे ख़र्च होते हैं: ज़्यादा monthly active users का मतलब ज़्यादा sessions, ज़्यादा tokens, ज़्यादा storage, ज़्यादा egress, असली संसाधन जो आपके बढ़ने के साथ बढ़ते हैं। Support में पैसे ख़र्च होते हैं: रात 2 बजे मुश्किल सवालों के जवाब देते इंसान एक असली, बार-बार आने वाला ख़र्च हैं। इनके लिए ख़ुशी-ख़ुशी पैसे दें। वह एक ईमानदार invoice है। जिस चीज़ के आपको कभी पैसे नहीं देने चाहिए वह है ऐसे कोड को चालू करने का विशेषाधिकार जो पहले से लिखा जा चुका है और platform पर बाक़ी सबके लिए पहले से deploy किया जा चुका है।
यही वह पूरी वजह है कि Authagonal की pricing जैसी है वैसी क्यों है। हम scale के लिए और support के लिए शुल्क लेते हैं, और सूची यहीं ख़त्म होती है। प्लान इस आधार पर अलग होते हैं कि आपके पास कितने monthly active users हैं और आप कितना हाथ-थामना चाहते हैं, क्योंकि जैसे-जैसे आप ज़्यादा उपयोग करते हैं, असल में बस यही चीज़ें हमें ज़्यादा महँगी पड़ती हैं। बाक़ी सब कुछ हर टियर में शामिल है, entry प्लान से शुरू होकर: असीमित SSO और SAML connections, SCIM provisioning, MFA, role-based access control, audit logs, और आपके अपने domain पर custom branding। "Enterprise पर शामिल" नहीं। शामिल। सबसे सस्ता प्लान और सबसे बड़ा प्लान एक-समान feature set चलाते हैं; बदलती बस यही है कि आपको कितना बड़ा होने की अनुमति है।
क्योंकि आपके tenant के लिए SAML चालू है या नहीं, यह एक pricing फ़ैसला है, इंजीनियरिंग का नहीं। काम दोनों ही सूरत में हो चुका होता है। इसे चालू करने के अतिरिक्त पैसे लेना किसी लागत की भरपाई नहीं है। यह मापना है कि आप walk करने से पहले कितना बर्दाश्त करेंगे। हम बस अपने ही ग्राहकों पर वह प्रयोग चलाना पसंद नहीं करेंगे। फ़ीचर्स को एक बार बनाओ, सबको दो, और पैसे उबाऊ, ईमानदार तरीक़े से कमाओ: जब आपका उपयोग करने वाले लोग बढ़ें।
आप किसी कंपनी के pricing करने के तरीक़े से बहुत कुछ बता सकते हैं। ज़्यादातर auth वेंडर उन चीज़ों के पैसे लेते हैं जिनमें उन्हें लगभग कुछ भी ख़र्च नहीं होता; हमारी pricing एक ही पंक्ति में सिमटती है: इसके पैसे दो कि आप कितने बड़े होते हैं, इसके नहीं कि आपको कौन-से स्विच चालू करने की अनुमति है।
अगर यही वह invoice है जो आप बजाय किसी और के पाना चाहेंगे, तो यहाँ ठीक-ठीक देखें कि कौन किस चीज़ के पैसे लेता है। SSO हमारी तरफ़ है, बिना किसी अतिरिक्त शुल्क के।