← All posts

Thuế SSO, tính bằng đô la: SAML thực sự tốn bao nhiêu ở Auth0, WorkOS và Clerk

Authagonal·July 3, 2026
authpricingssossotaxsamlscim

Chúng tôi từng viết về thuế tính năng: chiêu thu tiền bạn để bật một biến boolean đã được viết sẵn, trên hạ tầng vốn đã đang chạy. Bài đó là lập luận. Bài này là biên lai.

Bởi vì "SSO tốn thêm tiền" thì dễ gật đầu đồng ý và cũng dễ quên. Một con số trên hóa đơn thì khó quên hơn. Vậy nên hãy đặt cả hóa đơn lên bàn, cho ba thời điểm mà mọi sản phẩm B2B đều đi qua: mức nền của nền tảng (tính theo người dùng hoạt động hàng tháng, điều mà ai cũng tính và là công bằng: nhiều người dùng thì thực sự tốn kém hơn để phục vụ), cộng với hai khoản thực sự đo đếm SAML, kết nối SSOcấp phát SCIM đi kèm. Ba cột đang sống, một tổng tất cả trong một. Chúng tôi cố ý đưa mức nền vào. Thuế SSO không phải nơi duy nhất tiền rò rỉ; riêng khoảng cách ở chính giá nền tảng đã lên tới hàng nghìn đô mỗi năm, và bỏ nó ra sẽ đánh giá thấp mức mà mô hình thuế tính năng thực sự bắt bạn trả. Tất cả mức giá là giá công bố tháng 6 năm 2026 của từng nhà cung cấp.

SSO thậm chí không phải đồng hồ đo duy nhất, chỉ là cái ồn ào nhất. Có một cái lặng lẽ hơn: giới hạn về số client OAuth, các ứng dụng và dịch vụ bạn đăng ký ở phía của mình. Nó không bao giờ cắn trong lúc đánh giá; nó cắn giữa chừng tích hợp, vào buổi chiều bạn định đấu nối thêm một công cụ nữa và phát hiện mình đã hết suất, chỉ còn cách hoặc tái dùng một client mà lẽ ra không nên (việc bộ phận hỗ trợ của bạn phát hành token cho API cốt lõi không phải câu bạn muốn đọc cho một kiểm toán viên SOC 2 nghe) hoặc nhảy lên một bậc giá để thêm một dòng vào một bảng. Một client là một dòng và một secret; nó chẳng tốn gì cho nhà cung cấp, nên chúng tôi không tính tiền nó. Nhưng SSO mới là khoản thuế giật tít, nên đó là thứ các bảng dưới đây tính giá.

Kịch bản 1: thương vụ enterprise đầu tiên của bạn

~1.000 MAU. Logo thật sự đầu tiên của bạn vừa ký, với điều kiện họ đăng nhập qua nhà cung cấp danh tính của riêng họ, với người dùng được cấp phát tự động. Một kết nối SAML, có SCIM:

Nhà cung cấp Gói /tháng SSO /tháng SCIM /tháng Tất cả /tháng Tất cả /năm
Authagonal $29 $0 $0 $29 $319
Clerk $25 $0 (cái đầu miễn phí) $0 $25 $300
WorkOS $0 $125 $125 $250 $3.000
Auth0 $0 gồm. gồm. $0 $0

Ở quy mô này, ba trong bốn ở gần mức không. Kết nối đầu tiên của Clerk miễn phí (gói của họ là $25). Bậc Free của Auth0 giờ gộp một kết nối enterprise, SSO tự phục vụ và SCIM với $0, lên tới 25.000 MAU. Miễn phí thật sự, và đáng ghi nhận (cái bẫy nằm ở dưới). Chúng tôi là $29, tất cả trong một. Chỉ có WorkOS phá vỡ hàng ngũ: đã $3.000/năm, toàn bộ là thuế SSO-và-SCIM tính theo từng kết nối. Đến giờ thuế vẫn chủ yếu ẩn mình: thêm một khách hàng enterprise thứ hai và xem nó trồi lên mặt.

Kịch bản 2: một số ít khách hàng enterprise

~10.000 MAU, SSO giờ là một phần của quy trình bán hàng. Ba kết nối SAML, có SCIM:

Nhà cung cấp Gói /tháng SSO /tháng SCIM /tháng Tất cả /tháng Tất cả /năm
Authagonal $149 $0 $0 $149 $1.639
Clerk $25 $150 (1 miễn phí + 2×$75) $0 $175 $2.100
WorkOS $0 $375 $375 $750 $9.000
Auth0 báo giá báo giá báo giá báo giá báo giá

Giờ chúng tôi là dòng rẻ nhất trong bảng, không phải nhờ cắt bớt tính năng mà vì mức nền là tất cả những gì bạn trả. Mỗi một trong ba kết nối đó là một khách hàng đang trả tiền, nên đồng hồ tính theo kết nối tăng tốc đúng vào lúc SSO bắt đầu làm việc của nó. Dòng SCIM riêng của WorkOS đã nâng nó gấp đôi lên $9.000/năm; của chúng tôi vẫn là $1.639, gồm cả SAML và SCIM.

Kịch bản 3: SSO giờ là điều bắt buộc

~50.000 MAU. Mười khách hàng enterprise, mười kết nối SAML, có SCIM. Chẳng còn ai đánh giá bạn mà thiếu nó:

Nhà cung cấp Gói /tháng SSO /tháng SCIM /tháng Tất cả /tháng Tất cả /năm
Authagonal $339 $0 $0 $339 $3.729
Clerk $25 $675 (1 miễn phí + 9×$75) $0 $700 $8.400
WorkOS $0 $1.250 $1.250 $2.500 $30.000
Auth0 báo giá báo giá báo giá báo giá báo giá

Hãy đọc dòng trên cùng đối chiếu với dòng dưới cùng. Toàn bộ hóa đơn hàng năm của Authagonal (nền tảng, SAML không giới hạn, SCIM, MFA, kiểm toán, thương hiệu, tất tần tật) là $3.729. Chỉ riêng thuế SSO-và-SCIM của WorkOS đã là $30.000: hơn tám lần toàn bộ hóa đơn của chúng tôi, trước khi WorkOS tính một xu nào cho chính nền tảng, và họ không cần, bởi vì thuế chính là nền tảng. Khoảng cách ~$26.000 mỗi năm đó chính là thứ không được nhắc tới khi chúng ta chỉ trưng ra dòng SSO. Số byte giống hệt một lần đăng nhập bằng mật khẩu; mã được viết một lần và giao cho tất cả mọi người. Mỗi năm bạn sẽ trả tiền cho hai mươi ô tích và một nền tảng mà lẽ ra bạn có thể có với khoảng một phần tám giá.

Về các con số. Gói là giá nền tảng phân bậc theo MAU: thứ duy nhất mà chúng tôi, và phần lớn nhà cung cấp, tính thêm một cách chính đáng khi bạn lớn lên. WorkOS gồm quản lý người dùng miễn phí tới 1M MAU, nên toàn bộ hóa đơn của họ là thuế tính theo kết nối. Clerk Pro là $25/tháng với MAU phần lớn đã gồm ở các mức này (có thể vượt một chút ở 50k); kết nối SSO đầu tiên miễn phí, sau đó khoảng $75 mỗi cái, và SCIM đi kèm miễn phí với một kết nối. Auth0 vừa đổi mô hình đủ gần đây để cần riêng một đoạn, ngay bên dưới. Các con số hàng năm của Authagonal là mức thực sự tính: 11× giá tháng, vì gói năm được tặng một tháng (nên $29/tháng là $319/năm, không phải $348). Giá năm của đối thủ là giá tháng × 12; nếu một nhà cung cấp giảm giá khi thanh toán năm thì chúng tôi chưa kiểm chứng, nên tổng thật của họ có thể giảm đôi chút, còn xa mới đủ để xóa khoảng cách.

Thêm một điều về Auth0, vì mô hình của nó là tinh vi nhất. Auth0 giờ gộp một kết nối enterprise, SSO và SCIM vào gói Free, miễn phí tới 25.000 MAU. Với một kết nối duy nhất thì điều đó thực sự chẳng tốn gì, và đáng ghi nhận. Nhưng các bậc consumer trả phí của nó lại bóc chúng ra; phần chú thích bảo bạn "nâng cấp lên B2B" để giữ SSO. Và B2B đắt gấp nhiều lần giá consumer cho cùng người dùng (Essentials khởi điểm khoảng $150/tháng so với ~$35), nên thuế SSO thật sự của Auth0 không tính theo kết nối, mà là phụ phí B2B: một bội số trên giá nền cho cái đặc quyền được bán cho doanh nghiệp. Mức nền đó định giá theo thanh trượt MAU và chuyển sang tùy chỉnh trên ~20k người dùng, đó là lý do Auth0 hiện quote trong dòng 10k và 50k của chúng tôi thay vì một con số nội suy đoán mò.

(Hai nhà cung cấp khác đo trên một trục khác, nên không có trong các bảng: cùng một thứ thuế, đội cái mũ khác. Okta cấp phép SSO theo người dùng, ~$2/người dùng tính lẻ, tăng theo số người đằng sau mỗi kết nối thay vì số lượng kết nối. Duende IdentityServer bán SAML như một khoản bổ sung trọn gói, ~$1.500/năm cộng thêm vào giấy phép ~$5.750/năm, rồi bạn tự host, vá lỗi, mở rộng, và tự xây giao diện quản trị, MFA và nhật ký kiểm toán. Một dòng trông rẻ, một hóa đơn thật khổng lồ.)

Câu hỏi thường gặp

Tại sao tôi phải trả thêm cho SSO? Với phần lớn nhà cung cấp, bạn không trả thêm vì SSO tốn của họ nhiều hơn. Không phải vậy. Bạn trả thêm vì tính năng bảo mật và tuân thủ là những thứ bạn ít có khả năng từ chối nhất, nên chặn sau bức tường thì chúng sinh lời nhất. SAML là một tiêu chuẩn đã ổn định, hai mươi năm tuổi; chi phí biên để bật nó cho thêm một tenant làm tròn về không.

"Thuế SSO" là gì? Cách làm thu một khoản phụ phí (thường tính theo kết nối, hay $75–$125/tháng mỗi cái, hoặc bằng cách ép nâng lên bậc Enterprise) để bật đăng nhập một lần. Có một danh sách công khai những kẻ vi phạm tại sso.tax. Đó là thuế đánh vào việc làm điều có trách nhiệm, thu đúng vào lúc bạn có ít sức mặc cả nhất để nói không.

SSO tốn bao nhiêu ở Auth0, WorkOS và Clerk? Theo bảng giá công bố tháng 6 năm 2026: WorkOS tính khoảng $125/tháng mỗi kết nối SSO (cộng thêm ~$125 cho SCIM); Clerk cho bạn một kết nối miễn phí, sau đó khoảng $75/tháng mỗi cái. Auth0 là kẻ khác biệt: nó gồm một kết nối enterprise và SCIM miễn phí tới 25k MAU, rồi gỡ SSO khỏi các gói tự phục vụ trả phí và đưa việc dùng trong môi trường production hoặc đa kết nối sang một nhánh B2B chỉ-báo-giá. Với mười khách hàng enterprise, WorkOS và Clerk vào khoảng $15k và $8,1k mỗi năm chỉ riêng cho SAML; Auth0 không công bố con số cho việc đó. Con số thay đổi, nên hãy kiểm tra trang giá hiện tại của từng nhà cung cấp.

Có gói miễn phí không? Có. Miễn phí tới 250 người dùng hoạt động hàng tháng, gồm mọi tính năng, và (khác với mọi gói miễn phí khác) kết nối SSO/SAML không giới hạn, chứ không chỉ một. Nó chỉ bị chặn ở quy mô: vượt 250 MAU là bạn chuyển sang gói trả phí. Không cần thẻ tín dụng, không SLA, hỗ trợ từ cộng đồng.

Tôi có phải nâng gói để thêm một client OAuth hay một ứng dụng khác không? Với chúng tôi thì không. Ứng dụng không phải trục tính tiền, nên bạn đăng ký một cái cho mỗi ứng dụng hoặc dịch vụ mà không đổi bậc. Vài nhà cung cấp có chặn hoặc đo client (đặc biệt loại máy-tới-máy), chính điều đó ép bạn chọn giữa việc tái dùng một client mà lẽ ra không nên và việc trả tiền cho bậc kế tiếp.


Bạn có thể biết khá nhiều về một công ty qua những thứ họ tính tiền bạn. Phần lớn nhà cung cấp xác thực tính tiền cho những thứ chẳng tốn gì của họ: một flag SAML, một flag SCIM, một dòng cho thêm một client. Của chúng tôi gói lại trong một câu duy nhất: trả tiền theo mức độ bạn lớn lên, chứ không phải theo những công tắc bạn được phép bật.

Đây chính xác là ai tính tiền cho cái gì, từng nhà cung cấp một. SSO nằm ở phía bàn của chúng tôi, không phụ phí, và client thứ mười một mà bạn không ngờ mình cần cũng vậy. Xem giá tính cho con số của bạn.