功能税:别再为拨动那些零成本的开关付费

在你的身份认证服务商的定价页面上,某处有一个复选框,它每月的费用比一名工程师的笔记本电脑还贵,而提供它却几乎不花任何成本。这篇文章讲的就是这个复选框。

有一个网站叫 sso.tax。它之所以存在,是因为太多软件公司为单点登录(Single Sign-on)收取高昂的额外费用,而运营这项功能对他们来说几乎不花什么成本,以至于有人不得不建一个公开的"点名"清单,只为把这些情况记录下来。SAML 作为既定标准已有二十年。代码早就写好了。无论用户是用密码登录,还是通过企业身份提供方登录,字节都是同样的字节。可是"开启 SSO"却往往是让你账单翻倍的那一项,或者最终逼你不得不拨打那通令人发怵的销售电话的那一项。那不是价格。那是在一条早已修好、早已付清的路上设的收费站。

这里就是这个行业最不愿意你清晰划出的那条界线。按成本收费和按许可收费,是两回事。按成本收费是诚实的:如果我产生更多流量、存储更多数据,或让更多月活跃用户保持在线,那么服务我确实更费钱,你理应为此收费。按许可收费则完全是另一回事。那是在向我收钱,只为翻动一个你早就写好的布尔值,在一套早已运行的基础设施上,使用一项对你而言边际成本趋近于零的功能。大多数身份认证定价页面,主要就是后者披着前者的外衣。

一旦看清,你就再也无法视而不见。单点登录被锁在"Enterprise"档之后,或者按每个连接每月一百多美元计费,有时还要收两次:一次为 SSO 连接,另一次为搭乘同一套集成的 SCIM 用户预配。多因素认证被当作付费升级出售,也就是说,为了不让你的用户被钓鱼而额外收费。审计日志按档位被切成不同的保留期,仿佛上个季度的一行记录比今天早上的一行更占存储。机器对机器的令牌被设上限并按用量计费,仿佛签发一个 JWT 是什么稀有矿产。而最纯粹的一种形式是:有些服务商把 SSO、MFA 和用户预配拆成三个按席位计费的独立产品,于是你以为买到的东西(登录)变成了一块块零件,每一块都贴着自己的价签。

然后还有另一种花样:入场费。至少有一款知名的身份产品,在你还没认证过哪怕一个真人之前,就要先收取每年数千美元。在此之上,SAML 还是一个付费附加项,而即便如此,你买到的也只是协议管线那部分的许可。登录界面、管理后台、MFA 注册、审计记录,仍然要你自己来建;整套东西的托管、打补丁和扩容,仍然要你自己来做。许可证就是入场费。真正的产品,被留作你工程团队的一道习题。

这一切的客气说法叫"基于价值的定价",在许多生意里这是个完全合理的想法。身份认证有一个更丑陋的版本,因为被设卡的功能恰恰是安全与合规这一类:正是你最无力拒绝的那些。没有更漂亮的仪表盘,你能活。可当你最大的潜在客户的采购部门要求 SSO 时,你没有 SSO 就活不下去;当你自己的 SOC 2 审计员要求 MFA 时,你没有 MFA 也活不下去。于是这个行业学会了,把恰恰是这些功能放在利润率最高的那扇门后面。这是一种对"做负责任之事"征收的税,而且正好在你最没有底气说不的那一刻征收。

那么,你应该为身份认证服务商支付什么?支付那些真正让他们花钱的东西。规模会花钱:更多月活跃用户意味着更多会话、更多令牌、更多存储、更多出站流量,都是随你成长而增长的真实资源。支持会花钱:有人在凌晨两点回答棘手的问题,是一笔真实且持续的开销。这些,乐意付。那是一张诚实的账单。你永远不该付的,是这样一种特权费:去开启一段早已写好、并且早已为平台上所有其他人部署好的代码。

这正是 Authagonal 的定价之所以是这个形状的全部原因。我们按规模和按支持收费,清单到此为止。各档套餐的区别,只在于你有多少月活跃用户,以及你想要多少贴身协助,因为这才是随着你用得更多而真正让我们花费更多的东西。其余的一切,在每一档都包含在内,从入门套餐起就是如此:无限的 SSO 和 SAML 连接、SCIM 用户预配、MFA、基于角色的访问控制、审计日志,以及在你自有域名上的品牌定制。不是"Enterprise 才包含"。就是包含。最便宜的套餐和最大的套餐运行的是完全相同的一套功能;唯一改变的,是你被允许长到多大。

因为 SAML 是否为你的租户开启,是一个定价决定,而不是一个工程决定。无论如何,这份活儿都已经做完了。为开启它而向你额外收费,并不是在收回成本。它衡量的是:在你掉头离开之前,你能忍到什么程度。我们只是宁愿不在自己的客户身上做这个实验。把功能建好一次,交付给所有人,然后用那种无聊而诚实的方式赚钱:在使用你的人成长的时候。

从一家公司如何定价,你能看出很多。大多数身份认证服务商,为那些几乎不让他们花钱的东西收费;而在我们这里,归结为一句话:为你长到多大付费,而不是为你被允许拨动哪些开关付费。

如果那才是你更愿意收到的账单,这里写得清清楚楚,谁为什么收费。SSO 就在我们这一侧的桌上,不额外收费。