← All posts

SCIM 税:预配是基础管道,不是高级功能

Authagonal·July 14, 2026
scimpricingsso-taxprovisioning

SCIM 是身份领域里最不起眼的协议。它就是一套针对用户记录的 REST API:创建、更新、停用,并以 RFC 7644 的形式标准化,让目录和应用只需要实现一次。当客户的 IT 团队把他们的 Entra 或 Okta 目录接入你的产品时,正是 SCIM 让新员工在入职第一天就出现在你的应用里,让离职者在离开当天就消失。它是最字面意义上的管道:无人值守、看不见摸不着,只有在缺失的时候才会被注意到。

这段管道的市价相当可观。WorkOS 对每条 Directory Sync 连接收取每月 $125,而这还是在每条 SSO 连接每月 $125 之外另收的。一家 SaaS 若有十个企业客户,每家都要这对标配(登录加预配),那么在他们的用户还没有一个人登录之前,这家 SaaS 就已经在支付每月 $2,500。Auth0 玩的是另一套经典打法:免费版名义上附带一条企业连接,但付费的消费者档位把企业功能剥掉,把真正需要这些功能的人引向 B2B 套餐,在那里连接是每条约 $100 的附加项。无论是哪种形态,传递的信息都一样:预配被关在企业版的大门后面,和 SAML 摆在一起,按连接计价。

那么值得问一句:一条 SCIM 连接对厂商来说,服务成本到底是多少?在服务方这边,一条连接就是一个 bearer token 加一个基础 URL。流量只是涓涓细流:有人入职时一个 HTTP 请求,换团队或改名时一个,离职时一个。没有扇出,没有值得一提的计算量,也谈不上什么存储开销。这份规范存在的意义,恰恰就是让实现成为一次性成本:一旦你实现了带 PATCH 语义的 /Users/Groups,第两百条连接的成本和第二条完全一样,就是表里的一行记录。每条连接每月 $125 不是成本回收,而是一道市场分层的围栏,立在企业买家站的位置,因为企业买家付得起。我们已经逐美元算过 SSO 的这笔账;SCIM 是同一种税,只是在第二个收费站再收一遍。

但 SCIM 不是 SSO,差别在于不付钱时会发生什么。拒付 SSO 的费用,登录体验会变差:更多密码、更大的钓鱼攻击面、一个恼火的 IT 部门。不方便,但扛得住。拒付 SCIM 的费用,离职流程就断了。SCIM 承载过的最重要的一条消息,就是那句“此人已经离职,立刻在所有地方停用他的账号”。没有它,取消预配就得靠一个人在某人被送出公司大门的当天,记得逐一点开公司在用的每一款 SaaS 产品的管理后台,一步都不能漏。实践中这意味着前员工的账号还能继续用上几天,有时是几个月。审计师在每一次 SOC 2 和 ISO 27001 审查里都要过问“及时取消预配”,是有原因的:离职员工那个密码从未更换的休眠账号,是最古老的入侵入口之一。

这意味着取消预配不是一个便利功能,而是一项安全控制,对 SCIM 按连接收费,就是给这项控制挂上价签。注意当买家拒付这笔费用时,风险去了哪里:厂商那边毫发无损,提供的产品分毫不差。缺口开在客户这边,开在那份如今靠人的记忆而非自动化来执行的离职清单上。对 SCIM 收费,就是对一扇你已经卖出去的门上的锁再收一次钱。

读懂任何厂商的价目表有一个简单的方法:真正花钱去服务的东西按用量计价,不花钱的东西按你能不能拒绝来计价。按用户、按 MAU 的定价追踪的是真实成本。对一个标准化协议按连接收费,追踪的是议价权,而 SCIM 手里的议价权是所有功能里最大的,因为企业安全问卷强制要求它。买家没法说不,价格也就照此制定。这就是 SCIM 税:不是一项服务的费用,而是压在一项合规要求上的过路费。

我们认为开收费站是一门做错了的生意。Authagonal 在每一个套餐里都包含 SCIM,免费版也不例外,连接数不限,和 SSO 一样。预配就是管道。我们只对真正让我们产生成本的东西收费,也就是活跃用户;而那个把离职者账号在所有地方统一停用的开关,不是高级功能。它是分内之事。