以美元计的 SSO 税:SAML 在 Auth0、WorkOS 和 Clerk 究竟要花多少钱
我们曾写过功能税:在本就运行着的基础设施上,为翻转一个早已写好的布尔值而向你收费的把戏。那篇是论点。这篇是收据。
因为"SSO 要额外收费"很容易点头认同,也很容易忘掉。账单上的一个数字就难忘多了。那就把整张账单摆上桌,对应每个 B2B 产品都会经历的三个时刻:平台基础费(按月活跃用户计费,人人都收,而且这是公平的:更多用户服务起来确实成本更高),再加上真正对 SAML 计量的两项,SSO 连接以及随之而来的 SCIM 配置。三个实时列,一个总计。我们是有意把基础费纳入的。SSO 税并不是钱漏掉的唯一地方;单是平台价格本身的差距每年就高达数千美元,把它略去会低估功能税模式真正让你付出的代价。所有价目均为各厂商 2026 年 6 月公布的价格。
SSO 甚至不是唯一的计量表,只是嗓门最大的那个。还有一个更安静的:OAuth 客户端的上限,也就是你在自己这一侧注册的应用和服务。它在评估期间从不咬你;它在集成进行到一半时咬你,就在那个下午,你打算再接入一个工具,却发现配额用完了,只剩两条路:要么复用一个本不该复用的客户端(让你的支持台为你的核心 API 签发令牌,这可不是你想念给 SOC 2 审计员听的句子),要么跳一个档位,只为往一张表里加一行。一个客户端就是一行加一个密钥;它对厂商毫无成本,所以我们不对它计费。但 SSO 才是上头条的那种税,所以下面的表格定价的就是它。
场景 1:你的第一笔企业级交易
约 1,000 MAU。你的第一个真正的客户标识刚刚签约,条件是他们通过自己的身份提供商登录,用户自动完成配置。一个 SAML 连接,带 SCIM:
| 厂商 | 套餐 /月 | SSO /月 | SCIM /月 | 全包 /月 | 全包 /年 |
|---|---|---|---|---|---|
| Authagonal | $29 | $0 | $0 | $29 | $319 |
| Clerk | $25 | $0 (首个免费) | $0 | $25 | $300 |
| WorkOS | $0 | $125 | $125 | $250 | $3,000 |
| Auth0 | $0 | 含 | 含 | $0 | $0 |
在这个规模上,四家里有三家都接近于零。Clerk 的第一个连接免费(其套餐为 $25)。Auth0 的 Free 档现在把一个企业级连接、自助式 SSO 和 SCIM 一并打包,$0,最高到 25,000 MAU。是真免费,这一点值得肯定(坑在更下面)。我们是 $29,全包。只有 WorkOS 不合群:已经是 $3,000/年,全部都是按连接计的 SSO-加-SCIM 税。到目前为止,这笔税大体上还藏着:再加一个企业级客户,看着它浮上水面。
场景 2:少数几个企业级客户
约 10,000 MAU,SSO 如今已是销售流程的一部分。三个 SAML 连接,带 SCIM:
| 厂商 | 套餐 /月 | SSO /月 | SCIM /月 | 全包 /月 | 全包 /年 |
|---|---|---|---|---|---|
| Authagonal | $149 | $0 | $0 | $149 | $1,639 |
| Clerk | $25 | $150 (1 个免费 + 2×$75) | $0 | $175 | $2,100 |
| WorkOS | $0 | $375 | $375 | $750 | $9,000 |
| Auth0 | 询价 | 询价 | 询价 | 询价 | 询价 |
现在我们是表里最便宜的一行,不是靠砍功能,而是因为基础费就是你要付的全部。这三个连接里的每一个都是付费客户,所以按连接计的计量表恰好在 SSO 开始发挥作用时提速。WorkOS 单列的 SCIM 行已经把它翻倍到 $9,000/年;我们的仍是 $1,639,SAML 和 SCIM 全含。
场景 3:SSO 如今已是基本门槛
约 50,000 MAU。十个企业级客户,**十个 SAML 连接,带 SCIM。**没有它,已经没人会评估你了:
| 厂商 | 套餐 /月 | SSO /月 | SCIM /月 | 全包 /月 | 全包 /年 |
|---|---|---|---|---|---|
| Authagonal | $339 | $0 | $0 | $339 | $3,729 |
| Clerk | $25 | $675 (1 个免费 + 9×$75) | $0 | $700 | $8,400 |
| WorkOS | $0 | $1,250 | $1,250 | $2,500 | $30,000 |
| Auth0 | 询价 | 询价 | 询价 | 询价 | 询价 |
把最上面一行和最下面一行对着读。Authagonal 整张年度账单(平台、无限 SAML、SCIM、MFA、审计、品牌定制,全都算上)是 $3,729。WorkOS 单单的 SSO-加-SCIM 税就是 $30,000:超过我们整张账单的八倍,而这还是在 WorkOS 为平台本身收取一分钱之前,并且它也不需要收,因为这笔税就是平台。每年约 $26,000 的这道差距,正是我们只展示 SSO 那一行时被略过不提的东西。字节与一次密码登录别无二致;代码只写了一次,就交付给了所有人。你将会每年为二十个复选框,以及一个本可以用大约八分之一价格拥有的平台买单。
关于这些数字。 套餐是按 MAU 分档的平台价格:这是我们、以及大多数厂商在你成长时合理地多收的唯一一项。WorkOS 把用户管理免费包含到 1M MAU,所以它整张账单就是按连接计的税。Clerk Pro 为 $25/月,在这些用量下 MAU 大体已含(到 50k 可能有适度超量);它的第一个 SSO 连接免费,之后每个约 $75,SCIM 随连接免费附带。Auth0 改动模型的时间近到需要单独一段来讲,就在下面。Authagonal 的年度数字是它实际收取的:月价的 11 倍,因为年付套餐免一个月(所以 $29/月就是 $319/年,而非 $348)。竞品的年价是月价 × 12;若某厂商对年付有折扣,我们没有核实过,所以它们的真实总额可能略降,但远不足以抹平这道差距。
**再多说一句 Auth0,因为它的模型最微妙。*Auth0 现在把一个企业级连接、SSO 和 SCIM 一并放进 Free 套餐,免费到 25,000 MAU。在单个连接的情形下,这确实毫无成本,这一点值得肯定。但它付费的 consumer 档又把它们剥了出来;脚注让你"升级到 B2B"*才能保留 SSO。而对同样的用户,B2B 的价格是 consumer 的好几倍(Essentials 起步约 $150/月,对比 ~$35),所以 Auth0 真正的 SSO 税不是按连接计,而是 B2B 溢价:为向企业销售这一特权,在基础价上乘以一个倍数。那个基础价按 MAU 用滑块定价,超过约 20k 用户就转为定制,这就是为什么在我们 10k 和 50k 的行里 Auth0 显示的是 quote,而不是一个插值出来的猜测。
(还有两家厂商按另一个维度计量,所以不在表里:同一种税,换了顶帽子。Okta 按用户授权 SSO,单点约 $2/用户,随每个连接背后的人数而非连接数量扩张。Duende IdentityServer 把 SAML 作为一个固定附加项出售,在约 $5,750/年的授权之上再加约 $1,500/年,然后托管、打补丁、扩展,以及管理界面、MFA 和审计轨迹都得你自己来。一个看起来便宜的条目,一张巨大的真实账单。)
常见问题
为什么我得为 SSO 额外付费? 对大多数厂商而言,你额外付费并不是因为 SSO 让他们花了更多钱。它没有。你额外付费,是因为安全与合规功能是你最难拒绝的那些,所以拿来设卡最赚钱。SAML 是一个成熟的、二十年历史的标准;为多一个租户启用它的边际成本约等于零。
什么是"SSO 税"? 为开启单点登录而收取溢价的做法(通常按连接计,往往每个 $75–$125/月,或者通过强制升级到 Enterprise 档)。在 sso.tax 有一份公开的违规者名单。这是对做负责任之事征收的税,恰好在你最没有筹码说不的时刻收取。
SSO 在 Auth0、WorkOS 和 Clerk 各要花多少钱? 按它们 2026 年 6 月公布的价目:WorkOS 每个 SSO 连接收约 $125/月(SCIM 再加约 $125);Clerk 给你一个免费连接,之后每个约 $75/月。Auth0 是个异类:它把一个企业级连接和 SCIM 免费包含到 25k MAU,然后把 SSO 从其付费自助套餐中移除,并把生产环境或多连接的用途引导到仅限询价的 B2B 通道。在十个企业级客户的情形下,仅 SAML 一项 WorkOS 和 Clerk 每年约为 $15k 和 $8.1k;Auth0 不会为此公布一个数字。数字会变,所以请查看各厂商当前的价格页面。
有免费档吗? 有。免费到 250 个月活跃用户,包含所有功能,而且(不同于其他任何免费档)SSO/SAML 连接无限,而不只是一个。它只在规模上设限:超过 250 MAU 你就转入付费套餐。无需信用卡,无 SLA,社区支持。
我必须升级套餐才能再加一个 OAuth 客户端或应用吗? 在我们这里不必。应用不是一个收费维度,所以你为每个应用或服务注册一个,无需更换档位。有几家厂商确实会对客户端设上限或计量(尤其是机器对机器的),而这恰恰逼出了那个两难:要么复用一个本不该复用的客户端,要么为下一个档位付费。
从一家公司向你收什么费,就能看出它的不少底色。大多数认证厂商对那些对它们毫无成本的东西收费:一个 SAML 开关,一个 SCIM 开关,为多一个客户端加的一行。我们的归结为一句话:为你成长到多大付费,而不是为你被允许翻动哪些开关付费。
这里清清楚楚列出谁为什么收费,一家一家地列。SSO 在我们这一侧的桌面上,不另收费,你没料到会需要的第十一个客户端也是如此。按你的数字来看定价。