生态伙伴就像骑在彩虹上的独角兽，对 Okta 而言，每一家公司都意味着新鲜血液，都能带来价值共生。

在数字化浪潮的推动下，企业上云已成为一大趋势，管理云身份与访问，保证云安全成了数字化企业面临的新问题，对此，Okta 推出以单点登录为主的产品，使其成为几乎全部 SaaS 公司的集成首选。

Okta 的生态理念是“Partner with anyone”，就像学校里最受欢迎的同学一样，他可以与任何企业合作，唯一原则是生态伙伴能更好服务客户。

本文从集成生态和伙伴生态切入，阐述了 Okta 的生态结构、逻辑与理念，以下为正文：

Okta：永不信任，永远验证

你是否也经历过，在访问某个网站时突然弹出一个窗口，提醒你该网络不安全，甚至直接禁止。

这就是防火墙的作用，是传统网络安全的城墙，它会区分内网和外网，并认定内网都是安全的，外网都是不安全的。通常，防火墙会抵御 80% 的病毒，但随着云计算的普及，传统网络安全已无法满足企业办公需求，如何保证云环境的安全成了目前的新问题，如企业账号和员工身份管理。而「零信任」就是针对此类问题的解决方案。

从概念上讲，零信任即“永不信任，永远验证”。意思是不像传统网络安全，零信任架构不区分内外网，对任何访问网络的人都不信任，并且验证每位访客。无论从哪个渠道进入，每一位用户都会被实时认证、验证和加密。零信任的目的是解决边界问题带来的安全风险。

实际上，零信任这一概念早在十年前就存在，只是近些年才走进大众视野。随着技术不断创新，在混合 IT 环境下，数字化企业，尤其是 SaaS 公司，对零信任解决方案的需求也愈加迫切。

以 Okta 为首的 IDaaS 平台 (Identity as a Service，身份即服务) 借着零信任这股东风，乘势而起。

2009 年在旧金山，云安全厂商 Okta 成立，创始人 Todd McKinnon 和 Freddy Kerrest 选择的时机很“巧”。当时，互联网厂商正在 PC 端激烈搏杀，而云计算势头刚起，Okta 从 B 端角度切入，为这些正在厮杀的互联网厂商“保驾护航”。成为“止痛药”的 Okta，就这样在市场占据了一席之位。

Okta 的本意是气象学术语，指通过云层覆盖度来预测天气的测量单位，这个名字也喻示了这家公司的使命。

此前，创始人 Todd McKinnon 在 Salesforce 做工程部 VP，将团队从 15 人带到 250 人，订单从 200 万笔做到 1.5 亿笔。目睹了 Salesforce 的成功崛起，McKinnon 预感类似的应用一定会接二连三出现，而企业如何应对云安全挑战并管理身份，成为了当时的新问题。意识到这点后，McKinnon 决定创立一家公司，解决身份管理与安全问题。

1. 产品及解决方案

Okta 有两大解决方案：员工身份管理与客户身份管理。其中，有些产品仅适用于单一解决方案，有些产品适用于两者。

单点登录、通用目录、高级服务器访问、身份治理和工作流用于员工身份管理场景；认证、用户管理、B2B 集成和 FastPass 无密码登录用于客户身份管理场景；自适应多因素认证 (MFA)、生命周期管理、网管访问和 API 访问管理可应用于员工和客户两个场景。在全部产品中，单点登录和生命周期是企业最常用的功能。

2. 融资历程

自成立以来，Okta 共完成了 9 轮融资，并于 2017 年登陆纳斯达克交易所，在上市前完成两笔 7500 万美元的最大金额融资，由红杉资本和 Andreessen Horowitz 多次领投。

3. 收购

Okta 通过收购相关赛道的公司，扩大自身生态。比如，第一次收购，在 2014 年收购移动安全和 App 访问管理厂商 SpydrSafe，从而补充自身的移动端和 App 端身份认证功能；

2019 年，通过收购工作流程自动化厂商 Azuqua，提升自身的生命周期管理功能，并推出 DynamicScale、高级服务器访问、网关访问多个产品；

2020 年，Okta 斥资 65 亿美元收购 Auth0，推出 Workflow 工作流和 FastPass 无密码产品。

除了收购，Okta 还有更多扩大生态战略的方式，比如集成生态和伙伴生态，将在下一部分着重分析。

Partner with anyone

“学校里最受欢迎的人”

Okta 就像学校里最受欢迎的同学，它可以与任何公司集成、合作。

在探讨 Okta 生态之前，我们首先要清楚国外同赛道的竞争者，正所谓“知己知彼”。通过分析不同玩家的产品功能、使用情况、安装情况、应用场景、服务客户和定价等多种维度，剖析并理解 Okta 的生态战略。

1. 同赛道厂商对比

Gartner 身份管理魔力象限

根据 Gartner 于 2021 年 10 月更新的最新身份管理魔力象限，在 IAM (身份与访问管理) 赛道，Okta 处于领导者角色，微软、Ping Identity、Auth0 (2021 年被 Okta 收购)、OneLogin、ForgeRock 和 IBM 等厂商紧随其后。

以下从产品功能、访问与部署情况、服务客户、定价方案四种维度，分析云安全四大头部厂商 Okta、Azure AD (微软云 AD)、Ping Identity、IBM Security 的差异。

1）产品功能对比

Okta v.s. Azure AD v.s. Ping Identity v.s. IBM 产品功能对比，图源：saasworthy

从头部玩家的产品功能来分析，Okta、Azure AD (微软云提供)、Ping Identity、IBM Security Verify Access 四大厂商的功能相差无几。只有微软 Azure AD 没有账号管理功能；IBM 没有 API 访问管理。

除此之外，这四家厂商都提供 API 访问管理、访问申请管理、账号管理、合规管理、多因认证、密码管理、无密码登录、角色管理、单点登录、社交登录和用户活动监控。当然，即使各家厂商拥有功能相似，但用户体验可能相差甚远。

2）访问与部署情况

Okta v.s. Azure AD v.s. Ping Identity v.s. IBM 访问与部署情况对比，图源：saasworthy

对于 SaaS 厂商来说，除了自身提供的产品功能，更重要的是在使用方面更细微的差别。虽然这四家厂商的产品功能相似，但在访问监控和部署情况方面却有很大差异。比如对于访问监控，只有 Okta 提供全天候电话客服；而且仅 Okta 和 Azure AD 允许工作时间的访问监控。

在部署方面，这几大厂商的差异更大。四大厂商都提供 SaaS、网页版、云端部署。除此之外，Azure AD 不提供所有系统的移动端部署，安装版也仅支持 Windows 系统，这就将许多客户拦在了门外。

实际上，Ping Identity 和 IBM 允许的部署方式也同样十分有限。其中，Ping Identity 仅提供移动端安卓系统的部署；而 IBM 除 SaaS、网页版和云端外，不支持任何移动端和安装版部署。

这样对比起来，Okta 的部署方式就十分广泛。Okta 支持安卓系统和 iOS 系统的移动端部署，以及 Windows 和 Mac 系统的安装版部署。

3）服务客户差异

Okta v.s. Azure AD v.s. Ping Identity v.s. IBM 服务客户对比，图源：saasworthy

从服务客户层面看，Okta 面向的客户范围更广。这四家厂商都仅提供 B2B 业务，不面向个人用户，但除了 Okta 外，其他三家厂商都拒绝向自由职业者提供服务。对于云安全与身份管理厂商，客户也本应该面向所有类型的企业，包括大客户和中小企业。但在 Gartner 身份管理魔力象限位居第二的 Ping Identity，却不向小公司提供服务。

4）定价及方案差异

Okta v.s. Azure AD v.s. Ping Identity v.s. IBM 定价方案对比，图源：saasworthy

最后，分析一下四大厂商在 SaaS 企业最重要的指标——定价模式与定价方案上的差异。在四大厂商中，仅 Okta 提供免费试用模式；仅 Azure AD 提供免费增值模式；仅 IBM 不支持订阅模式。这四家厂商都不支持一次性收费许可和开源模式，但都支持基于报价的定价模式。

Okta 的定价方案有几种不同收费方案：

1）分产品收费。如：单点登录功能收费 2 美元/用户/月；自适应单点登录收费 5 美元/用户/月；多因认证 3 美元/用户/月；自适应多因认证 6 美元/用户/月；通用目录 2 美元/用户/月；生命周期管理 4 美元/用户/月；高级生命周期管理 6 美元/用户/月；API 访问管理 2 美元/用户/月等等；

2）按 APP 收费，每个 APP 每年 14000 美元；

3）针对大企业客户收费，每年 36000 美元。

但除 Okta 之外，其他三家均不按产品分类。综上所述，通过与其他三家头部厂商对比来看，Okta 不仅将产品做到了极致，在定价方案与部署情况上也十分亲民，正如其生态战略“每个人都可以做我们的伙伴”，从服务客户类型来看，Okta 也的确是面向用户，甚至包括自由职业者。

2. 集成生态

没有比 Okta 更适合下一个生态时代的 SaaS 企业了。

据 Okta 官网数据，其全部集成企业数量共 7613 家，在所有应用场景中，单点登录集成最多，以 Salesforce、Google Workspace、Microsoft Office 365、ServiceNow 为首，共 6930 家集成。

其次是生命周期管理功能，共集成 533 家企业，也是 Salesforce、Zendesk 和以上企业为首。而身份认证、机器人或欺诈检测、身份治理与管理 (IGA)、风险信号共享等其他场景集成只有个位数。

接下来，我们将从产品定价方案、产品功能本身、集成企业需求等多种角度来解释以上洞察：

1）单点登录

从上文的 Okta 产品功能列表中可以看出，单点登录应用于员工身份解决方案，用于解决员工重复多次登录，省去繁复的登录步骤和记忆密码的时间，用户登录一次即可访问所有不同程序的工作账号，极大提升了工作效率。

根据 Okta 的单点登录定价方案来看，该方案分为普通单点登录和自适应单点登录，收费分别为 2 美元/用户/月和 5 美元/用户/月，除了后者拥有根据文本的自适应功能，两个方案所享有的其他功能都一样，如两方案都允许 Okta 集成网络、桌面和移动端单点登录、安全问题、FastPass 无密码登录等等，而自适应单点登录会根据地点、设备、网络和基于风险的认证单点登录方式有所区别。

从其功能来看，再结合所集成企业的需求，通常大企业员工会有多重身份，每个身份都有不同账号，因为身份不同权限不同，需要多个账号，这就出现了不同程序之间的衔接与协同，如果员工登录一次即可省去登录全部账号的时间，并且可以在不同程序之间快速协作，还能保证安全。这就不难解释为什么单点登录占据其全部集成生态的 90% 了。

Salesforce、Google Workspace、Microsoft Office 365、ServiceNow UD、Workday、Zendesk 和 Zoom 等众多大客户都选择集成 Okta 的单点登录，不仅如此，大客户的集成还包括其他常见产品，如生命周期管理和通用目录 & HR 同步。

拿 Salesforce 举例，Salesforce 与 Okta 集成能让用户通过 Okta 单点登录链接和自适应多因素验证，即可在组织内部快速且安全地部署 Salesforce。类似这样的共赢战略，在很多大企业都十分常见。

再比如 Microsoft Office 365，其集成的产品包括单点登录和生命周期管理。

通过与 Okta 集成，Microsoft Office 365 的客户也可以使用 Okta 实现完整的云安全。这十分符合 Okta 的生态策略，Okta 的科技合作伙伴 VP 表示，“在构建生态时，我们会考虑，集成的企业是否会为我们带来客户。”

计算一下，一共有 7613 家在 Okta 上集成，Okta 有 500 亿名用户，那么，是否也可以理解为，Okta 每集成一家企业，就会为自己带来 600 万用户，也就是说，任何集成企业的客户最后也会是 Okta 的客户。

2）生命周期管理

从产品功能上，生命周期管理可用于员工和客户身份管理双重解决方案，自动执行从账号创建到删除的访问。在员工入职和离职时，IT 团队无需手动创建或删除账号；员工也无需在工作时，浪费时间等待 APP 访问。在客户层面，合作伙伴、承包商、供应商和客户也需要对资源和应用进行不同级别的访问权限。

根据 Okta 的生命周期管理定价方案来看，其定价分为针对员工和对客户两种不同的定价模式。针对员工的定价是 4 美元/用户/月，针对客户是每个 APP 14000 美元/年，对大企业则是 36000 美元/年。简单说一下两种定价模式的区别，客户解决方案包含很多员工解决方案不包含的功能，如应用和目录集成、身份生命周期管理、IT 授权、通用目录和高级溯源等员工解决方案不需要的功能。

以客服平台 Zendesk 为例，Okta 与 Zendesk 的集成旨在，Zendesk 为员工和客户提供 Okta 支持的密码重置、账号解锁、重置多因素认证注册、清除现存用户组、账号停用和账号冻结。再比如 Google Workspace，当谷歌套件 G Suite 集成在 Okta 时，通过连接谷歌云通用目录与 Okta，用户可以通过自己的 Google 身份在 Okta 集成网络上访问 6000 多个 APP。此外，该集成还允许 G Suite 自动执行工作流程的载入和访问申请，当用户离职后，再自动取消工作流并解除 G Suite 许可。

单点登录和生命周期管理之所以是企业集成最多的两个应用，是因为两者是数字化企业的基础需求，尤其是大企业，越大的组织需求也越大。比如说，大企业的员工拥有多种身份，在不同程序上身份不同，这就意味着权限不同，对于不同权限的集中管理就成为了一大需求，要保证既能提高企业办公效率，又保证企业云安全问题，这也不难解释为什么有多数大企业都会选择集成 Okta。

3）身份管理与治理

然而，Okta 的有些产品集成较少，如身份认证 (Identity Proofing)、机器人或欺诈检测、IGA、风险信号共享。以身份治理与管理 (IGA) 为代表，它是 Okta 集成生态中几乎最少使用的产品，在 7613 家集成企业中，只有 4 家企业选择使用 Okta 的 IGA 产品。

IGA 用于解决员工身份管理，帮助大型组织内部实现自助身份管理，包括生命周期管理、访问管理和工作流功能。从产品年限来看，2021 年 4 月，Okta 推出身份治理与管理(Identity Governance and Administration)，9 月收购工作运营平台 atSpoke 增强 Okta 的 IGA 产品功能。所以，IGA 的年限本身也才 1 岁。

从定价方案来看，Okta 的 IGA 产品共有三种定价模式，分别为轻量级、中量级和无限量，轻量级收费 9 美元/用户/月，每月处理工作流限制 50 条；中量级收费 10 美元/用户/月，每月工作流限制 150 条；无限量版收费 11 美元/用户/月， 每月处理工作流数量不限制。这三种定价模式除了限制工作流数量，功能上均对三种平等开放，包括访问管理和生命周期管理。

虽然从价位上讲，IGA 的产品收费远高于它的其他产品，但功能上却涵盖了大型组织需要的多种功能。而且，Okta 新推出的轻量级 IGA 更适合大企业和金融组织，对大企业而言，组织内部的身份管理非常容易出错，对 IGA 的需要也就更棘手。但综合来看，IGA 产品仍然集成很少的原因是可能是其产品年限太短，和自身生态战略的问题。

总之，之所以有些功能和场景集成较少，原因一方面，是其本身需求较少，而且部分功能在其他常用产品的定价方案中都有些许涉猎，单独集成一个小产品性价比不高；另一方面是产品本身的问题，比如年限短、尚未成熟等。

3. 伙伴生态

Okta 构建伙伴生态的思路是合作，不竞争。以其近两年推出的「零信任合作伙伴战略 Spectra Alliance」为例，该战略由 crowdstrike、netskope、okta 和 proofpoint 联合支持，为企业提供从基础设施到软件设备全部的解决方案。任何上云企业都可以加入，保证云安全，且在该项目中的四家云安全厂商毫无竞争关系。

Okta 的 Spectra Alliance 伙伴生态计划

伙伴生态是 Okta 的重要增长驱动因素，技术、解决方案、经销商等都可以成为 Okta 的伙伴。据 Okta 官网资料，其伙伴生态可以接纳经销商、全球系统集成商、技术伙伴、解决方案提供商、管理服务提供商，共有 201 家企业，从 2C 端到 2B 端，如 Apple、Salesforce、Slack、Zoom、Deloitte、AWS 等。

1）经销商

经销商是 Okta 进入市场的关键环节。因为经销商拥有对身份管理和安全解决方案的深度洞察，他们对客户需求理解更深。比如，经销商可以通过培训、销售支持及从报价到订单的管理，为 Okta 提供更专业的实践经验。对于这样一个关键伙伴，Okta 共与 14 家经销商达成合作，数量上并不算少，足以为 Okta 带来无数客户。

以 Okta+Octane 为例：与经销商 Octane 形成合作伙伴，Okta 得以与 Adobe、国家地理和 DocuSign 等厂商达成交易。比如，Adobe 使用 Okta 的单点登录产品进入微软 Office 365 平台上的 300 家企业级应用程序；国家地理和 DocuSign 使用 Okta 提升其 ROI，提高企业效率。

2）全球系统集成商

将全球系统集成商视为 Okta 伙伴生态的原因是，大规模地实现复杂的访问管理解决方案。当这些系统集成商加入其伙伴生态后，Okta 将为他们提供支持和培训，帮助集成商客户提供服务；此外，集成商的所有客户都可以使用 Okta 的行业解决方案。

在 Okta 的伙伴生态中，一共有 5 家全球系统集成商，包括埃森哲、德勤、IBM Security、毕马威和普华永道。其中，埃森哲与德勤既属于全球系统集成商，又属于 Okta 伙伴生态中的管理服务提供商。而这五家全球系统集成商几乎汇聚了所有云端厂商资源。

以 Okta+毕马威为例：通过与 Okta 成为伙伴，毕马威能够为企业和客户提供身份与访问管理解决方案，实现安全的客户体验。同时，企业员工和毕马威客户也会使用 Okta 身份云访问云应用，其使用的功能包括单点登录和多因素验证等。

3）解决方案提供商

解决方案提供商由于其庞大的基数，在 Okta 伙伴生态中共有 118 家企业，占比近 60%。

他们不仅能帮助卖 Okta，还能让各大组织使用技术。因为首先，解决方案提供商是 Okta 的最佳顾问和背书，能极大提高 Okta 的续约率；其次，解决方案提供商为 Okta 引进的每条线索，都会有额外奖励。因此，折扣、额外奖励，加上客户成功，对加入 Okta 伙伴生态的解决方案提供商来说，极具吸引力。

以 Okta+INNOVATE IT 为例，后者也是云安全厂商，在它的官网上可以看到 Okta 的解决方案，此外，还可以通过 INNOVATE IT 提供的第三方链接进入 Okta 网站，并提供 30 天的免费试用。

4）技术伙伴

技术伙伴也是其产品实现差异化的关键所在。SaaS 企业通过加入 Okta 伙伴生态，成为技术伙伴，有了云安全的保障，能实现自身的产品差异化。反过来，企业也会集成和内嵌 Okta 产品，并提高其续约率。

在 43 家技术伙伴中，以 AWS、Salesforce、Google、Zoom、OneTrust、ServiceNow、ProofPoint、zscaler 等多家头部企业加入，包括软件、云平台、API 管理、网络和安全厂商。

以 Okta+AWS 为例，利用 Okta 的单点登录与生命周期管理等产品功能，AWS 可以实现管理内部员工和客户身份，从员工入职进入 HR 系统，再到进入 Okta 通用目录，最后登录 AWS 账号，帮助完成全生命周期管理。

Okta 的整体生态结构包括集成生态和伙伴生态两大部分，其中伙伴生态的技术伙伴也是 Okta 的集成生态范畴。伙伴生态是 Okta 面向市场的最关键一步，对 Okta 而言，做大生态，意味着为客户提供更多价值。

谁能挑战下一代生态卷王 Okta？

据 SaaStr 统计，全球集成最多的 SaaS 企业中，Okta 位居榜首，共 7000+，Shopify、Atlassian 和 Salesforce 紧随其后。

为什么 Okta 能把生态做得足够大，正如可口可乐的营销策略，他们的目标是每一个人，所有 SaaS 企业都是他们的目标客户。在线上化时代，身份是所有数字化产品的基础，每家公司都要线上化，都需要登录和身份认证，因此 Okta 也自然地将目标瞄准所有企业。

虽然 Okta 生态对所有企业开放，但加入其中也是有条件的，与其说条件，不如说是 Okta 为其生态设立的原则，也是其北极星指标。所有 Okta 集成企业和合作方都必须考虑一个问题，“我要如何为客户带来价值”，通过这个问题，企业会延伸思考“集成是什么样子？如何走向市场？”。

Okta 科技伙伴关系 VP Maureen Little 在采访中提到 Okta 对于选择 SaaS 伙伴的三个考量：

这些都是在构建生态时需要考虑的重要问题，伙伴生态就好像骑在彩虹上的独角兽，每个合作方对 Okta 来说都是新鲜血液。

反观国内 IDaaS 市场，先分析云安全这一领域在国内的市场需求。由于国内的上云和 SaaS 企业发展都较美国晚十年，因此自然大家对云安全的重视度还不够。在市场需求本身不多的基础上，再加上国内 SaaS 交付困难，定制化严重等因素，国内 IDaaS 预计几年内可能还无法出现像 Okta 一样的生态卷王。

点击“阅读原文”预约线上直播