Okta 成立于 2009 年,创始人为云计算先驱 Salesforce 的两位早期高管。Okta 的软件本质上是一种“云连接器”,能将一家公司及其员工使用的大量软件应用整合在一起。Okta 的软件能让客户的员工很方便地使用单一、安全的账号,登录他们工作中需要使用的各种网络服务,或者供承包商、合作伙伴和客户所使用的网络服务。Okta 的主要卖点之一是安全性,企业利用其软件可以让员工和其他人远程访问企业信息,而不会导致企业的敏感信息泄露。当一名员工离职后,企业也可以利用 Okta 的软件,快速取消该员工访问此前其所使用过的网络服务的权力。
https://www.okta.com
百度百科
应用账号管理那些事
除了一些官方宣传网站可以直接访问而无需登录外,日常人们能接触到的各类 APP、应用系统无不需要通过账号+密码的认证方式登录之后方可正常使用。围绕这一小小的账号,就有无比丰富而热闹的商业生态。其中不乏像 Okta 这样的百亿美金市值巨头,也有还未上市但估值几十亿美金的细分市场追随者,比如 1Password 和 Lastpass。
这里提到几家都是国外的账号服务类企业,国内也有不少,以竹云、派拉、Authing 等为代表,都还在追赶国外同行的路上。虽然大家都算是在账号这一大的赛道里,各自面临的商业环境,针对的客户人群,解决的痛点都还有差异,最终是否能殊途同归,取决于各自商业化的进程和市场突进效率,现在还无法给出确切的判断。
| 企业名称 | 海内外 | 客群 | 定位 | 通俗解释 |
|---|---|---|---|---|
| Okta | 海外 | 企业 | IAM | 企业账号权限管理,无密登录 |
| 1Password | 海外 | 个人为主 | Password Manager | 个人账号密码管理,有密登录 |
| 竹云 | 国内 | 企业 | IAM | 企业账号权限管理,无密登录 |
| 派拉 | 国内 | 企业 | IAM | 企业账号权限管理,无密登录 |
| Authing | 国内 | 企业 | IAM | 企业账号权限管理,无密登录 |
账号服务的定位差异
从上面的表里很难看出不同账号管理类产品之间的差异,都定位是企业服务,都叫 IAM,但现实是各自的真实落脚点差异巨大。要理解账号管理类服务的差异,得先回到账号附属于的应用本身,才能窥见实质。依照应用本身账号的实现方式,和应用开发者的角色两个维度进行区分,我们分成下面这三类。
第三方的含义
专业的应用开发商,开发了一款应用,卖给其它企业使用。如阿里巴巴作为第三方,开发了钉钉这样的产品,卖给其它企业使用。市面上常见的各种 CRM、ERP、在线文档、IM 等都是面向 B 端的应用,站在 B 端企业的角度来讲,这些都是第三方应用。
自研应用
企业自己投入研发资源开发出来,或者采购第三方应用来本地化部署在企业内部,给自己内部团队使用的系统,比如常见的内部运维系统等等。
标准应用
应用账号认证是个很常见的操作,几乎所有应用都需要实现这个功能,因此行业内有专门为账号认证制定标准的一些协议,只要应用本身按照标准的协议来实现自身的账号认证的功能,这样的应用这里就叫做标准应用。常见的张账号认证协议有 LDAP、CAS、OIDC(基于 Oauth2.0)、SAML,以及 Kerberos。有一点易于判断某个应用是否支持了标准账号认证协议的表现,就是看其是否支持了主流的一些大账号认证,如国外的Google,Microsoft,Apple账号,国内的钉钉、企业微信账号。
非标应用
相对于标准应用,那些不支持标准账号认证协议的就是非标应用,通常只支持自己创建的账号密码认证。
国外的 IAM 很幸福,国内的很苦逼
各个账号服务类产品,落地的市场的情况,参考下图(非技术视角,而是大致的市场现状)。OKTA 在海外市场,占据了第三方标准应用和企业自研应用的接入场景,撑起了100亿美金的市值。
国内的各家 IAM 服务,基本蜷缩在企业内部应用场景,这里大家肯定要质疑了,技术都差不多,凭什么国内的 IAM 反而没有占据第三方标准应用的账号接入市场呢?
这就要说到国外(欧美代表)与中国的实际市场环境差异了,欧美市场的各类应用服务,账号标准化程度很高,普及率大,就如同上面的 Evernote,基本都支持 Google、Microsoft、Apple几大账号,通过 OKTA 进行集成的时候,只需要在后台简单配置即可,真正做到了零代码开发完成账号对接和集成。反观国内的各大应用,自身应用账号认证的实现,几乎都不参考标准协议,自研一套做法,导致无法被第三方集成。这就导致了国内的 IAM 产品,即使技术方案是具备的,但并无第三方应用可接,只能缩回到企业内部,帮助企业去改造内部系统,以 SDK 的形式进行改造系统。
极具中国特色的钉钉、企微账号
我们先尝试站在欧美企业用户的视角感受一下应用生态的体验,假设我是一个普通的企业员工,我同时使用了Office365、Dropbox、Slack、Salesforce,所有应用里都集成和使用了 Office 在线文档的能力,我的体验是一个 Office365 的账号走天下,只需登录一次就可以在所有应用里方便的免密授权享受在线文档的功能,我能在 Office365 的办公空间里直接编辑和查看 Dropbox 的文件,可以在 Dropbox 的应用里直接启用 Office,账号都是通的,数据都是共享的。这就是统一认证和授权的一大好处。
有人要问了,咱们国内的各大应用不是也都支持了钉钉,企微的账号登录吗,就比如纷享销客:
使用过的企业应该特别清楚,国外的一个企业服务相对纯粹,比如网盘内的 Dropbox,不管在哪个应用里打开,都是这个 Dropbox。但是国内的企业面对的是SaaS版本纷享销客、钉钉版本纷享销客、企微版本纷享销客,未来可能还有更多版本的纷享销客。
这三者之间可以说是完全不同的服务,账号与数据均不打通。这当然不是纷享销客的锅,其实他也是受害者而已。阿里,腾讯以及未来别的大平台,以自身大流量为资本,大有挟天子以令诸侯的味道,要求各个服务商在自己的生态里闭环数据和服务。表面上看起来应用都支持了这些标准账号,实质只是来区分不同版本服务而已,通用的 IAM 产品根本不能如同国外 OKTA 一般轻易完成应用的账号集成支持。
1Password 账号管理工具
上面图中看似 1Password 的实用性更强,所有场景都用得上,怎么还比不上 Okta 的市值和影响力呢。这其实还是产品定位问题,1Password 只是帮人记住密码,登录的时候自动填写(代填)或者由用户自己把密码拷贝出来再去登录应用。本质上解决的是个人多应用账密管理的效率和密码安全,主要面对的还是 C 端个人用户,收费也较企业客户低得多。Okta 作为 IAM 产品,除了账号认证和管理外,还提供了其它很多应用级的功能,比如功能权限,应用分析,应用安全等,面向的也是付费能力更大的企业。
第三方非标应用账号安全管理
目前国内企业大量使用了第三方非标的应用,账号的无密管理存在很大的需求,但是基本没有很好的方案去解决,直到数影星球方案的出现才很好的弥补了这块的空白。有兴趣的朋友们可以直接去注册免费体验。
到底是什么内核因素,导致了国内垄断企业的封闭式行为
面对美国施加给中国的经济制裁、科技封锁,国内民众自信这只是短期困难,美国的断依赖操作必然激发国内的创造热情,加速国产化替代的进程,最终受损的反而是美国人自己。这种玩封闭和断供的骚操作,是没有格局,且为所有人鄙夷的。
但反观我们国内领先企业,那些处于事实性行业垄断地位的龙头企业,在布局自身业务和生态的时候,哪一家不是如同美国强权一样,占着垄断的地位,制定着无比封闭的玩法。给关联其中的用户、服务商、行业带来巨大的门槛和成本浪费。
好在国家已经逼着打破了一些封闭垄断的城墙,美团支付也能使用支付宝了(淘宝还不能用微信支付),朋友圈导航也能用高德了,但这些封闭式的行为还仅仅是冰山一角而已。国外能不断创造出 Okta 这样细分领域巨头的前提,是其它先行者的开放,是Google的开放,是微软的开放,是Facebook的开放。只有当整个行业都充分开放,但各自专精创新的时候,整个社会才能收益,才能不断推陈出新,才能有新的东西被创造出来。
历史告诉我们闭关锁国要亡,只有不断创新和突破才可能发展和延续,期待国内的大企业们真正开放心态,停止自我造壳。
声明:本文来自连续创业的Janky,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
