长期以来,在商业软件购买者中,“企业”就是“昂贵”的代名词,这是一个公开的秘密。这就是为什么预算紧张的公司倾向于避开自我描述的企业软件——更不用说他们对为拥有数千名员工的大型公司设计的功能目录毫无用处。但想象一下,当他们发现自己被迫接受天价企业定价时的惊讶吧,因为他们需要一个特性。
这个特性就是单点登录(SSO)。这种能力通常由身份管理系统,例如Azure活动目录,Okta,或OneLogin.安装完成后,用户只需登录一次网络,然后由SSO系统接管,通过基于加密令牌的方法授予他们对应用程序的访问权。它比传统的基于密码的登录更安全,使其成为各种规模公司的必备安全措施。
然而,尽管目前大多数业务应用程序和服务都支持SSO,但有一个问题。不幸的是,供应商几乎总是只在他们最昂贵的企业定价层开启SSO支持,这对中小型企业来说不可避免地是一个残酷的觉醒,特别是当他们意识到SSO是一个不可或缺的功能时。这种掠夺性的销售策略必须结束。
为什么SSO如此重要?
SSO被认为是IT最佳实践的原因有几个。首先,SSO减轻了员工为多个系统提供强密码的负担。员工需要记住的登录信息越多,他们就越有可能使用弱密码,重复使用多个账户的密码,或者以不安全的方式存储密码。(密码管理也能帮上忙,但前提是正确使用.即便如此,它们仍然不如SSO安全。)
更重要的是,SSO有助于减少所谓的网络“攻击面”。每个需要唯一登录的应用程序都是攻击者获取业务数据的另一个机会。但是使用SSO,就好像在数据周围建造了一堵只有一个前门的墙。没有SSO系统的批准,任何人都不能访问应用程序。这是一次重大的安全升级,尤其是与多因素身份验证.
PCMag的顶级身份管理单点登录选择
看全部(4项)SSO也使IT操作更容易。如果员工有SSO帐户,授权访问新应用程序就像将应用程序连接到该帐户一样简单。但最显著的好处出现在员工离开公司的时候。如果没有SSO, IT人员将需要手动关闭他们的每个帐户,从而为错误留下了空间。但有了SSO,只要按一下按钮,整个系统就会熄灯。
SSO的这些和其他安全好处是如此显著,以至于即使是小型企业(及其资助者)也开始强制将SSO身份验证作为IT策略的一部分。然而,一旦该政策到位,SSO的价格冲击就会像吸盘一样袭来。
单点登录需要多少钱?
这并不是说SSO支持不值得花钱。考虑到其价值,10%的SSO附加费似乎是合理的。不幸的是,这不是我们谈论的价格上涨类型。
根据SSO耻辱之墙(在新窗口打开)在一个由安全专家Rob Chahin维护的网站上,供应商的基本价格与您为获得SSO支持所支付的价格之间的差异通常是两倍或更多。在Chahin抽样的53家供应商中,价格上涨的中位数为108%,但一些供应商的价格上涨了300%,500%,甚至更多。在一种情况下,涨幅高达6300%。其他供应商根本拒绝列出他们的企业定价,而是强迫客户协商他们自己的价格。
10%的SSO附加费似乎是合理的。不幸的是,这不是我们所说的那种增长。
这种策略会深刻地影响IT预算,特别是对于中小型企业(SMBs),甚至会阻碍业务敏捷性和增长。那么它们如何被证明是正当的呢?
他们的借口是什么?
我们只能推测业务软件供应商将SSO支持归类为企业专用特性的原因。他们很少提供任何服务。也许这是因为似乎没有任何合理的答案。
例如,在应用程序中构建SSO支持既不昂贵也不特别困难。该技术基于开放标准协议,包括SAML和OIDC。这些协议有很好的文档和理解,甚至有很多自由软件项目实现了它们。
有人可能会说,像SSO这样的安全特性需要仔细的代码审查和审计,这会增加开发成本。但是现在几乎任何商业代码库都需要这样的审计,特别是如果供应商希望将其软件销售到高度监管的行业,如医疗保健和金融。
企业定价不应该成为供应商打压那些想要SSO等基本安全特性的公司的主要手段。
一旦应用程序连接到SSO系统,它也不需要太多的持续维护。SSO集成不会增加应用程序供应商必须提供的任何可衡量的支持调用数量。
简而言之,支持SSO本身不会产生软件供应商必须从客户那里收回的额外或不寻常的成本。因此,很难不得出这样的结论:将SSO这样的关键安全特性与企业定价捆绑在一起几乎是一种敲诈行为——就像“您在我们的应用程序中存储的是一些非常不错的业务数据。如果它出了什么事就太可惜了。”
这个行业必须做得更好
商业软件供应商将功能与特定的定价等级捆绑在一起,这本身并没有什么错。大多数公司都愿意为所需的功能和服务水平支付额外的费用。当它意味着支持成千上万的用户,或保证近乎完美的正常运行时间,或服务于多个地理区域时,甚至有理由为顶级企业定价。
但是企业定价不应该成为锤子供应商打击那些想要SSO这样的基本安全特性的公司。来自行业和政府的专家一致认为,威胁像恶意软件数据泄露,身份盗窃等等ransomware都在上升。科技行业最不需要的就是提高数据安全的壁垒,尤其是如果只是为了万能的金钱。
为了整个互联网的利益,应用程序供应商应该将诸如SSO这样的关键安全特性从其定价计划中分离出来,并以合理的价格更广泛地提供给各种规模的客户。如果他们这样做了,实际上是双赢的。这不仅会增加客户对他们软件的信任和信心,而且也是正确的做法。