近期,Okta成为万众瞩目的焦点,众多新兴初创企业正逐步蚕食其功能优势。这使得客户开始质疑:是应该全盘采纳Okta平台,还是应该根据自身需求有选择地采用平台中的特定功能?这不禁让人心生疑问:Okta是否正在遭遇分拆危机?

解绑现象(Unbundling)指市场中的现有主导者无法继续全面满足特定客户群体或细分领域的需求。横向平台或许能为多数用户提供"足够好"的解决方案,但无法为某些群体提供最优解。这种解构现象正是新进入者直面挑战市场 incumbent 的潜在竞争路径——其他企业可以通过更精准地服务特定细分领域(无论是特定功能组合还是客群细分)成功实现竞争破局。

典型案例当属Craigslist。当这个分类信息平台仍在提供通用服务时,像Airbnb、Zillow和Thumbtack这样的企业,通过更精准地服务特定用户场景——包括需求发现、服务对接和交易完成的全流程体验——构建了完整的商业体系。这并不意味着传统平台会消失。Craigslist至今依然活跃,但当用户需要寻找度假租赁、购买房屋或雇佣维修人员时,这个通用平台很可能已不再是首选。

在B2B市场中,平台型企业的数量相对较少。与针对特定细分市场不同,解绑现象往往发生在功能模块层面——Expensify从SAP和Oracle手中夺取了费用报销市场,DocuSign从Adobe分走了电子签名业务,Greenhouse则从Workday切走了招聘管理模块。这种竞争策略的核心在于:通过聚焦单一功能打造更优的垂直解决方案,形成切入市场的"楔子"(wedge),最终可能发展成为新的平台型玩家。

本文将深入剖析Okta是否正在遭遇解绑危机——或许这个命题本身就需要重新审视。我们将看到,Okta与其说是一个统一平台,不如说是在多个关联市场中参与竞争的产品集合体。它面临的并非简单的解构风险,而是来自全方位的挤压压力:正如三明治般被上下夹击,这种"挤压效应"正在重塑竞争格局。

平台为何易遭遇解绑危机?

在深入分析Okta之前,我们需先理解平台易被解构的根本机制。

当产品或平台持续扩张时,其会试图覆盖多个细分市场的需求。但一个产品若要成为单一细分领域的最佳解决方案已需竭尽全力——随着产品功能泛化,往往难以在任一细分市场做到极致,更遑论全面卓越。当特定用户群体对现有解决方案产生不满时,该细分市场便出现服务缺口,这为竞争者提供了切入的契机。但需注意:平台存在被解构的可能性,并不代表该细分市场必然具备可持续的商业价值。

判断平台是否易受解绑影响,需考量三项标准。

根据《Pinterest解构案例》总结的三大解绑条件:

1. 高客户终身价值(LTV):目标客群需具备长期创造显著收益的潜力,使垂直解决方案能获得足够投资回报。

2. 有限/负向跨用户网络效应:理想客户画像(ICP)与平台其他用户群体之间应存在需求冲突——要么无法从现有交互中获益,甚至可能因跨群体交互而受损。

3. 差异化交互模式:目标用户渴望截然不同的交互体验,且新方式能带来显著优于原平台的体验提升。

请牢记这三项准则——我们后续将用其对标Okta的现状进行深度评估。

为什么是Okta?

探讨Okta是否面临解绑危机实则存在某种悖论——因其本质上已是多产品线的集合体。

Okta主要深耕两大市场:职场身份管理(Okta平台)与客户身份管理(Auth0平台)。其职场身份产品体系包含四大核心模块:

1. 核心身份与访问管理

  • 用户目录:统一管理用户与组权限体系

  • 身份提供商:处理认证流程并签发安全令牌

  • 单点登录(SSO):实现跨系统一键登录

  • 多因素认证(MFA):强化密码之外的安全层级

涵盖产品:SSO、MFA、通用目录(Universal Directory)、设备访问(Device Access)

2. 身份治理与管理(IGA)

  • 生命周期管理:自动化用户入职/离职的权限分配与回收

  • 访问审计与合规认证:满足监管要求的权限审查流程

  • 工作流自动化:支持复杂定制化流程扩展

涵盖产品:生命周期管理(Lifecycle Management)、身份治理(Identity Governance)、工作流(Workflows)

3. 特权访问管理(PAM)

  • 特权凭证管理:控制高权限账户凭据

  • SSH密钥管理:保障服务器访问安全

  • 代理服务:管理SaaS应用与API的访问通道

涵盖产品:特权访问(Privileged Access)、高级服务器访问(Advanced Server Access)、访问网关(Access Gateway)、API访问管理(API Access Management)

4. 身份威胁检测与响应(ITDR)

  • 异常行为监测:识别非常规登录/跨地域访问等风险

  • 凭证泄露发现:监控暗网数据泄露情况

  • 权限配置审计:检测过度授权或错误配置

涵盖产品:身份威胁防护(Identity Threat Protection)、身份安全态势管理(Identity Security Posture Management)

在客户身份管理领域,Okta采取双产品线战略:既提供Okta客户身份云,也保留独立运营的Auth0平台。Auth0专注于为开发者提供应用内身份验证解决方案,其核心能力包括:

身份验证层

  • 多模式登录:支持密码验证、SAML协议单点登录、社交账号联合登录

  • 安全增强:多因素认证(MFA)、无密码验证(含魔法链接技术)

  • 风险防控:基础级机器人攻击防护与滥用行为检测

授权管理层

  • 精细化权限控制:支持基于角色(RBAC)与关系网络(ReBAC)的访问策略定义

  • 动态权限模型:可实现实时权限调整与关系链级访问控制

值得注意的是,Okta还潜藏着一个完全跨界的产品:Okta Personal密码管理器——这实际上已涉足个人消费级市场,与核心B2B业务形成战略协同。

(注:本系列后续分析将聚焦职场身份管理领域,Auth0客户身份产品线及Okta Personal暂不纳入讨论范围)

Okta的定价策略表明其采用产品捆绑销售模式

直至近期,Okta的定价策略仍明显暴露其"拼凑式"产品架构。尽管构建了统一身份平台,但其点菜式定价(à la carte pricing)却将每个功能都设为独立计费项:是否需要MFA?需额外付费。生命周期管理?再加购模块。

[截至2025年3月,Okta定价表包含12项独立点菜式项目,部分存在多重价格梯度。为提升可读性采用双栏布局展示]

这种定价机制引发多重问题:其一,采购者难以清晰理解实际需求;其二,用户根本没有真正的选择权——难道能拒绝购买单点登录(SSO)或通用目录(Universal Directory)吗?其三(也是对Okta最致命的),这使竞争者更容易实施精准打击:既然单独购买Okta功能没有价格优势,为何不选择替代方案?

对于一个本应推销平台价值的企业,这种策略反而助长了垂直解决方案的竞争。每一个被解绑的功能模块,都成为初创企业以单一功能切入市场的机会。

请允许我暂代Okta营销团队完成他们早该做的事:按技术范畴重新归类产品功能(尽管仍需强调:这绝非理想的定价方式)。

[Okta的点菜式项目可重组为IAM/IGA/PAM/ITDR四大技术板块。除核心IAM套件比微软Entra ID更早占领市场外,Okta在所有次级领域均非市场领导者或先行者(ITDR仍是新兴市场,但Silverfort已是垂直解决方案的领跑者)]

Okta于2025年3月更新了定价策略—— presumably是某位市场拓展负责人意识到此前策略的失误。新版定价层级显著优化:更精准地契合不同成熟度客户的需求,同时保留点菜式选项以供销售团队灵活成交(值得一提的是,产品概述页如今对功能分类的呈现也更为清晰)。

[截至本文发布的2025年9月,Okta已采用捆绑式定价结构。新定价体系更贴合客户成熟度演进路径]

捆绑式定价为购买多重功能的客户创造了价值,尤其是那些本应被纳入IAM基础套件的必备功能。现在您无需再为单点登录(SSO)支付2美元、多因素认证(MFA)支付3美元、通用目录(Universal Directory)支付2美元,以及为生命周期管理或工作流模块支付4美元——按标价累计高达11美元,只需以6美元的价格即可在入门套餐中获取全部功能。

Okta 是由收购整合而成的平台

Okta如何陷入这种点菜式定价的混乱局面?答案在于收购策略。本质上,Okta就像一群躲在风衣下假扮统一平台的初创企业集合体。

自2009年成立以来,Okta至少进行了10起收购,主要通过这些收购进入新市场:

  • SpydrSafe移动安全(2011年成立,2014年被以320万美元收购),发展为Okta Mobile,即为企业应用提供单点登录(SSO)的iOS/Android移动应用(区别于Okta Verify,非移动设备管理MDM)

  • Stormpath(2011年成立,2017年收购),取代Okta初代客户身份产品,成为Okta Customer Identity,现与后期收购的Auth0形成内部竞争

  • ScaleFT(2015年成立,2018年收购),转型为Okta高级服务器访问(Advanced Server Access)

  • Azuqua(2019年以5250万美元收购),其无代码工作流技术整合至Okta生命周期管理功能,后成为Okta Workflows核心

  • Auth0(2013年成立,2021年以65亿美元收购),保持独立运营,作为客户身份管理平台与Okta并存

  • atSpoke(2016年成立,2021年以9000万美元收购),其对话式IT服务台技术发展为Okta访问治理(Access Governance),用于管理权限请求

  • Arengu(2018年成立,2023年收购),被整合用于构建Okta Workflows

  • Uno(2021年成立,2023年收购),成为Okta Personal密码管理器的核心

  • Spera Security(2022年成立,2023年以1-1.3亿美元收购),发展为Okta身份威胁防护(Identity Threat Protection)

  • Axiom Security(2021年成立,上周以1亿美元收购),计划整合至Okta特权访问(Privileged Access)模块

[Okta 历年收购历程。过去几年间,Okta 进行了多次收购,尤其致力于扩展其身份治理与信任(IGA)及 IT 数据管理(ITDR)产品线。若想被 Okta 收购,不妨考虑选用以 A 或 S 开头的公司名称。]

Okta收购策略的显著特征在于:其始终未能突破初始的核心IAM市场实现自主创新。为拓展至IGA(身份治理与管理)、PAM(特权访问管理)、ITDR(身份威胁检测与响应)及客户身份管理领域,Okta不得不重度依赖收购。这要么表明其创新速度不足,要么揭示其缺乏内部构建这些能力的基因——即便这些并非高速迭代的市场:SailPoint自2005年就已深耕(基于Active Directory的)身份治理领域,而Okta直到2021年才进入该赛道。这充分暴露了Okta在舒适区外创新能力的匮乏。

[Okta收购项目与其点菜式定价的映射关系。其IGA与ITDR能力几乎完全通过收购获得]

这种问题同样体现在客户体验中:我曾听到用户拒绝购买Okta套件的理由(除近期已修正的定价策略外),是其收购的产品感觉像是"拼装部件"而非有机整合。当客户能轻易将你的IGA解决方案替换为竞品——因为它本就不像平台的原生组成部分时,你便丧失了平台化最核心的价值主张。

通过收购狂潮,Okta意外构建了一套零散的垂直解决方案集合,而非有机统一的平台。每一次收购和功能添加,都成为竞争对手潜在的解构突破口(或机遇!)。更关键的是,Okta似乎缺乏在核心产品外进行创新,并在新赛道对抗新兴玩家的能力——这恰恰将我们引向核心议题:

Okta 能否按功能解绑?

既然我们已深入理解Okta的产品架构及其演变历程,现在让我们回归解绑危机的核心讨论。

平台解绑通常意味着从特定功能模块切入细分市场——就Okta而言,竞争者可能瞄准其IGA(身份治理与管理)或PAM(特权访问管理)等非核心领域发起攻击。

目前众多初创企业正实践这一策略:在生命周期管理、访问网关等Okta非核心领域展开竞争。

[近十年成立的初创企业与Okta部分功能形成竞争(未列出被收购企业及市场现有巨头)]

最引人注目的是,几乎没有初创企业直接挑战Okta的核心IAM产品,而是集中火力攻击其次级市场:IGA(身份治理与管理)、PAM(特权访问管理)、ITDR(身份威胁检测与响应)以及客户身份管理领域。

但在这些市场中,Okta本身并非 incumbent(市场主导者)。真正的竞争来自巨头阵营:

  • MFA领域:Duo(2018年被思科以23.5亿美元收购)

  • IGA领域:SailPoint(109亿美元市值)

  • PAM领域:CyberArk(2025年被PAN以250亿美元收购)

  • 零信任访问:Zscaler(427亿美元市值)

  • 客户身份管理:Auth0(Okta于2021年以65亿美元收购)与1Password(2022年估值68亿美元)

这些企业不仅规模庞大(对比Okta159亿美元市值),更值得注意的是:它们并未大举入侵Okta的核心IAM领地。而初创企业反而选择避开巨头,将Okta作为靶心。

为何瞄准Okta而非市场领导者?因为巨头通常聚焦高端市场且深度集成微软AD体系——它们服务的是截然不同的客户群体。Okta的平台定位恰恰服务于更愿意接受变革与实验的客户分层,这使其天然成为颠覆性创新的最佳试验场。

Okta真的正在被功能解构吗?并非如此。真相是:Okta作为一个参与多领域竞争的平台,其进入的每个市场本就存在激烈竞争。大多数功能型初创企业注定失败——并非每个细分市场都能支撑独立业务(尤其当目标客群仅限于Okta用户时)。许多企业打造的所谓创新功能,本质上难以成为独立产品(据我所知,至少有5家按需访问初创公司已倒闭,另有2家转型——而幸存者仍不在少数!)。而当真有初创企业成功开辟新功能时,Okta完全可以通过收购(或其竞争对手)来扩展平台, perpetuating(延续)这个循环。

绝大多数解构者最终失败,或被他们原本试图颠覆的企业重新收编。

——解构谬论(The Unbundling Fallacy)

Okta会按市场细分遭遇解构吗?

但解构平台存在双重路径:功能维度竞争与市场维度突围。功能解构旨在剥离特定能力(例如打造比Okta更优秀的MFA解决方案);市场解构则瞄准被平台忽视的客户细分群体。

正如我们所见,功能解构对Okta意义有限:其所有功能面向同一批IT/安全采购决策者,且多数功能依赖核心IAM的集中式身份数据——若无法提供底层数据架构,长期差异化竞争几乎不可能。

真正的竞争来自市场维度:

向下挤压:Rippling等一体化平台正颠覆中小企业的采购逻辑。这个以HR为起点的平台(涵盖薪酬/福利后扩展至IT领域)提供包括SSO、基础身份管理与设备管理的整合方案。对于需要"全而不精"解决方案的中小企业而言,单一供应商远胜于自行拼凑系统——他们只需"足够好"的解决方案。同类玩家还有JumpCloud(IT一体化平台)以及众多模仿Vanta提供"开箱即用SOC 2合规"(含身份与设备管理)的初创企业。

向上压制:微软掌控企业级市场——Microsoft Entra ID自然主导企业身份领域。当企业已深度融入微软生态,根本没有外寻替代方案的必要性。

[Okta正遭受三重挤压:下方受Rippling颠覆,上方遭微软压制,两侧被传统巨头与初创企业夹击]

这使得Okta的生存空间被压缩在中间地带:那些已超越Google Workspace和Rippling适用范围,但尚未接入微软生态的企业——规模大约在100至10,000名员工之间。

在Okta剩余的细分市场中,客户抱怨主要集中在两大痛点:

  • 执行速度:产品路线图项目屡屡延期,迭代速度明显滞后

  • 用户体验:操作界面过于复杂、响应迟缓且设计陈旧——这对IT管理员和终端用户皆是如此

值得注意的是,这些痛点并非单一功能缺陷,反而印证了功能解构策略的局限性。真正的破局机会或许正藏于此:谁能打造出更敏捷、更直观的身份管理体验,谁就可能撬动Okta最后的护城河。

Okta 容易被解绑吗?

让我们回到我们的标准,看看 Okta 的表现如何。

1. 高客户终身价值(LTV):每位客户在长期内应能创造显著的收入潜力。对于 Okta 而言,100 人的组织规模虽属较小,却是其瞄准的入门级客户。按最低价格档位计算,费用为 6 美元/用户/月 × 100 用户 × 12 个月 = 7200 美元/年。这类组织很可能长期使用 Okta,除非规模显著扩大后转用 Microsoft AD。假设使用周期为 10 年,则客户终身价值(LTV)为 7200 美元/年×10 年=72,000 美元。这绝非精确估算:既是 Okta 最小规模客户群体,又基于标价计算。但即便如此,其 LTV 仍远高于 B2C 产品解绑销售时的水平。

2. 与其他用户画像的网络效应有限或负面:理想客户画像(ICP)在现有平台上与其他用户画像互动时,不应从中获益,甚至可能处于不利地位。并非如此。Okta 并非市场平台:使用 Okta 的组织之间不会相互交互。

3. 独特的交互模式:应存在一种显著不同的用户交互方式,目标群体会明显更青睐这种方式而非现有方案。这可能是最具潜力的标准。Okta 现有客户不仅对用户体验感到不满,更重要的是,我们正目睹企业对安全控制理念的根本性转变——行业正逐步摆脱由 IT 部门作为访问决策把关者的传统模式。

我们已在访问权限申请方面见识过这种转变:团队现在可以直接申请权限,无需提交 IT 工单。但人们渴望更进一步。与其让 IT 部门掌控所有企业安全决策,授权管理模式意味着赋予团队自主管理权限的能力——IT 部门提供安全边界而非成为每个决策的瓶颈。这种转变的核心在于,将决策权交还给真正理解业务背景的人员。

随着代理程序的广泛应用,代理体验将成为关键因素。若用户主要通过代理程序与产品交互,那么打造卓越的代理体验比微小的用户体验改进更为重要。

我将补充一个值得考虑的新思路,它虽未包含在原始解绑标准中,但我认为应当纳入考量:全新的分销模式。若传统销售方式已失效,仅此一点就足以颠覆市场格局。多年来,IT 与安全产品的买卖模式已从完全自上而下的销售转变为更具自下而上的特性。产品驱动增长模式在开发工具领域日益普及,对于 Okta 这类采购,产品驱动销售很可能成为市场趋势——让用户先试用再购买。预算紧张的小型团队仍寻求平台解决方案,但他们希望自主测试产品,自主决定何时与销售人员接洽,并能快速将新技术部署到整个组织。

仅凭标准尚难定论,但倾向于肯定:或许能通过在特定市场领域竞争,借助全新 IAM 平台实现 Okta 的横向解绑。目前尚无企业尝试此举,Rippling 或许最为接近。

Okta 正遭受挤压,而非解绑

Okta 目前并未被解绑。那些试图逐项功能与 Okta 竞争的初创企业,无意间将自己困在狭窄的领域:它们选择的细分市场中,Okta 并非最终竞争对手,而是更大规模的既有企业占据主导地位。Okta 凭借平台优势赢得客户,而非在身份治理(IGA)或特权访问管理(PAM)等次级市场追求顶尖地位——这些领域早已被大型企业牢牢掌控,且正持续走向整合。鉴于 Okta 所有功能均面向同一类买家群体,其服务垂直解绑的可能性微乎其微。

横向拓展或许存在机遇,可更好地服务于当前对 Okta 不满意的特定市场细分群体。最渴望寻找替代方案的客户,正是那些曾选择 Okta 而非微软的用户——他们当初可能部分出于追求更现代化、更灵活的解决方案,如今却不再满意。与此同时,Okta 在核心市场低端领域正面临 Rippling 的竞争。后者提供一体化人力资源与 IT 解决方案,正逐步蚕食 Okta 的新客户来源。

Okta 正深陷身份认同危机(此处双关)。它渴望突破身份与访问管理(IAM)的局限,

如果 Okta 既不是面向低端市场的最佳解决方案,也不是面向高端市场的最佳解决方案,更不是需要特殊功能用户的最佳选择,那么它究竟适合哪些用户?与其说 Okta 正在被解绑,不如说它正遭受挤压。

结果是来自四面八方的压力:像 Rippling 这样的捆绑式平台从下方发起冲击,微软 Entra ID 从上方施压,而在每个细分市场(IGA、PAM、ITDR),Okta 既要面对根基深厚的行业巨头,又要应对饥渴初创企业的全新挑战。Okta 正试图构建平台,却在多条战线上奋战——而它鲜少是这些领域中最强大的玩家。

对于采用根本不同方法的新玩家而言,仍有机会参与竞争并构建全新平台。但机遇不在于"解绑"Okta,而在于为新一代企业重新构想身份管理方案。

原文链接:

https://ventureinsecurity.net/p/the-unbundling-of-okta-are-startups

声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。