今天说一下身份云(身份安全),是一条相对没那么热闹的赛道。以下至分割线是对这条赛道的一些简述,供不熟悉的同学参考,技术口的兄弟可直接跳至分割线。
原来的技术厂商提供的服务是IAM(Identity and Access Management),即身份认证和访问管理。进入云原生时代后,IDaaS(Identity as a Service)出现的频率更高些了,即身份即服务。二者的直接差别是IDaaS更适用于云环境,用SaaS的方式交付多一些。IDaaS主要解决的问题就是可以用一套账号安全地帮助企业拉通其内部ERP、CRM、IT运维、邮件等系统各自独立的账号体系。身份安全关键技术如下图所示:
近年来,技术厂商逐渐从提供IAM(2016年以前)过渡到IDaaS(2016-2019),接着进化为零信任解决方案(2020至今)。
零信任的意思是不能信任出入网络的任何内容,即要对进入网络的所有身份进行验证。传统安全架构以网络边界为核心,零信任则以身份为核心,具体区别如下:
由于厂商对外讲的故事不太一样,在这里暂且把主打身份验证的厂商与零信任的厂商分开,但其实这不属于本质性区别,也可以不分开。主要玩家大概是这些(更详细的可以去看云安全联盟发布的《2020中国零信任全图》):
海外成熟体:Okta、Auth0、Ping Identity、OneLogin等
国内云计算厂商:阿里云IDaaS(2019年发布)、华为云OneAccess(2021年发布)、腾讯云IDaaS(2021年发布)
国内服务商(身份验证):洋葱令牌(已关闭)、九州云腾(被收购)、玉符科技(被收购)、竹云科技、Authing
国内服务商(零信任):数篷科技、派拉软件、芯盾时代、易安联网络、数安行等
分割线
投资人问SaaS创业者最多的问题就是“你们的优势在哪”,创业者回答的最多的就是“产品更好,技术更优”。如果非要去验证这个答案,投资方可以使用甲方选型的框架维度去分析产品。比如,对市面上IDaaS产品的统一身份认证、统一用户目录、统一应用集成、开发者工具调用灵活性、身份认证流程的自定义、二次开发能力、用户分析并预警恶意IP的能力等进行多维度分析。但其实即使按照选型去拆解感觉也很难得到有效的结论,一是每个甲方选型的思路不太一样,二是某个厂商缺失了部分能力不代表整体产品水平的降级。判断B端产品的好坏还是看卖给谁、怎么卖、好不好卖来得实际。
先看看这条赛道都发生了什么。即使没那么热闹的赛道,也可以映射出中美SaaS环境的差别:
国外IDaaS的老大是Okta(OKTA.US),股价3年涨了十倍
几个调研机构预测2020年全球IDaaS的市场份额大概在34-37亿美元之间,年复合增速大概是20-22%。Okta在2020年的收入为8.35亿美元,那大概的市场份额是20%左右。2021年初Okta为了扩充产品矩阵,进一步巩固市场份额,又以65亿美元(换股)并购了Auth0。这不仅仅是IDaaS市场的重大并购,在整个企业服务领域也预定了今年的前十大收购案了,看来在海外身份云早已经进入并购整合阶段了。其实在2019年某投行对Okta的评价是这样的(此时给出的目标价是85美元),“One area of constructive feedback on the Okta platform is its ability to integrate with on-premises applications. While Okta can integrate with on-premises applications, in some cases the integration comes through partnerships with reverse proxy vendors. For enterprises that currently have and will have a majority of their applicationson-premises, Okta may not be the top vendor of choice. However, our January 2019 CIO survey shows the number of on-premise applications falling from 62% ofthe total today to 33% of the total by end of 2022.”
投行认为,Okta最大的优势有两点:一个是开箱即用易部署,另一个是建立了拥有5000+合作伙伴(现在7000+)的应用生态系统,深入集成。但劣势在于,对于拥有大量本地部署软件的企业,Okta并不是最合适的供应商。只不过美国的企业对公有云服务的接受度越来越高,从2019年至2022年企业本地部署软件的比例会从60%下降至约30%,那Okta股价的腾飞自然是理所当然(远超投行预期)。不过适合Okta生长的土壤在我国就很难找到。
我国IDaaS厂商困境一:我国中小企业生存周期短,大企业倾向于私有化部署
相比之下,我国的情况着实是比较特殊:2020年1-12月全国国有及国有控股企业营业总收入632,867.7亿元,其中中央企业353,285.6亿元,地方国有企业279,582.1亿元。GDP是101.5986万亿元。国有经济占全国经济总量的比例是62.29%,那国企、央企就是IDaaS服务商需要去争取的优质客户。但国企、央企能不能大批量上公有云呢?难。而且即使是华为(非云原生企业)数字化转型都规划了十年,执行了十年,那拥有少则几万、多则几十万员工的国有企业光拉通中台的难度就可想而知了。所以好消息是国有企业对安全这块特别看重,肯批预算,坏消息是大客户整体数字化进展慢,倾向于私有化部署。反观我国中小企业通常短寿,软件公司的SaaS模式是建立起来了,卖了货,结果客户不到半年倒闭了。
我国IDaaS厂商困境二:绕不开的四座大山
阿里云、腾讯云与华为云在2019、2020、2021年先后正式发布了IDaaS产品。自2016年起,云厂商就发现了用户对于账户打通和身份安全的业务需求,所以这条赛道已经折腾过一轮了。2015年便开始提供IAM服务的洋葱令牌(创始人是互联网大佬,现在在腾讯云)并没有熬过2017年。而阿里云和腾讯云都是通过先合作再收购的策略发布了各自的IDaaS产品(九州云腾于2019年被阿里收购,玉符科技于2020年末被腾讯收购)。华为的HiSec零信任安全解决方案则是通过竹云科技的IAM产品构建统一身份和认证管理机制(但不确定华为云IDaaS是否也是由竹云提供的)。
阿里云先发优势最强,不再赘述。腾讯在过去几年一直是全球增速最快的公有云厂商,在业内一直也以开放的形象与创业公司共建生态,又有企业微信和腾讯会议这种大杀器,是最有可能成为中国Salesforce的厂商。华为品牌被国民熟知虽是因为消费品业务,事实上,华为是几十年的老2B公司了。华为在手机业务遭受冲击后将云业务在内部的战略地位持续提升,不断吞噬其他厂商的云市场份额,即使产品提升空间仍然很大(有点像当年跟其他厂商学做手机的时候,还不太成熟),但也已凭借其强大的销售基因预定了亚军。同时华为在车机行业云的先见布局,在新能源车的场景更成熟后有机会冲击阿里云(短期可能性不大)。可以看到在云市场,搞游戏的不如搞通信的,搞通信的不如搞电商的。那电商、游戏两手抓的字节跳动就正在造第四朵云。重点是,网络安全与身份管理是入口,四朵云谁也不会掉以轻心。独立厂商能在夹缝中建立如同Okta一样的生态网络可能性不大。
小结
腾讯、阿里、字节将分别围绕企业微信(腾讯会议)、钉钉、飞书或自建闭环,或打造SaaS生态去继续跑马圈地。华为则将利用自身独特优势去发展私有云、消费者云与行业云(车机)。在我国2B企业获客难、优质客户稀少的大环境下,IDaaS厂商或选择站队巨头接受导流,或单独走私有化部署交付大客户的路线。阿里与腾讯既已完成收购动作,短期内再收购IDaaS的概率不大;再加上华为较少出现收购动作,那短期内的潜在买家就只剩一家大厂。像竹云科技一样选择走私有化部署去签政府、国有企业、大型企业的路线则更加明朗,一方面是因为BAT的出身其实大型交付的能力也有限,另外也是不可能某家公有云获得全部的KA客户。剩下的思路就是去讲零信任的故事,如数篷科技、派拉软件、芯盾时代、易安联网络、数安行等,2020年起资本已经用真金白银开始买单了。即使将零信任的故事的企业也多为走大型交付的路线,下图是上述某家零信任厂商的客户分布图,大家心里有数:
做2B好苦。
本文基于个人浅显理解,如有误判,请大家指教。欢迎大家找我交流
(微信:erjinzhixiaolan)。
