本文比较了两个身份验证服务提供商：Auth0 和 Amazon Cognito。它们都是基于云的身份管理服务。

如今，许多软件即服务 (SaaS) 公司经常将其身份和访问管理需求外包给第三方。问题是如何找出最适合您的特定业务需求的方法。

对于资源有限的初创企业和将通过 Internet 交付软件的公司来说尤其如此。他们必须提供对其应用程序的轻松和安全的访问，而不会分散其核心业务的注意力。

就其本身而言，许多 SaaS 公司已经在使用 SSO 平台来简化其企业客户的集成。他们正在积极发展并计划扩大他们的用户群。因此，他们想为他们的身份平台找到一个替代品，因为他们的服务已经变得太贵了。

我们将从 IAM 及其工具 SSO 的简要概述开始。然后查看您在选择 SSO 解决方案时可能使用的标准。最后，我们在比较表中检查了 Auth0 和 Amazon Cognito 平台的竞争地位。

什么是 IAM？

Statista估计，到 2021 年，全球身份和访问管理市场的收入已达到 139.2 亿美元。如今，组织和用户处理多个系统以在数字环境中开展日常业务运营。

每个用户的凭据数量正在增加，不忘记或不丢失它们已成为一个真正的挑战。安全和隐私成为服务提供商和 SaaS 平台的另一个主要关注点。

身份和访问管理是可以解决这些风险的正确解决方案。每个软件产品所有者都倾向于使用自己的身份验证机制。

身份和访问管理 (IAM)是一个策略和技术框架，用于提供用户身份验证并确保对公司技术资源的正确访问级别。

员工、合作伙伴和客户是在企业中实施 IAM 的目标受众。为了登录公司系统并访问数字资源，他们可能会随时随地使用不同的设备：路由器、智能手机、计算机。

IAM 规定了几个流程：身份验证，指的是身份管理、授权 – 访问管理和软件网络中用户帐户的管理。

IAM 对企业的好处

获得正确的身份意味着让您的消费者和员工可以轻松地以数字方式与您联系——这意味着可以轻松登录、重置密码、接收个性化的数字内容并维护安全和隐私。本古德曼。

当远程工作成为常态并且公司每天管理多个应用程序和设备时，采用 IAM 解决方案可能是一个节省时间和金钱的决定。

他们帮助：

根据结构变化开展工作。基本上，它们限制了对应用程序的访问权限；
协助解决网络攻击和身份盗用；
简化用户登录流程，增加电子商务销售额；
以提高劳动力生产力。它解决了忘记密码和权限受限的问题。

IMA 包括与密码管理、同意管理、风险评级、身份存储库等相关的各种工具。

单点登录 (SSO) 可能是保护您的公司及其用户的第一个工具。基于 SSO，可以实现其他 IAM 工具。在部署多因素身份验证 (MFA) 时经常提到它，它需要两个或多个因素来证明用户的身份。它们可能是电子邮件、电话号码或秘密问题。

SSO 作为 IAM 的工具

IAM 基础设施通常基于 SSO 构建。它是一种用户身份验证方法，允许用户使用一组凭据安全地访问多个应用程序或服务。登录后，您可以访问所有公司批准的网站，而无需再次登录。通过 SSO 服务的访问可以应用于基于云的和本地安装的应用程序。

SSO 是确保 Internet 用户的便利性和安全性的关键。人们仍然倾向于重复使用相同的凭据来创建新的在线帐户，这是一个安全风险。在其他情况下，他们可能会忘记它们。

有利于雇主减少员工的登录时间，从而提高生产力。它提高了员工的舒适度，因此他们需要一个访问所有应用程序的访问点，而不是多个密码。

它为企业节省了资金。超过 50% 的 IT 帮助台呼叫涉及密码重置。单个密码重置请求可能会花费企业大约 70 美元。

SSO 协议

SSO 建立在应用程序（称为服务提供者 (SP)）和身份提供者 (IdP) 之间的信任关系之上。身份数据采用令牌的形式，其中包含有关用户的识别信息（用户的电子邮件地址或用户名）。证书用于签署从身份提供者发送到服务提供者的身份信息。通过这种方式，服务提供商知道身份信息来自可信来源。

根据他们使用的协议的几种类型的 SSO

安全断言标记语言 (SAML)是一种开放标准，允许身份提供者向服务提供者提供授权凭证。

开放授权 (OAuth 2.0)是一种开放标准的授权协议。它在应用程序之间传输识别信息并将其加密为机器代码。它使用授权令牌来证明消费者和服务提供者之间的身份。

OpenID Connect (OICD)是 OAuth 协议之上的一个简单身份层。它允许服务提供商根据授权服务器执行的身份验证来验证用户的身份。它使用户能够使用他们的 Facebook 或 Google 帐户登录服务，而无需输入用户凭据。

Kerberos是一种允许用户和服务器相互验证的协议。它在不安全的网络连接上验证对方的身份。

SSO 的类型

SSO的三个主要变体：Web SSO（Web 访问管理）是一种 Web 身份验证；它使用户能够提供他的凭据。在成功的身份验证过程之后，建立允许用户访问允许的资源的信任关系。

旧版 Web SSO（企业 SSO）。它管理对特定应用程序的多次登录。Legacy SSO 将 SSO 功能扩展到传统的遗留应用程序和网络资源。用于企业内部网络。

联合 SSO是指组织之间维护的关系。它基于简单对象访问协议 (SOAP) 和安全断言标记语言 (SAML)。用户一旦登录到附属组织组的成员。然后他们可以访问该受信任联盟内的所有网站。

Okta 与 Auth0。United Forces

2021 年 5 月，Okta 完成了对其最大竞争对手 Auth0 的收购。股票交易价值为 65 亿美元。结果，Okta 对身份市场的覆盖面达到了 800 亿美元。

身份是当今组织将进行的最具战略意义的投资之一。Okta McKinnon的首席执行官兼联合创始人表示，单一、统一的身份平台有能力通过为客户和员工提供无缝和安全的访问来改变组织。

自 2009 年以来，Okta 一直是身份和访问管理的领先提供商。其软件可帮助员工登录数字帐户。他们向企业出售身份验证服务，并使员工能够使用“单点登录”。Okta 专注于基于云的身份。各种规模的组织都是它的首要任务。公司为企业客户保证可靠性和安全性。

而 Auth0 是由开发人员为开发人员创建的。该公司成立于 2013 年，是一家登录技术初创公司。它为那些想要为自己的应用程序构建登录选项的人提供服务。Auth0 吸引了支持其产品的技术人员，并且很少费心在营销上花钱。世界各地的应用程序开发人员都青睐 Auth0 的可扩展性、易用性和文档范围。

Auth0 和 Okta 之间的合作使得为这两个用例获得最佳产品成为可能。现在，超过 15,800 个品牌信任 Okta 平台来保护他们与员工和客户的数字互动。

到 2022 年第一季度，Okta 宣布了 4.15 亿美元的总收入。同比增长65%。订阅收入为 3.98 亿美元，同比增长 66%。

Auth0 占公司总收入的 6600 万美元。

什么是 Auth0？

Auth0 作为身份平台在 Okta 内运行。它提供身份和身份验证软件即服务 (SaaS)。Forrester Consulting 报告称，Auth0 IAM 软件可以在不到六个月的时间内产生 548% 的巨大投资回报率和 1170 万美元的收益。

Auth0 为组织提供单点登录、泄露密码检测、多因素身份验证以及面向客户、业务合作伙伴和员工的用户身份管理解决方案。它还为开发人员和安全专业人员提供了机会。

基本上，Auth0 在他们的公共云中运行；但是，他们还提供了将其托管在私有云中的选项。

什么是认知？

Cognito是 Amazon Web Services (AWS) 的一项用户身份服务。该服务允许您添加注册、授权和控制用户对移动和互联网应用程序的访问的能力。Amazon Cognito 可扩展到数百万用户。支持基于 SAML 2.0 和 OpenID Connect、OAuth 2.0 的社交身份提供商（Apple、Facebook、Google、Amazon）以及企业身份提供商的授权。

很明显，Cognito 非常适合 AWS 服务。只需几行代码即可注册用户并取回令牌以登录移动或 Web 应用程序。Cognito 在 IAM 类别中的市场份额被评估为 2.04%。

AWS 提供 Cognito 用户池资源。它用于无服务器架构并提供云服务，通过 API（或其他服务，如 Amplify），可以对用户进行身份验证。功能：管理唯一身份、离线工作、跨设备存储和同步、MFA。

如何为 SaaS 产品选择 SSO：提供商标准

选择 SSO 提供商时，您应该考虑我们选择的一些标准进行比较。提供程序中有一系列功能需要检查。

Auth0 与 AWS Cognito：定价

两家提供商都使用每月活跃用户 (MAU) 作为定价基本价值。它表示每月至少执行一次任何身份验证操作的最大用户数。用户的身份操作包括：

注册、登录、更改密码。
令牌刷新。
更新用户帐户属性。

大多数企业可以合理地预测这个值。这使您可以做出可靠的估计。

估计。两家供应商都可以进行价格估算。Auth0 定价允许您在基于计划的选项之间进行选择，根据除 MAU 之外的其他选项，这些选项可能会有很大差异。

Cognito 的定价模型主要基于 MAU，几乎没有需要考虑的配置选项，这使其更具可预测性。

SSO 估计限制

Auth0 允许您估计假设 SSO 的两个计划的定价。它包含在专业计划的功能中，适用于需要增加安全性的团队和项目：

B2C（企业对消费者）专业 – 高达 10000 个 MAU。
B2B（企业对企业）专业人士 – 直到您的 MAU 低于 7000。
企业 – 尽可能多的。考虑企业取决于您在处理销售时的谈判能力和自信。

Auth0 Enterprise 是为需要扩展的生产应用程序而开发的。它包括广泛的功能：自定义连接和用户关系；没有管理员、组织或规则限制；99,99% 的 SLA 和企业支持，保证正常运行时间；高级部署选项；企业附加组件。但是要启动它，您需要与销售部门进行个人联系。

Auth0 计划计算器限制您最多拥有 3 个身份提供者连接。您应该请求您的个人定价提供更多，它可能看起来并不明显。

Cognito 计算器允许进行可靠的预测，而 Auth0 则在您达到计算器限制时立即放大不可靠性。

使用 Cognito，您可以假设每个用户的定价会随着用户数量的增长而下降。

对于使用 IdP 连接的前 50,000 个 MAU，您需要为每位用户支付 0.050 美元，而接下来的 50,000 个则价格降至 0.035。

在相同情况下，对于 Auth0 定价模型，每位用户的价格是否会下降并不那么明显。

两个平台都有免费计划：

授权0。最多释放 7000 MAU。没有任何高级功能，如角色管理、自定义电子邮件或日志保留。
认知。为直接登录 Cognito 用户池的用户最多释放 50000 MAU。通过基于 SAML 2.0 的身份提供者联合的用户最多可拥有 50 个 MAU。

中长期成本战略

对于 Auth0，定价由 MAU 定义，并且对于所选计划是静态的（至少在可用的计算参数范围内）。

对于 Cognito，定价可能取决于服务设置，这可能并不明显，并且在某种程度上假设您知道自己在做什么以及收取什么费用。启用“高级安全功能”后，您的定价可能会显着提高，但与 Auth0 相比，它仍然大幅降低。

“高级安全”提供了您从 Auth0 获得的类似行为，其中之一是监控和日志记录，这是此类企业系统的基本要素，任何想象都不能忽视。

Auth0 与 AWS Cognito：合规性和安全性

数据泄露可能造成数百万美元的损失，因此公司将其数据信任给供应商至关重要。身份提供者应该表明他们对数据安全的重视。它们必须符合安全标准并确保获得合规认证。

有许多领先组织的合规证书。看看其中一些：

ISO（国际标准化组织）和IEC（国际电工委员会）形成了一个全球标准化体系。其国际标准包含对信息安全管理系统的创建、实施、维护和改进的要求。
创建 SOC 2（系统和组织控制）审计是为了定义外部 SaaS 公司应如何管理其客户数据的标准。获得此标准意味着独立第三方评估产品、基础设施和政策，并确保公司符合其要求。对于金融机构、医疗保健公司和保险公司的客户来说，这是必要的。
CSA STAR（云安全联盟安全、信任、保证和风险）认证确保云服务安全能力。
HIPAA（健康保险流通与责任法案）使组织负责控制对客户和员工信息的访问。
欧洲的 GDPR（通用数据保护条例）要求严格的用户访问控制。
如果您从事金融或处理卡数据，PCI-DSS（支付卡行业数据安全标准）很重要。

Auth0 和 Cognito 的摘要。这两个平台都在特定合规计划范围内验证了它们的合规性，包括各种类型的 ISO/IEC、SOC 2 和 CSA STAR。

符合 SOC 2 可确保身份验证平台为您和您的客户作为服务消费者防止额外的安全风险。如果存在可能被认为是系统内服务集成的后果的安全风险，则应在文档中声明这些风险。

如果您的产品需要通过认证，使用合规的第三方服务可以简化您自己的合规审核。

考虑您的客户在与其 IdP 集成时可能需要合规性验证。除非您正在寻找特定于您的域的东西，否则这两种服务都具有涵盖所有合规级别的大多数标准认证。

Auth0 与 AWS Cognito：文档和支持

支持

作为一个多用途和多域平台，AWS 不提供专门的 Cognito 支持。您将获得有关您的一般 AWS 支持计划的支持级别。

我们不建议将针对生产环境的免费 AWS 支持计划作为中长期战略。

Auth0 支持级别取决于您的计划，并且与 AWS 相比看起来更可靠。原因很明显：它们是单一的服务平台，更加以客户为导向。

一般来说，您可以期待 Auth0 提供更好的支持。除非您从 AWS 购买企业支持，后者假定有专门的支持经理，否则它显然很昂贵。

文档

两种服务都提供有关 SSO 集成的可靠文档，包括与最流行的 IdP 提供商集成的示例。

Auth0 与 AWS Cognito：企业 IdP 流程

许多公司需要设置门户，以便用户在登录门户后可以导航到正确的应用程序。

通常，SSO 的启动方式有两种选择：通过服务提供者和身份提供者。实施身份提供者发起的单点登录允许您创建一个仪表板，其中包含可以为 SSO 启用的多个企业应用程序的列表。

Auth0 提供产品 SSO 仪表板扩展。它满足企业场景请求，并允许 IdP 用户仅从 IdP 应用程序库登录到您的应用程序。用户通过此仪表板登录。

这被认为是常见的做法。但是，IdP 发起的流存在安全风险，因此不推荐使用。它使应用程序面临可能的登录 CSRF 攻击。建议尽可能使用 SP 发起的流。

Auth0 在设置 UI 中明确提出声明，而 AWS 会在相关文档中提出合理声明，并且不会为您提供任何用于配置 IdP 登录的明确选项；但是，它仍然受支持。

这两个平台都能确保您了解风险并提出疑虑。

Auth0 与 AWS Cognito：与您的平台集成

您应该检查身份验证平台是否支持与现有目录服务和移动/Web 应用程序的集成。

两个平台都支持 OIDC、SAML 和 AD 与 IdP 的集成，但配置略有不同。

两个平台都支持 OAuth 2.0 授权代码流，例如“隐式授予”或 PKCE（代码交换证明密钥）。最后一个推荐用于移动桌面和 Web 应用程序。

请注意，由于安全限制，PKCE 可能是 SPA（单页应用程序）的唯一选择。

除了支持之外，平台还提供了库，这些库将在身份验证流实现方面为您完成大部分繁重的工作。

尽管有任何给定的建议，但理解和选择适当的身份验证流程仍然是您的责任。

Auth0 与 AWS Cognito：处理最近的浏览器安全限制

美国和欧盟对其公民的个人数据保护表示担忧。

他们要求科技巨头解决在线隐私问题。例如，GDPR 于 2018 年通过。这是一部关于欧盟公民数据保护权利的特别法。基于此，收集用户数据的网站所有者必须将此通知用户。如果用户未给予同意，则禁止收集此类数据。

谷歌计划在未来几年停止在 Chrome 中支持第三方跟踪 Cookie。其他流行浏览器的开发者也将阻止广告网络使用第三方 cookie。

这将对网络跟踪的工作方式以及有多少网站产生收入产生重大影响。Cookie 对于在广告和出版行业进行跟踪以显示相关广告非常重要。

因此，浏览器隐私技术和用户隐私控制（如 ITP）的最新发展影响了用户体验（UX）并保持了用户对资源的无缝访问。这意味着用户需要在合理且可配置的时间内重新授权才能在平台内操作。当然，它导致了用户体验的中断。

浏览器限制访问第三方 cookie 的意图限制了 PKCE 方法用于刷新“访问令牌” 。

为了克服这些限制，两个比较平台都实施了“刷新令牌”方法，这是解决上述问题的方法。但是，它们提供对刷新令牌行为的控制的能力不同。

示例：如果您希望用户会话在一段时间不活动后终止，这可以在 Auth0 中配置，而这必须在 Cognito 中实现。

Auth0 与 AWS Cognito：监控和日志记录

日志记录对于 SSO 流至关重要，这就是 Auth0 与 Cognito 相比的优势所在。尽管“高级安全性”为 Cognito 启用了额外的监控和日志记录，但它仍然远非 Auth0 开箱即用的功能，需要额外的努力才能实现任何可持续的结果。

Auth0 与 AWS Cognito：可扩展性

重要的是，解决方案能够连接到外部系统以获取数据源、联合等。大多数平台都提供了一种创建自定义扩展的方法。这些自定义扩展可以插入到解决方案中，以处理内置功能无法处理的用例。

AWS Cognito 与 Auth0。最佳 SSO 解决方案的比较

让我们比较一下我们正在开发的软件的这两种解决方案。这是金融科技软件，因此请在下表中查看它们的重要标准。

支持 SSO 的产品计划的定价。

计划名称	5000 MAU 的定价	1000 MAU 的定价	计划特点
Auth0 B2C 专业版	1000 美元	240 美元	专业外交部；外部数据库；管理员角色；10 动作、规则、钩子；综合用户故事；M2M 附加组件。
Auth0 B2B 专业人士	1500 美元	800 美元	3 企业连接；外部数据库；10 动作、规则、钩子；管理员角色；100 个组织；M2M 附加组件。
AWS 认知	74 美元	14 美元	适用于通过企业身份提供商通过 SAML 或 OIDC 联合登录的用户。在 50 个 MAU 旁边，每个 MAU 为 0.015 美元。
启用了高级安全功能的 AWS Cognito	321 美元	62 美元乘数合规	提供基于风险的自适应身份验证。允许您通过 SMS 或基于时间的一次性密码 (TOTP) 请求额外验证，或阻止登录请求。防止使用受损凭据。它会提示用户更改密码。

综上所述，金融科技软件在安全性、快速性、无摩擦交易方面的要求特别高。因此，他们更喜欢启用高级安全功能的 Cognito 或带有 Auth0 的 B2B Professional 计划。因此，如果我们比较 5000 MAU，Cognito 的价格将为 321 美元，而 Auth0 的价格为 1500 美元。因此，基于价格方法，AWS Cognito 更可取。

标准	授权0	了解 AWS
安全访问解决方案	B2C – 适用于企业对客户组织的现代客户身份管理解决方案。为您的客户。通过诸如 UN/PW 或 Social Connections 等方法。B2B – 您的业务合作伙伴的身份管理。通过 MFA 和异常检测为您的客户提供企业身份集成、跨产品的 SSO 以及自适应身份验证。通过 SAML、LDAP 或 AD 等连接。B2E 员工身份访问管理（Okta 的劳动力身份解决方案）。	Amazon Cognito 有两个主要组件：用户池和身份池。用户池是为应用程序用户提供注册和登录选项的用户目录。身份池允许您授予用户访问其他 AWS 服务的权限。
价钱	定价模式令人困惑；这是一个昂贵的解决方案。然而，它包括各种各样的身份管理工具。	与市场上的其他解决方案相比，该解决方案的价格具有竞争力。
合规性和安全性	在合规性方面提供最多。ISO27001、ISO27018、SOC 2 Type II、HIPAA BAA、Gold CSA STAR、PCI DSS、GDPR。完整的合规文件。	在合规性方面提供最多。ISO/IEC 27001:2013、27017:2015、27018:2019、27701:2019、22301:2019、9001:2015、CSA STAR CCM v3.0.1、HIPAA、PCI DSS、SOC 1、2、3、ISMAP、FedRAMP、 SGR、IRAP、C5、K-ISMS、MTCS、ENS、OSPAR、HITST CSF、FINMA、GSMA、PItuKri、CCCS、GDPR、FIPS 140-2、NIST 800-171。完整的合规性文件。
文档	提供有关 SSO 集成的质量更高的文档。它包括使用流行编程语言的详细文档和清晰的代码示例。提供具有大量技术的多个库。	此外，提供有关 SSO 集成的可靠文档，包括与最流行的 IdP 提供商集成的示例。但这有点乱。
监控和记录	您可以监控 Auth0 的实施，检查外部身份提供者服务的状态，并监控您的应用程序。Auth0 提供可用于满足业务需求的事件日志。	支持两种 AWS 服务，因此您可以跟踪您的组织和其中的活动。
支持	Auth0 在其定价计划中包含更好的支持。提供用户行为分析、配置文件仪表板和身份验证趋势。	AWS 支持与服务无关，必须单独购买。有偿支持；您应该是 AWS 的高级客户。
易于集成	它是一个与同意管理、身份证明、IT、社交媒体、SMS 和客户成功工具集成的市场。与 Google、GitHub 和 Microsoft 产品集成。使用可以轻松与几乎所有第三方应用程序集成的开放 API。与 OIDC、LDAP、SAML 和 ADFS 等工具兼容。支持 OAuth 2.0（“隐式授权”或 PKCE）。	与 Google、Amazon、Twitter、Facebook 和 SAML 集成。非 AWS 应用程序的集成不佳。与 OIDC、SAML 和 ADFS 等工具兼容。支持 OAuth 2.0（“隐式授权”或 PKCE）。
数据安全	将凭证安全存储在 Auth0 数据库或内部企业存储库中；用于安全数据访问的单点登录和 MFA。	使用 MFA、SSL/TLS 与 AWS 资源通信，使用 AWS 加密解决方案、Amazon Macie。
灵活性	通过使用身份验证管道进行了改进。这是一项重要功能，因为它允许您自定义与身份验证和授权过程相关的所有内容。	由 AWS Amplify 实施。使开发人员能够自定义 AWS 后端和部署选项。
协议支持	OAuth、OAuth 2、OIDC、SALM	OAuth 2、OIDC、SALM
可扩展性	JavaScript / NodeJS 自定义代码可扩展性以三种方式呈现在客户仪表板中：Auth0 规则、挂钩、扩展。	JavaScript / NodeJS
处理最近的浏览器安全限制	Auth0 为“刷新令牌”和相关配置提供了一种更加可靠和可配置的方法，并且尽可能地减少了工作量。	它更复杂，需要额外的努力来设置。但是您仍然可以使用 Cognito 实现“刷新令牌”方法。很难找到令牌的到期时间。
企业 IdP 流	允许 IdP 发起的流。具有创建 SSO 仪表板应用程序的清晰设置。	不支持 IdP 发起的 SSO。