资源描述
海外行业 报告 | 行业专题研究 请务必阅读正文之后的信息披露和免责申明 1 计算机 证券 研究报告 2020 年 08 月 24 日 作者 沈海兵 分析师 SAC 执业证书编号: S1110517030001 shenhaibingtfzq 缪欣君 分析师 SAC 执业证书编号: S1110517080003 miaoxinjuntfzq Okta: 三年十倍,美国最大网络安全公司 1、 三年股价十倍: 乘“零信任 SaaS”之风破“网络安全”之浪 零信任架构假设所有人都不可信,先验证身份后访问资源,传统网络安全边界模糊,零信任 SaaS 是未来安全架构的必然趋势。美国国防创新委员会建议将零信任实施作为最高优先事项; Gartner 更是预计 2023 年, 60%的企业将淘汰传统 VPN(边界访问),转向零信任 SaaS。 美国最大的安全公司不是防火墙公司,而是零信任 SaaS 公司。 Okta 从面向 SaaS 产品的 SSO 单点登录发展成身份认证和管理平台, 凭借海量应用程序和基础设施集成形成的技术壁垒脱颖而出 。 当前 ,已经有超过 8,400个全球客户使用 Okta,客户净保留率达到 121%。 市场高度看好下, Okta三年股价成长 10 倍。 2、 公司产品 : 企业上云趋势下,零信任 SaaS 顺势扬帆 根据亿欧, Okta 客户平均拥有 83 个云应用,其中 9%的客户拥有 200 多个云应用 ,零信任 SaaS 方式更加适配用户需求。公司 从面向 SaaS 产品的 SSO单点登录发展成身份认证和管理平台 。同时 根据 Forrester,其后台管理 UI具有最佳的易用性和间接性;集成了几乎所有常见的外部应用。 Okta 集成6500 款云产品, 零信任 SaaS 下实现一键访问。 3、 SaaS 模式下积极拓展产品矩阵, 客户 ACV 增长在 6X 定价模式可持续性强,积极拓展产品线, ACV 增长显著 , 公司基本功能产品按照客户数每月收费,单价在几十元每年;高级附加功能按照年收费,价格在 8000 美元以上。按照功能数阶梯定价,随着产品功能丰富,用户价值提高, ACV 增长空间较大。根据公司投资者大会,公司通过多种方式拓展产品线,成熟客户 ACV 增长在 6X。 4、依托稳中有升的客户忠诚度, 零信任 SaaS 盈利潜力释放指日可待 截至 2020 年 1 月 31 日, Okta 平台上的客户超过 7,950,其中 年度合同价值超过 10 万美元的客户数量逐年增长 , 反映了 企业 对 Okta 零信任 SaaS更高 的使用程度。 Okta 销售毛利率基本稳定,但由于公司营业支出较大,尤其是为了拓展销售渠道而产生大量的销售费用,因此至今 Okta 公司销售净利率为负值。 SaaS 公司一般采用 PS 估值。 Okta 仍处于高速成长期, PS 与公司营业收入增速保持正相关。自公司 2017 年上市以来,收入增速放缓,但在 40%以上,市销率 提升至 38XPS。 投资机会:白马推荐深信服、奇安信、美亚柏科,黑马推荐格尔软件、数字认证。 风险 提示 : 短期无法确保盈利;未来零信任 SaaS 市场竞争激烈 ; 企业上云不及预期 海外行业 报告 | 行业专题研究 请务必阅读正文之后的信息披露和免责申明 2 内容目录 1. 身份独立管理平台:乘 “ 零信任 ” 之风破 “ 网络安全 ” 之浪 . 4 1.1. Okta:全球企业身份独立管理平台龙头企业之一 . 4 1.2. 深耕统一身份治理,乘 “ 零信任 ” 之风破 “ 网络安全 ” 之浪 . 4 1.3. 市场竞争激烈, Okta 在角逐之中力压群雄 . 5 2. 公司产品: 深耕统一身份治理,建立强大而全面 Okta 集成网络 . 6 3. 立足现有数据优势,拓展产品生态链 . 11 3.1. 稳固现有客户关系,扩大合作伙伴系统 . 11 3.2. 双重定价法,积极拓展产品线,客户 ACV 增长在 6X . 12 3.3. 通过新产品、新用例拓展产品生态链,形成强韧的生态系统 . 13 4. 依托稳中有升的客户忠诚度,盈利潜力释放指日可待 . 13 4.1. 客户数量逐年增加,高保留率助力市场拓展 . 13 4.2. 初期掷大手笔打通运营脉络,未来有望在国际市场大放光彩 . 14 5. 估值分析 . 15 图表目录 图 1: 2019 年 Okta 营业收入构成按服务类型分类情况 . 4 图 2: 2019 年 Okta 营业成本构成按服务类型分类情况 . 4 图 3:现代化 零信任模型全流程 . 4 图 4:公司核心产品是身份云,把控零信任的入口 . 5 图 5: Okta 集成 6500 款云产品,一键登录 . 5 图 6:自 2017 年起, Okta 连续三年在 “ 访问管理 ” 魔力象限中获得领导者称号 . 5 图 7: Okta 模式介绍 . 6 图 8: Okta 身份云服务方式及亮点 . 6 图 9: Okta 单点登录运作流程 . 7 图 10:通用目录主要可以分为两个产品:集成安全目录和元目录 . 7 图 11:安全的自适应多因素身份验证(自适应 MFA) . 8 图 12: API 访问管理 . 8 图 13:功能可扩展 . 9 图 14:多源集成 . 9 图 15:跨任何云的安全服务器访问 . 9 图 16:零信任服务器身份验证 . 10 图 17:跨任何云的安全服务器访问 . 10 图 18:集成化扩展的主要应用 . 11 图 19:身份管理的新方法:客户为什么选择 Okta . 11 图 20:多角度拓展产品线 ,提升 ACV . 13 图 21: Okta 年度合同价值超过 10 万美元的客户数量逐年增长(以下为财年) . 14 图 22: Okta 基于美元的客户保留率表现较好(以下为财年) . 14 图 23:销售毛利率逐年递增,销售 净利率逐渐上升 . 14 海外行业 报告 | 行业专题研究 请务必阅读正文之后的信息披露和免责申明 3 图 24:客户平均收入逐年上升(单位:万元 /人)(以下为财年) . 14 图 25:营业收入逐年增长,增长速度有所放缓 . 15 图 26: Okta 净利润为负值 . 15 图 27: Okta 主要收入来自认购 . 15 图 28:认购收入占比较大,但成本投入较少 . 15 表 1:基本功能按照用户数每月收费,按照功能阶梯定价 . 12 海外行业 报告 | 行业专题研究 请务必阅读正文之后的信息披露和免责申明 4 1. 身份独立管理平台 : 乘“零信任”之风破“网络安全”之浪 1.1. Okta:全球企业身份独立管理平台龙头企业之一 Okta 是全球领先的企业身份管理平台 ,通过提供单点登录、通用目录、生命周期管理、API 访问管理等全方位云服务,帮助开发者在应用程序、网站 web 服务和设备中构建身份控制,为企业在多种应用程序中管理和保护用户身份验证,使得企业可以了解自己的身份和访问管理,并专注于核心业务。目前 ( FY2021 Q1) ,已经有超过 8,400 个全球客户使用Okta,客户净保留率达到 121%。 公司当前的主营业务分为通用目录、单点登录、多因素身份认证、生命周期管理、 API 访问管理等产品和服务。 其中,公司的营业收入主要来自服务和产品的订阅, 2019 年订阅收入占比 94%。 图 1: 2019 年 Okta 营业收入 构成按服务类型分类情况 图 2: 2019 年 Okta 营业成本构成按服务类型分类情况 资料来源: wind, 天风证券研究所 资料来源: wind, 天风证券研究所 1.2. 深耕统一身份治理,乘“零信任”之风破“网络安全”之浪 零信任架构的本质是身份管理安全范型的转移或者变革。 Okta 从面向 SaaS 产品的 SSO 单点登录发展成身份认证和管理平台, 2009 年以来作为 SaaS 服务商与企业的中间产品提供者,深耕云应用统一登录领域。 2018 年收购云访问控制网络安全商 ScaleFT 后,构建起以身份认证为核心的零信任平台。 Okta 利用身份云的的身份信息集中管理、账号身份数据快速打通多因素认证等能力使企业能够在正确的时间将合适的人员安全地连接到正确的技术。 根据 Forrester,其后台管理UI 在具有最佳的易用性和间接性。通过与应用程序和基础设施提供商的 6500 多个预先构建的集成, Okta 的客户能够快速、安全地为业务自由地选择合适的技术。 Okta 产品与服务的推出,突破了旧的低效率且不安全的安全瓶颈,将企业的安全水平和管理效率提高到新的顺准,实现了身份管理安全的变革。 图 3: 现代化零信任模型全流程 海外行业 报告 | 行业专题研究 请务必阅读正文之后的信息披露和免责申明 5 资料来源: 安全牛, 天风证券研究所 图 4: 公司核心产品是身份云,把控零信任的入口 图 5: Okta 集成 6500 款云产品,一键登录 资料来源: Okta 公司 官网 , 天风证券研究所 资料来源: Okta 公司 官网 , 天风证券研究所 1.3. 市场竞争激烈, Okta 在角逐之中力压群雄 Okta 凭借海量应用程序和基础设施集成形成的技术壁垒脱颖而出 ,在拥有多种背景的、拥有市场先发优势等供应商竞争者中,成为独立管理平台的龙头企业之一。其中企业认证供应商竞争者包括 Microsoft、 IBM、 Oracle、 SailPoint 等;全生命周期管理供应商包括 CA、IBM、 Microsoft、 Oracle 等; 多因素认证供应商包括 RSA、 Microsoft、 Symantec 等;基础设施即服务供应商: Microsoft、 Google cloud、 AWS 等。 图 6: 自 2017 年起, Okta 连续三年在“访问管理”魔力象限中获得领导者称号 资料来源: Gartner, Okta 公司 官网 , 天风证券研究所 海外行业 报告 | 行业专题研究 请务必阅读正文之后的信息披露和免责申明 6 2. 公司产品 :深耕统一身份治理,建立强大而全面 Okta 集成网络 总体看: 以身份云为中心,建立劳动力和客户身份管理生态 。 Okta 以 Okta 身份云为核心,建立完整的身份认证、登陆的中心系统。 公司通过设计 Okta身份云,为组织提供一种集成的方法来管理和保护组织的身份,确保用户的安全: Okta 身份云由一套用于管理和保护身份的产品组成,大多数产品可用于客户标识和劳动力标识用例。 Okta 客户可以通过这个安全、可靠且可拓展的平台与任何流行的应用、服务或者云整合,组织主要在劳动力身份管理和客户身份管理两个不同的模块使用 Okta 身份云。 图 7: Okta 模式介绍 资料来源: Okta 官网收益报告, 天风证券研究所 2.1 Okta 身份云:为企业高效打造身份管理平台 。 Okta 身份云由一套用于管理和保护身份的产品组成,大多数产品可用于客户标识和劳动力标识用例。 Okta 客户可以通过这个安全、可靠且可拓展的平台与任何流行的应用、服务或者云整合,组织主要在劳动力身份管理和客户身份管理两个不同的模块使用 Okta 身份云。由于绝大多公司的需求都可以通过 Okta 身份云已研发的应用满足。 图 8: Okta 身份云服务方式及亮点 资料来源: Okta 公司官网, 天风证券研究所 海外行业 报告 | 行业专题研究 请务必阅读正文之后的信息披露和免责申明 7 2.2 敏捷的单点登录:提升用户管理效率 。 Okta 提供单点来登录和访问所有的应用程序,并允许 IT 部门安全地管理用户凭据。 此外,Okta 可以处理组织不断变化的需求,这对员工在地理上分散且部门分散的企业来说十分重要:随着企业从本地软件发展到按需、云计算服务,进而企业过渡到按需和本地混合配置,控制被授予何种应用程序的访问权限越发重要。这带给 CIO 及其团队一个全新的身份管理挑战,此外用户必须跟踪多个 URL,用户名和密码来访问应用程序。 同时, Okta 单点登录可以提供定制服务 ,包括可定制的登录页面,使用 IFRAME 嵌入 Web门户网站,在公司门户网站中使用 Okta SSO 以及一个支持完全自定义的 UX,并为每个用户提供动态应用链接。 图 9: Okta 单点登录运作流程 资料来源: Okta 公司官网, 天风证券研究所 2.3 通用目录:管理用户、组和设备的地方。 通用目录提供一个集中的、基于云的记录系统来储存并保护一个组织的用户、应用程序和设备配置文件。 用户和个人资料存储在目录可以与单点登录产品一起使用以管理密码和身份验证,或者可以由开发人员来存储和验证其应用程序的用户。用于劳动力身份管理时,通用目录成为其所有员工,承包商和合作伙伴的客户记录系统。用于客户身份管理时,通用目录成为 Okta 客户的系统为其所有用户记录。 Okta 通用目录可以更快地整合收购业务的 IT、消除服务台要求重置 AD 密码的情况以及避免本地 LDAP 的成本。 图 10: 通用目录主要可以分为两个产品:集成安全目录和元目录 资料来源: Okta 公司官网, 天风证券研究所 海外行业 报告 | 行业专题研究 请务必阅读正文之后的信息披露和免责申明 8 2.4 自适应多因素身份验证:全面灵活提供身份保护 。 自适应多因素身份验证(自适应 MFA)提供额外的安全保护,避免数据泄露,同时为管理员和最终用户提供保持生产力的简便性。 此外,自适应 MFA 还与用户已使用的应用程序和基础架构集成,来简化部署。 图 11: 安全的自适应多因素身份验证(自适应 MFA) 资料来源: Okta 公司官网, 天风证券研究所 2.5 API 访问管理:使开发者更好地专注于用户体验 。 Okta 创建,维护和审核 API 访问策略,在任何 API 网关后面保护无限数量的 API 资源。自定义应用通过 API 后端变得更加现代化,更好的保护企业数据,并允许开发者专注于用户体验。 图 12: API 访问管理 资料来源: Okta 公司官网, 天风证券研究所 2.6 生命周期管理:使用外部和内部用户的任何业务流程来自动化生命周期 。 首先,目录和元目录集成到任何应用程序或目录中,具有生命周期意识和可扩展性;而身份管理以访问和易用性为重点,可为账户和权力报告提供全面的数据;通过规则、策略、工作流和 API 进行自动化以实现全面定制,从而跨生命周期状态精确地控制身份;通过丰富的母版和资源调配集成,能够支持从粗粒度到细粒度的管理。 通过使用 SCIM 将置备功能扩展到自定义应用程序,使用 Okta API 将任何应用程序配置为个人资料主主文件以及使用云或本地配置 SDK 获得针对任何应用程序的自动化预置,实现海外行业 报告 | 行业专题研究 请务必阅读正文之后的信息披露和免责申明 9 可扩展功能。 图 13: 功能可扩展 图 14: 多源集成 资料来源: Okta 公司官网 , 天风证券研究所 资料来源: Okta 公司官网 , 天 天风证券研究所 2.7 进阶伺服器存取:云原生基础架构的零信任身份和访问管理 。 Okta 进阶伺服器由临时客户端证书体系结构支持,该体系结构替换了静态 SSH 密钥和密码,能够跨任何混合或多云环境的统一身份和集中访问控制。 本地服务器账户和策略会自动从 Okta(作为真实的来源)调配和取消调配到下游服务器,可与现有的 SSH 和 RDP 工具一起使用,并且易于通过 API 进行配置。 通过使用 SCIM 将置备功能扩展到自定义应用程序 ,使用 Okta API 将任何应用程序配置为个人资料主主文件以及使用云或本地配置 SDK 获得针对任何应用程序的自动化预置, 实现可扩展功能。 通过提供作为 SaaS 的中央控制平面 ,用于控制跨环境对服务器的访问,从而抽象了大规模管理 IAM 的复杂性 :作为下游服务器用 户和组账户的真实来源;中央控制平面,用于管理命令级 sudo 权利;自动配置和取消配置本地账户和策略; SSH 和 RDP 工作流程的简化的单点登录和多因素身份认证 。 图 15: 跨任何云的安全服务器访问 资料来源: Okta 公司官网 , 天风证券研究所 通过 5 大步骤,实现每个登录都经过独立的身份验证和授权,并颁发了短期的,范围狭窄的凭据来匹配。 海外行业 报告 | 行业专题研究 请务必阅读正文之后的信息披露和免责申明 10 图 16: 零信任服务器身份验证 资料来源: Okta 公司官网 , 天风证券研究所 2.8 访问网关:安全访问本地应用程序并保护混合云 。 使用 Okta 的 SSO,自适应 MFA 和 ThreatInsight,可在不影响安全性的情况下改善用户体验 :一次登录即可访问本地和云应用程序;使用自适应 MFA 进行安全的本地访问;使用精细策略授权访问;利用 Okta 整个网络的智能安全性; 通过本机集成简化了应用程序入门,并支持内部部署模式 :使用本机集成与本地应用程序集成,并利用流行的本地集成模式来集成本地应用程序,而 无需更改源代码 ; 降低本地 SSO 的成本和运营负担 :实施无中间件, 无数据库架构 ,淘汰 Web 访问管理和本地单一登录,并将身份基础结构减少多达 90%。 Okta 访问网关能够降低总拥有成本和管理成本 80%,减少 50%的安全漏洞。到 2022年, IDaaS 将成为 80%的访问管理部署的首选交付模型 。 图 17: 跨任何云的安全服务 器访问 资料来源: Okta 公司官网 , 天风证券研究所
展开阅读全文