DEV Community

authagonal
authagonal

Posted on • Originally published at authagonal.io

El impuesto al SSO, en dólares: lo que SAML cuesta de verdad en Auth0, WorkOS y Clerk

Escribimos una vez sobre el impuesto a las funciones: el truco de cobrarte por activar un booleano que ya está escrito, sobre una infraestructura que ya está en marcha. Aquel artículo era el argumento. Este es el recibo.

Porque «el SSO cuesta extra» es fácil de aceptar con un gesto y fácil de olvidar. Una cifra en una factura cuesta más de olvidar. Así que pongamos toda la factura sobre la mesa, para tres momentos que atraviesa todo producto B2B: la base de la plataforma (facturada por usuarios activos mensuales, lo que todos cobran y es justo: más usuarios cuestan de verdad más de atender), más las dos líneas que realmente miden SAML, la conexión SSO y el aprovisionamiento SCIM que la acompaña. Tres columnas en vivo, un total global. Incluimos la base a propósito. El impuesto al SSO no es el único lugar donde se escapa el dinero; la brecha en el precio de la plataforma misma asciende a miles al año, y omitirla subestimaría lo que el modelo del impuesto a las funciones te cuesta de verdad. Todas las tarifas corresponden a los precios publicados por cada proveedor en junio de 2026.

El SSO ni siquiera es el único medidor, solo el más ruidoso. Hay uno más silencioso: el límite de clientes OAuth, las apps y servicios que registras de tu lado. Nunca muerde durante la evaluación; muerde a mitad de la integración, la tarde en que vas a conectar una herramienta más y descubres que te has quedado sin cupo, con la única opción de reutilizar un cliente que no deberías (que tu mesa de soporte emita tokens para tu API principal no es una frase que quieras leerle a un auditor de SOC 2) o saltar de nivel para añadir una sola fila a una tabla. Un cliente es una fila y un secreto; no le cuesta nada al proveedor, así que no lo medimos. Pero el SSO es el impuesto que da titulares, así que es eso lo que calculan las tablas de abajo.

Escenario 1: tu primer acuerdo enterprise

~1.000 MAU. Tu primer logo de verdad acaba de firmar, con la condición de iniciar sesión a través de su propio proveedor de identidad, con sus usuarios aprovisionados automáticamente. Una conexión SAML, con SCIM:

Proveedor Plan /mes SSO /mes SCIM /mes Total /mes Total /año
Authagonal $29 $0 $0 $29 $319
Clerk $25 $0 (la primera gratis) $0 $25 $300
WorkOS $0 $125 $125 $250 $3.000
Auth0 $0 incl. incl. $0 $0

A este tamaño, tres de los cuatro rondan el cero. La primera conexión de Clerk es gratis (su plan cuesta $25). El nivel Free de Auth0 ahora incluye una conexión enterprise, SSO autoservicio y SCIM por $0, hasta 25.000 MAU. Gratis de verdad, y mérito por ello (la trampa viene más abajo). Nosotros, $29, todo incluido. Solo WorkOS se sale de la fila: $3.000/año ya, todo ello el impuesto al SSO-y-SCIM por conexión. Hasta ahora el impuesto se esconde en buena medida: añade un segundo cliente enterprise y míralo salir a la superficie.

Escenario 2: un puñado de clientes enterprise

~10.000 MAU, el SSO ya forma parte del proceso de venta. Tres conexiones SAML, con SCIM:

Proveedor Plan /mes SSO /mes SCIM /mes Total /mes Total /año
Authagonal $149 $0 $0 $149 $1.639
Clerk $25 $150 (1 gratis + 2×$75) $0 $175 $2.100
WorkOS $0 $375 $375 $750 $9.000
Auth0 presupuesto presupuesto presupuesto presupuesto presupuesto

Ahora somos la línea más barata de la tabla, no por recortar funciones, sino porque la base es todo lo que pagas. Cada una de esas tres conexiones es un cliente que paga, así que el medidor por conexión se acelera justo cuando el SSO empieza a hacer su trabajo. La línea SCIM aparte de WorkOS ya lo ha duplicado a $9.000/año; la nuestra sigue en $1.639, SAML y SCIM incluidos.

Escenario 3: el SSO ya es requisito básico

~50.000 MAU. Diez clientes enterprise, diez conexiones SAML, con SCIM. Ya nadie te evalúa sin ello:

Proveedor Plan /mes SSO /mes SCIM /mes Total /mes Total /año
Authagonal $339 $0 $0 $339 $3.729
Clerk $25 $675 (1 gratis + 9×$75) $0 $700 $8.400
WorkOS $0 $1.250 $1.250 $2.500 $30.000
Auth0 presupuesto presupuesto presupuesto presupuesto presupuesto

Lee la fila de arriba frente a la de abajo. La factura anual entera de Authagonal (plataforma, SAML ilimitado, SCIM, MFA, auditoría, marca, todo) es de $3.729. El impuesto al SSO-y-SCIM de WorkOS por sí solo es de $30.000: más de ocho veces nuestra factura entera, antes de que WorkOS haya cobrado un solo centavo por la plataforma en sí, y no le hace falta, porque el impuesto es la plataforma. Esa brecha de ~$26.000 al año es exactamente lo que quedaba sin mencionar cuando solo mostrábamos la línea del SSO. Los bytes son idénticos a un inicio de sesión con contraseña; el código se escribió una vez y se entregó a todos. Estarías pagando, cada año, por veinte casillas de verificación y una plataforma que podrías haber tenido por aproximadamente la octava parte del precio.

Sobre las cifras. Plan es el precio de la plataforma escalonado por MAU: lo único por lo que nosotros, y la mayoría de proveedores, cobramos legítimamente más a medida que creces. WorkOS incluye la gestión de usuarios gratis hasta 1M de MAU, así que toda su factura es el impuesto por conexión. Clerk Pro cuesta $25/mes con los MAU mayormente incluidos a estos volúmenes (posible un modesto exceso a 50k); su primera conexión SSO es gratis, luego unos $75 cada una, y SCIM viene gratis con una conexión. Auth0 cambió su modelo hace poco lo suficiente como para merecer su propio párrafo, justo debajo. Las cifras anuales de Authagonal son lo que de verdad se factura: 11× el precio mensual, porque los planes anuales regalan un mes (así que $29/mes son $319/año, no $348). Los precios anuales de la competencia son mensual × 12; si algún proveedor descuenta la facturación anual no lo hemos verificado, así que sus totales reales podrían bajar un poco, ni de lejos lo suficiente para cerrar la brecha.

Una cosa más sobre Auth0, porque su modelo es el más sutil. Auth0 ahora incluye una conexión enterprise, SSO y SCIM en su plan Free, gratis hasta 25.000 MAU. Con una sola conexión eso no cuesta nada de verdad, y mérito por ello. Pero sus niveles consumer de pago los vuelven a quitar; la nota al pie te dice que «pases a B2B» para conservar el SSO. Y B2B cuesta varias veces el precio consumer por los mismos usuarios (Essentials arranca cerca de $150/mes frente a ~$35), así que el verdadero impuesto al SSO de Auth0 no es por conexión, es la prima B2B: un múltiplo del precio base por el privilegio de venderles a empresas. Esa base se tarifica con deslizador por MAU y pasa a personalizada por encima de ~20k usuarios, razón por la cual Auth0 muestra quote en nuestras filas de 10k y 50k en lugar de una estimación interpolada.

(Otros dos proveedores miden sobre un eje distinto, así que no están en las tablas: mismo impuesto, otro sombrero. **Okta* licencia el SSO por usuario, ~$2/usuario a la carta, escalando con los humanos detrás de cada conexión en lugar del número de conexiones. Duende IdentityServer vende SAML como un complemento plano, ~$1.500/año además de una licencia de ~$5.750/año, y luego tú alojas, parcheas, escalas y construyes tú mismo la interfaz de administración, el MFA y el registro de auditoría. Una línea de aspecto barato, una factura real enorme.)*

Preguntas frecuentes

¿Por qué tengo que pagar extra por el SSO?
En la mayoría de proveedores, no pagas extra porque el SSO les cueste más. No es así. Pagas extra porque las funciones de seguridad y cumplimiento son las que menos puedes rechazar, así que son las más rentables de poner tras un muro. SAML es un estándar asentado, de veinte años; el costo marginal de habilitarlo para un inquilino más se redondea a cero.

¿Qué es el «impuesto al SSO»?
La práctica de cobrar una prima (normalmente por conexión, a menudo $75–$125/mes cada una, o forzando una subida a un nivel Enterprise) para activar el inicio de sesión único. Hay una lista pública de infractores en sso.tax. Es un impuesto por hacer lo responsable, cobrado en el momento en que menos margen tienes para decir que no.

¿Cuánto cuesta el SSO en Auth0, WorkOS y Clerk?
Según sus tarifas publicadas en junio de 2026: WorkOS cobra unos $125/mes por conexión SSO (más otros ~$125 por SCIM); Clerk te da una conexión gratis, luego unos $75/mes cada una. Auth0 es el que se sale de la norma: incluye una conexión enterprise y SCIM gratis hasta 25k MAU, luego retira el SSO de sus planes de pago de autoservicio y deriva el uso en producción o multiconexión a una vía B2B solo bajo presupuesto. Con diez clientes enterprise, WorkOS y Clerk rondan los $15k y $8,1k al año solo por SAML; Auth0 no publica una cifra para ello. Las cifras cambian, así que consulta la página de precios actual de cada proveedor.

¿Hay un nivel gratuito?
Sí. Gratis hasta 250 usuarios activos mensuales, con todas las funciones incluidas, y (a diferencia de cualquier otro nivel gratuito) conexiones SSO/SAML ilimitadas, no solo una. El tope es únicamente de escala: supera los 250 MAU y pasas a un plan de pago. Sin tarjeta de crédito, sin SLA, soporte de la comunidad.

¿Tengo que subir de plan para añadir otro cliente OAuth o aplicación?
Con nosotros no. Las aplicaciones no son un eje de pago, así que registras una por app o servicio sin cambiar de nivel. Varios proveedores sí limitan o miden los clientes (sobre todo los de máquina a máquina), que es lo que fuerza la elección entre reutilizar un cliente que no deberías y pagar por el siguiente nivel.


Se puede saber mucho de una empresa por aquello que te cobra. La mayoría de los proveedores de autenticación cobran por cosas que a ellos no les cuestan nada: un flag SAML, un flag SCIM, una fila para un cliente más. El nuestro se reduce a una sola línea: paga por lo grande que llegues a ser, no por qué interruptores se te permite activar.

Aquí tienes exactamente quién cobra por qué, proveedor por proveedor. El SSO está en nuestro lado de la mesa, sin recargo, y lo mismo vale para el undécimo cliente que no sabías que ibas a necesitar. Míralo con el precio para tus cifras.

Top comments (0)