«КтоТам» — облачный сервис аутентификации и авторизации

Хочу поделиться идеей развития инфраструктурного сервиса аутентификации КтоТам, который позволяет продуктовым (и не только) компаниям вынести вопросы авторизации на плечи внешнего подрядчика.

Большинству приложений в том или ином виде нужна аутентификация пользователей - их регистрация, учёт и контроль прав внутри приложения. Как правило, разные языки и фреймворки педлагают определённые средства для решения этого вопроса, которые нужно допиливать самому.

Одновременно, сегодня довольно широкое распространение получил протокол OAuth 2.0 и его надстройка OpenID, которые привели разные решения к устойчивому стандарту JWT-аутентификации, поэтому в значительной части современных продуктов можно отказаться от использования внутренней БД с пользователями, а вместо этого добавить в приложение внешнего поставщика.

Этого поставщика, как отдельную сущность, можно как поднять самому (есть ряд решений с открытым исходным кодом), так и вынести вовне, чтобы не заморачиваться с инфраструктурой токенов. Самыми известными примерами внешних решений являются сервисы Okta и Auth0. Безопасно, модно, молодёжно.

Соответственно, сегодня при создании нового проекта мы выбираем между самохостингом своего OAuth2-решения (а то и самонаписанием) и внешним поставщиком, который 200 строк кода превратит в 10, никогда не падает и даёт вам быть уверенным в наивысшей безопасности вашей аутентификации и авторизации.

Казалось бы, для компании, которая хочет максимально сосредоточиться на создании своего продукта, а не инфраструктуры, выбор очевиден.

И всё было прекрасно, но после известных событий американские компании сказали "фи" для российских пользователей. Ввиду этого, нашим компаниям нужно либо уходить на самохостинг, либо вообще откатываться на самописные решения. Это будет явным шагом назад и не добавит эффективности в их работу.

Ввиду этой безблагодатности я вынашиваю идею по написанию альтернативы зарубежным китам.

Немного о себе: у меня довольно обширное админское прошлое, поэтому безопасность-хостинг-кластер и прочий лексикон парней в свитерах с оленями для меня не пустой звук. Одновременно, я человек пишущий код, поэтому могу оценить важность описанного сервиса, равно как и свои возможности по созданию чего-то подобного.

Начать проект можно с простого профессионального хостинга какого-то опенсорсного решения, предоставлять сервис этого уровня не составит для меня каких-либо проблем. На мой взгляд, наиболее качественным решением сегодня является KeyCloak. Наличие зарубежного решения этой ступени https://www.cloud-iam.com говорит о том, что путь верный. В дальнейшем на этой базе уже можно подтягивать дополнительный функционал.

Однако я не совсем уверен в готовности нашего рынка к подобному решению (подобному уровню разделения труда). Сейчас я пытаюсь протестировать гипотезу об уровне спроса.

На мой взгляд, есть следующие категории потребителя условной Okta:

- Разработчики. Бесплатный тариф позволяет им свободно тестировать мелкие проекты, одновременно становясь адвокатом продукта. Денег с этой аудитории получить можно врятли, по сути эквивалент физиков.

- Мелкий бизнес. Позволяет к условному веб-магазину прикрутить авторизацию, а потом переезжать с Вордпресса на Викс без гемороя с переносом пользователей. Денег с этой аудитории можно получить разве что случайно, т.к. большая часть, вероятно, не найдёт в сервисе значимых плюсов.

- Средний бизнес. Позволяет компании, в которой уже есть разработчики, вынести на аутсорс вопросы инфраструктуры безопасности, а значит не нанимать дополнительных админов/разработчиков. На мой взгляд, самая целевая аудитория.

- Крупный бизнес. Позволяет компании где 100500 разработчиков и проектов уменьшить размеры хаоса. Меньше разного кода в репозиториях, меньше непрофильной деятельности для дорогих программистов, меньше админов для патчинга систем и т.д. Преимуществ сервиса для такой компании вроде бы даже больше, но меня смущает один момент.

В крупных компаниях гораздо более щепетильно относятся к вопросам безопасности, чем в средних. Поэтому вынос святая святых на внешнего подрядчика (тем более на какой-то стартап) может блокироваться на уровне безопасников и разговор продажников будет начинаться и заканчиваться словами "вот пройдёте сертификацию ISO/SOC/ФСТЭК тогда и поговорим".

Итого имеем: SaaS-сервис b2b, средне-крупный бизнес, продажи и лидогенерация через CTO и естественный поисковый трафик.

Пока есть лендинг: https://ktotam.io

Буду рад услышать любые ваши комментарии. А ваше мнение о необходимости/ненужности сервиса и верности/бредовости моих выкладок по ЦА будет особенно ценным.