自建 IdP 比付費方案貴，但換來的不只是省錢

2,100 台 Mac 從 Okta 遷到自建 IdP，不是為了省錢，而是為了讓身份管理邏輯和 macOS 環境對齐。

11 4月 2026 • 3 min read

為什麼 DeNA 決定離開 Okta

2,100 台 Mac 的身份管理，用 Okta 是標準答案。但 DeNA 工程團隊做了一個不標準的選擇：自己建 IdP，用 Jamf Connect 連接。

這不是因為他們討厭付費服務。在營運大規模 Mac 環境時，他們遇到了一個持續的衝突：Okta 的邏輯和 macOS 的邏輯不完全一致。

企業級 IdP 通常是為了跨平台統一身份設計的。但 Mac 環境有自己的一套——從登入流程、密碼同步、到設備信任模型，都有獨特的要求。你可以強行用 Okta，但每次都要在兩套邏輯之間做轉換層。長期下來，這個轉換層本身變成了技術債。

先講清楚：這不便宜。

開發和維護：身份系統是持續演進的。密碼策略要更新、MFA 規則要調整、API 相容性要維護。DeNA 投入的工程時間，換成 Okta 訂閱費可能更划算。
整合複雜度：Jamf Connect 只是一個客戶端。它需要和你的 IdP 後端通過標準協議（通常是 SAML 或 OAuth）對話。如果你的 IdP 實作有 bug，Jamf Connect 會無情地暴露出來。
可靠性門檻：Okta 花了十年建立的高可用架構、全球分佈、故障恢復機制，你自建 IdP 需要從零開始設計。一次宕機可能影響整個公司的 Mac 登入。

成本的另一面是自主權。

當身份系統完全在自己手裡，你可以確保密碼策略、設備信任模型、審計日誌都按照自己的安全標準執行，不需要繞過任何 SaaS 服務的限制。這對金融或高安全需求的公司很關鍵。這是資安一致性。

你也獲得了營運靈活性。假設你需要在 Mac 登入時插入一個自定義的企業政策檢查（比如檢查硬碟加密狀態），用 Okta 你只能等他們的產品路線圖。自建 IdP 的話，這週就能上線。

還有成本預測。Okta 的定價模型是按人頭計費，2,100 台 Mac 意味著持續的訂閱成本。自建 IdP 是一次性投資加運維成本，隨著規模增加，邊際成本遞減。

不是所有公司都該學 DeNA。

如果你的 Mac 數量在幾百台以下，或者身份管理不是安全的核心關注點，Okta 或其他商用解決方案仍然是更理性的選擇。維護成本會吃掉你省下來的訂閱費。

但如果 Mac 數量達到千級以上、有專門的基礎設施團隊、身份系統的自主性對業務很關鍵、願意承受短期的遷移風險，那麼自建 IdP 開始變成一個可以算賬的決定。

DeNA 的案例提醒我們：技術選型不應該只看功能清單，而要問「這套系統的邏輯和我們的環境有多大的摩擦」。有時候那個摩擦是可以忍受的，有時候它會慢慢變成一個無法迴避的問題。

我是江中喬，一位具有 TPM 與產品管理背景的 AI 系統建構者，目前專注於 AI 認知增強系統與多 Agent 協作架構的設計與實踐。