Okta:尼达姆年度增长大会纪要
开场与背景介绍
Michael Cikos:太棒了。感谢大家参加尼达姆年度增长大会。我是Mike Cikos,负责网络安全和基础设施软件领域的首席分析师。今天非常荣幸邀请到Okta的企业发展执行副总裁Monty Gray,以及投资者关系负责人David Anhalt。
在物流安排上,我将与Monty和David进行一场炉边谈话。观众如果随时有疑问,欢迎通过Q&A功能或电子邮件发送给我(mcikos@needhamco.com)。我会尽力在访谈中向两位嘉宾请教。
Monty、David,非常感谢你们的到来。
Monty Gray:不客气,谢谢你的邀请。
Michael Cikos:首先,对于那些还没机会和你们打交道的人,Monty,能不能请你简单介绍一下你在公司的职责?另外,对于刚开始关注或重新研究Okta的人,请简要概述一下Okta是什么,以及你们为客户提供的价值主张是什么?
Monty Gray:没问题。我已经在Okta工作了大约7年。作为负责企业发展的执行副总裁,我的职责涵盖了广泛的范畴:从公司战略、并购(M&A)、技术合作伙伴关系,到一些不属于特定部门的跨职能项目。这个角色很有趣,因为它让我既能看到未来几年的发展远景,也能关注当下的业务进展。
至于Okta的业务和价值主张:你可以把我们看作是目前市场上最大的独立、中立的身份识别供应商。这具体意味着什么呢?我们的核心理念是帮助组织安全地采用任何他们想要使用的技术,这也是我们的公司口号。安全是其中的核心,我们确保企业在拥抱新技术的同时保持高度的安全水平。
身份识别市场的整合趋势
Michael Cikos:先问一个宏观问题。身份识别市场存在已久,但历史上一直被划分为不同的细分领域,比如IAM(身份访问管理)、IGA(身份治理)、PAM(特权访问管理)等,安全行业总是充满了各种缩写。但一直有一种观点认为,这些“赛道”最终应该融合。过去12到18个月里,这种趋势似乎正在加速。
投资者常问的一个问题是:为什么是现在?为什么这个转折点发生在今天,而不是3年前或5年前?
Monty Gray:要回答这个问题,最好回顾一下身份识别的发展史。身份识别的第一阶段是“赋能”功能。回溯到10到15年前,当企业想要把Workday、Salesforce等核心系统部署到云端时,他们很快意识到需要一个身份系统来帮助进行权限分配和用户入驻。
随后,这迅速演变为“安全”阶段。当用户拥有了所有系统的访问权,如何确保其安全性?这时各种缩写出现了:
– IGA(身份治理): 建立正确的权限体系并进行审计报告,确保人们只拥有应有的权限,并管理员工入职、调岗到离职的全生命周期。
– PAM(特权访问管理): 锁定高价值资源(如管理功能或核心基础设施),确保用户仅在正确的时间以适当的方式访问。
现在,随着安全意识的提高和云计算的普及,客户希望化繁为简。他们不希望在多个系统间切换,因为那会导致政策漏洞和访问泄露。主要的驱动力就是“云原生”身份系统的普及。既然有了云身份系统,客户自然希望云治理和云特权管理也在同一个平台上运行。我们过去几年一直在对此进行投资,现在的确看到了实时发生的市场整合。
产品进展与销售策略
Michael Cikos:既然这些产品已经上市,你们的特权访问(PAM)和身份治理(IGA)产品近期的表现如何?目前这些产品的成熟度如何?你们的销售团队和合作伙伴表现如何?
Monty Gray:我们在之前的财报电话会议中提到过,我们的治理产品(IGA)表现极其出色。身份识别是有顺序的:先是基础的单点登录(SSO)和多因素认证(MFA),然后是治理。我们的IGA产品上市几年了,已经成为公司新产品贡献的重要组成部分,并在我们2万个存量客户中实现了良好的交叉销售。
紧随其后的是特权访问(PAM)。从成熟度和部署复杂性来看,它稍晚于治理产品,但我们对这两款产品从研发阶段转向业务实质性贡献的过程感到非常兴奋。
Michael Cikos:从销售组织结构来看,你们是如何实现交叉销售的?另外,当客户决定采用这些新产品时,他们需要做哪些准备?
Monty Gray:客户面临的复杂性主要在于他们的环境。是混合云环境还是纯云端?涉及哪些资源(应用、基础设施、数据库)?我们的部署难度其实不在于技术本身(因为我们是云原生的),而在于客户的业务准备度,比如他们对权限政策和变更管理的理解。在云端,我们的部署周期通常是以周或月来计算的,而以前的本地部署可能需要数个季度甚至数年。
关于销售团队:我们在过去几年对销售力量进行了专业化调整。我们有针对特定行业(如公共部门)或特定模式(猎人与农夫,即新客获取与存量维护)的划分。治理产品(IGA)是身份套件的自然延伸,普通的销售代表就可以胜任。而特权访问(PAM)涉及的技术细节更多(如Kubernetes集群或数据库),所以我们会安排专门的售前技术专家提供支持。
并购策略与Axiom集成
Michael Cikos:祝贺你们本周宣布了10亿美元的股票回购计划。公司表示这不会削弱你们在未来的投入能力。关于补强型并购(Tuck-in M&A),你们目前如何看待资产组合?哪些领域需要进一步投资?大规模并购是否在考虑范围内?
Monty Gray:我们并购的逻辑是围绕“覆盖范围”展开的:
1. 用户类型: 以前是知识型员工,现在扩展到临时工、一线员工(如零售或工厂)以及“代理”(Agents)。
2. 资源类型: 以前是SaaS应用,现在扩展到云基础设施、数据库、Kubernetes等。
3. 用例覆盖: 从访问、安全、治理到特权管理。
最近收购的Axiom就是一个典型的例子。它让我们获得了数据库资源覆盖能力和“即时访问”(Just-in-time)的功能,增强了我们的PAM产品线。如果有并购能加速我们的路线图,我们会去做。至于大规模并购,我们一直在观察市场,但目前并不觉得是“必须”做的。10亿美元的回购体现了我们对自身股价和资本结构灵活性的信心。
Michael Cikos:关于Axiom,这个技术集成目前进展如何?
Monty Gray:集成进展顺利,这是一个精干的团队。我们正处于技术整合阶段,预计在今年上半年(H1)初将相关功能作为PAM产品的一部分推向市场。
代理式AI(Agentic AI)与身份识别的未来
Michael Cikos:我们来谈谈大家最关注的“代理式AI”。Okta一直以“云中立”为荣。这种中立性在Agentic AI时代是如何转化成竞争优势的?
Monty Gray:Okta的核心原则是不依赖任何应用孤岛。过去十年,大型厂商(如SAP、Oracle)都有自己的身份系统,但一旦客户采用最佳组合(Best-of-breed)策略,这些孤岛就失效了,中立性就变得至关重要。Agentic AI是这一趋势的加速器。你会看到存在于特定应用栈内的代理,也有横跨多个堆栈的代理。就像十年前的知识型员工一样,代理也需要在复杂的环境中跨平台运作。你需要一个中立的身份供应商来确保代理能安全、独立地交付价值。我们已经经历过一次这种技术演变,现在的定位非常有利。
Michael Cikos:最近一份报告指出,非人类身份(代理)与人类身份的比例已经达到了82:1。作为首席信息安全官(CISO),他们现在是处于“早有预见”的状态,还是已经进入了“按下恐慌键、必须立刻锁定安全”的状态?
Monty Gray:安全意识现在非常高,而且不局限于技术行业。CISO们感到很焦虑,因为代理的规模(82:1)远超人类。他们最担心的两点:一是由于采用过快导致的安全隐患;二是“影子代理”(Shadow Agents)。所谓的影子代理,就是不受身份系统管理的代理,它们往往拥有过度权限(超级用户权限),这是一个巨大的安全漏洞。CISO们现在主动找到我们,希望确保代理在访问系统时是合规、受控且遵循最小权限原则的。他们希望走在技术应用的前面。
Michael Cikos:能否分享一个具体的客户案例?
Monty Gray:比如一家金融服务公司。他们希望让AI代理直接与客户沟通,并处理敏感的个人信息。这需要代理能够以合规的方式访问内部系统并返回反馈。这其实还是身份识别的基本原理:这个“用户”(代理)有权访问这些数据吗?能否对此进行审计和报告?在受监管的环境中,你必须有一个身份系统作为中枢。以前是靠人工处理,现在自动化了,对身份系统的依赖反而更重了。
Michael Cikos:Todd(Okta CEO)提到有超过100家现有客户已经咨询过关于AI代理的产品,这些客户涉及超过2亿美元的年度经常性收入(ARR)。关于变现(Monetization),你们目前的思路是怎样的?
Monty Gray:这里要提到我们的Auth0业务。
– Auth0 side (构建端): 针对那些正在构建AI代理的公司,我们提供“Auth0 for Agentic AI”,帮助开发者将身份识别集成到他们开发的代理中。
– Okta side (管理端): 针对企业内部,我们提供“Okta for AI Agents”,帮助企业管理和治理这些在内部运行的代理。
我们看到一个有趣的动态:很多公司两边都用。他们内部开发代理,并用Okta进行管理。这种“原生协作”非常具有吸引力。虽然现在还处于早期阶段,但我们已经在通过这两个维度进行变现。
财务表现与增长指标
Michael Cikos:David,轮到你了。最近一个季度,你们的收入增长了12%,剩余履约义务(RPO)增长了17%,当前剩余履约义务(cRPO)增长了13%。为什么这些指标之间存在差异?投资者该如何看待这些前瞻性指标?
David Anhalt:首先要明确,我们98%的收入是经常性的。收入其实是一个滞后指标,而RPO和cRPO是前瞻性的。我们一直引导投资者关注cRPO,因为它是衡量未来订阅收入的最佳窗口。目前的差异主要源于合同期限的延长。随着我们更多地转向大型企业客户,平均合同期限正从2.5年向3年靠拢(虽然公共部门通常只有1年)。此外,我们也在激励销售团队争取更长期的订单。
Michael Cikos:延长合同期限是为了通过交叉销售和锁定客户来维持价格纪律吗?
David Anhalt:是的。在Okta的合同结构中,客户无法在合同中期减量,但可以随时增购。更长的合同期让我们的客户成功团队和客户经理有更多机会引入新产品,从而增强交叉销售的动力。
Michael Cikos:关于净保留率(Net Retention),目前稳定在106%左右。有哪些杠杆可以提升这个指标?
David Anhalt:我们的毛保留率(Gross Retention)多年来一直非常稳定。净保留率受席位扩展和MAU(月活用户)的影响。虽然现在企业在增加席位上比较谨慎,但我们在新产品(治理、特权管理等)的交叉销售上非常成功。另外,我们引入了“劳动力产品套件”(Workforce Product Suites),也就是一种类似“好、更好、最好”的捆绑包。这不仅简化了销售流程,还让客户接触到了他们以前可能没意识到自己需要的工具(比如PAM),从而为未来的增销埋下伏笔。
Michael Cikos:最后关于人员增长。最近 headcount 的增加被投资者视为积极信号。这些新员工主要分布在哪里?
David Anhalt:我们吸取了4年前收购Auth0时的教训。比起人多但完不成业绩,我们更希望看到大家都能超额完成指标(进入President's Club)。目前我们的销售代表生产力极高,留存率也处于多年高位。这说明销售团队对目前的改革非常认同。我们会根据市场反馈,继续有条不紊地增加销售容量。
Michael Cikos:非常感谢。今天的谈话到此结束。David、Monty,感谢你们的分享。