跳转至

[CS 153] 身份基础设施的构建与扩展 — Okta CEO Todd McKinnon

LaTeX 源码 · 备用 PDF · 观看视频

字段 内容
作者/整理 基于 Stanford CS 153 课程内容整理
来源 Stanford CS 153
日期 2025

[CS 153] 身份基础设施的构建与扩展 — Okta CEO Todd McKinnon

引言:Todd McKinnon 与 Okta 的故事

本讲是 Stanford CS 153: Infrastructure at Scale 课程的第九讲,邀请了 Okta 的联合创始人兼 CEO Todd McKinnon 进行一场 fireside chat。McKinnon 于 2009 年创立 Okta,此前在 Salesforce 担任工程副总裁(SVP of Engineering),管理约 500 人的工程团队。他以自身经历分享了从工程师到 CEO 的转型、身份基础设施公司的创建与扩展、安全事件的危机管理,以及对 AI Agent 时代身份管理的前瞻性思考。

Okta 公司背景

Okta 是全球领先的身份与访问管理(Identity and Access Management, IAM)平台。截至演讲时,每月有超过 10 亿人通过 Okta 登录各类服务,产生约 100 亿次身份验证请求。公司于 2017 年上市,2021 年以约 65 亿美元收购 Auth0,进一步巩固其在开发者身份管理领域的地位。

本章小结

本讲以对话形式展开,McKinnon 从一个工程师创业者的视角,深入探讨了创业决策、领导力挑战、安全危机应对、文化建设以及 AI 时代身份管理的未来。

创业动机:云计算浪潮与身份管理机遇

技术转型中的创业窗口

McKinnon 指出,成功创业的关键在于识别技术转型期(technological transformation)中的机会窗口。2009 年前后,云计算和 SaaS 应用正在快速崛起,企业从本地部署的数据中心向云端迁移是一个巨大的结构性变革。

创业时机的选择

McKinnon 强调:“你不能直接在大公司的领地上与它们正面竞争。必须有一个变革(change),有一个转型(transition)。”这种变革为创业公司提供了颠覆既有格局的机会------正如当下的 AI 浪潮一样,大量市场即将被重塑。

McKinnon 和联合创始人 Freddy Kerrest(Stanford 校友)当时都在 Salesforce 工作,他们敏锐地意识到云计算的转型将催生对 IT 基础设施工具的巨大需求。最初他们考虑过构建一个云应用监控系统(monitoring system),但市场反馈平淡------客户认为“我们用云就是因为不想操心这些事”。

从 Monitoring 到 Identity 的转向

随后,一个更简单但更具商业潜力的想法浮出水面:帮助企业员工轻松登录各种云应用。当时 Dropbox、Gmail 等云服务各自拥有独立的登录系统,对企业 IT 部门来说管理成本极高。McKinnon 回忆道,客户对这个方案的反馈是“我愿意为此付费”。

创业的两个必要条件

McKinnon 总结了创业成功需要同时满足的两个条件:

  1. 市场天花板足够高------所做的事情能够发展成一家大公司
  2. 短期能产生收入------必须有人今天就愿意付费,不能等 10 年后理论上变大

很多创业公司失败的原因是只满足了其中一个条件。身份管理恰好同时满足这两点:SSO(Single Sign-On)是企业立刻愿意付费的功能,而底层的身份基础设施一旦建成,可以扩展出大量附加业务。

基础设施的"冰山效应"

McKinnon 指出,虽然 SSO 看起来只是一个“战术性用例”(tactical use case),但要把它做好,必须构建高度可靠、高度可扩展的底层基础设施。一旦这些基础设施到位,就可以在其上构建更多的服务------多因素认证(MFA)、用户生命周期管理、API 访问控制等。

从 SSO 到身份平台

Okta 的发展路径是经典的“楔子策略”(wedge strategy):从一个具体、可付费的功能(SSO)切入,逐步构建完整的身份基础设施平台。这种策略要求创始人具备足够的行业洞察力,能够看到初始产品背后的长期扩展空间。

本章小结

创业的核心在于在技术转型期找到既有短期商业价值、又有长期平台潜力的切入点。Okta 的成功源于对云计算转型中身份管理痛点的精准识别,以及“简单入口、深厚基础设施”的产品策略。

从工程师到 CEO:角色转型的挑战

放弃舒适区的勇气

McKinnon 在创办 Okta 时已 36 岁,在 Salesforce 担任 SVP of Engineering,管理 500 人团队,享有优厚薪酬和社会地位。他坦承,创业过程中最困难的部分不是技术挑战,而是离开舒适区

McKinnon 非常坦诚地分享了一个通常不被提及的动机:“我就是想当老板(I just wanted to be the boss)。”他在多位优秀的上级手下工作过,但内心深处认为自己也能做到。

创业者年龄与机会成本

McKinnon 指出,之所以年长创业者相对较少,并非因为他们缺乏能力或经验,而是因为他们已经拥有成功的职业生涯,放弃这些的机会成本太高。相比之下,年轻人“没有什么可失去的(got nothing to lose)”。但不同的路径都可以通向成功------McKinnon 就是在 36 岁、有新生儿、金融危机刚过去的情况下创业的。

说服家人:创业中被忽视的一环

McKinnon 将说服妻子 Roxanne 描述为创业中最难的事情之一。他的妻子更加风险厌恶(risk-averse),在她的观念中,“你要么在一家大家听说过的公司工作,要么就是无业游民------没有'创业者'这个中间选项”。当时家中还有一个六个月大的婴儿,加上 2008 年金融危机的阴影,说服过程非常艰难。

面对低概率成功的心理调适

McKinnon 分享了创业带来的根本性心理转变:在此之前的人生中------无论是高中、大学还是工作------只要努力、聪明、善于合作,成功的概率就很高。但创业完全不同:

学会在不确信中相信

McKinnon 指出:“你必须学会在自己都不相信的时候去相信(you got to learn how to believe even when you don't believe)。”作为一个工程师出身的创始人,他会理性地计算概率,知道成功的可能性很低。但作为 CEO,他必须能够激励团队、保持积极、持续前进------即使在内心深处对结果并不确定。

本章小结

从工程师到 CEO 的转型,核心挑战不在于技术能力,而在于心理调适和领导力的构建。创业者需要放弃舒适区、承受不确定性、并学会在低概率成功的现实中保持前行的信念和感染力。

CEO 的孤独与董事会管理

CEO 角色的孤独本质

McKinnon 坦言 CEO 是一个非常孤独的角色。你需要对董事会展示不同于对员工的面貌------在员工面前你是坚定的领导者,在董事会面前你需要展示战略方向,但内心的不确定性无处倾诉。

与董事会互动的早期错误

McKinnon 分享了一个宝贵的教训:在创业初期,他试图将董事会当作“共同探索不确定环境的伙伴”,以头脑风暴的方式与他们互动。

不要向董事会展示犹豫

McKinnon 回忆:“如果你在董事会上说'我不确定该怎么办,你们觉得呢?我们试试几个方向,但不确定能不能行'------这就是红旗。”投资人知道创业本身概率很低,他们需要看到的是方向感信心------“这就是我们在做的,这就是我们为什么要做,我们在前进,如果不行我们会告诉你。”

当 McKinnon 调整了与董事会的沟通方式------从探索式转为决断式------效果立竿见影。董事会的反应是:“好的,我们有一个领导者了,他有信心,他不是在抓稻草。”

这一原则在公司发展各阶段的适用性

McKinnon 强调,这种领导力原则不仅适用于初创期,在公司成为上市公司后同样重要。面对公开市场投资者时,CEO 同样需要展示强有力的方向感(strong direction)、愿景(visionary)和信心(confidence)。

领导力的一致性

从早期与 VC 的互动,到上市公司与公开市场投资者的沟通,CEO 展示方向感和信心的核心原则是一致的。变化的是规模和利益相关者的复杂度,不变的是领导者必须成为确定性的来源。

本章小结

CEO 的孤独是角色的内在属性,不可回避。关键的管理技巧是:对董事会不要展示犹豫,而要展示清晰的方向和执行计划。这一原则贯穿公司从初创到上市的全生命周期。

安全事件:Okta 被黑客攻击的教训

网络战争的真实性

McKinnon 直言:“Okta 被黑了,而且被黑了两次。”他将当今的网络安全形势描述为一场真实的战争(a real war)。攻击者的动机多种多样:

  • 经济利益------窃取数据、勒索软件(ransomware)、窃取加密货币
  • 国家利益------国家层面的信息资产控制
  • 声誉博弈------在黑客社区中提升声望、损害大公司声誉

Okta 的规模意味着更大的攻击面

每月 10 亿人通过 Okta 登录,100 亿次身份验证------这样的规模使 Okta 成为攻击者的高价值目标。McKinnon 坦承:“因为这样的规模,攻击和入侵我们的动机非常强烈。”

从 Enablement 到 Security-First 的文化转型

McKinnon 深刻反思了 Okta 的发展路径:公司起步时的核心价值主张是赋能(enablement)------帮助企业拥抱云计算,强调快速部署、易用性。虽然 SSO 和 MFA 本身就是安全功能,但公司整体的风险模型(risk model)并没有跟上其规模和重要性的增长。

文化转型的滞后性

McKinnon 坦承:“我们本应在五年前就改变风险模型,本应在七年前就改变。”公司从一个以“enablement”为核心文化的组织,转型为一个“security-first”的组织,这个转变来得太晚。例如,早期允许销售人员使用个人手机------这在“快速增长”的文化下是合理的,但在安全视角下是不可接受的风险(钓鱼、恶意软件)。

危机应对:透明度与领导力

面对安全事件,McKinnon 描述了一种常见的本能反应:隐藏。“不说话,不露面,把头埋进沙子里。”但他强调,正确的做法恰恰相反:

危机管理的核心原则

McKinnon 总结了安全事件后的危机应对框架:

  1. 主动面对------出现在电视新闻上,直面问题
  2. 承认问题------不做 snow job(粉饰太平),不说“没问题”
  3. 承担责任------明确表示对事件负责
  4. 阐述计划------清晰地传达改进方案
  5. 展示信心------让投资者和客户相信公司有能力解决问题

将危机转化为竞争优势

当被问及声誉是否恢复时,McKinnon 给出了一个微妙但深刻的回答:“声誉没有'恢复',但它改变了。”他将 Okta 的目标重新定义为:成为经历了考验、因此更加坚固的解决方案。

McKinnon 用了一个比喻:“你愿意坐一架全新的飞机,还是一架自 90 年代就在飞行、有着出色安全记录的波音 777?”通过分享经验教训、展示改进措施、用自己的产品武装自己,Okta 试图将安全事件转化为“久经考验的可靠性”这一品牌叙事。

本章小结

安全事件是身份基础设施公司面临的存亡级挑战。Okta 的经验表明:事件本身固然痛苦,但更重要的是事后的文化转型、危机沟通策略,以及将教训转化为竞争优势的能力。

规模化文化建设

文化的本质:简单而非复杂

McKinnon 在回答“如何在规模化过程中管理文化”时,给出了一个极其简洁的框架:

McKinnon 的文化公式

文化 = 领导者的行为 + 他们看重什么 + 他们奖励什么 + 谁得到晋升 + 让人在公司成功的反馈循环。就这些。“文化不复杂------如果你需要 22 分钟来解释为什么文化出了问题,那问题本身可能就被过度复杂化了。”

Tone from the Top:身体力行

McKinnon 强调文化建设的核心是tone from the top------领导者的行动比言语更重要。具体到 Okta 的安全文化转型:

  • McKinnon 作为创始人兼 CEO,每周在全体会议上强调安全是第一优先级
  • 他利用自己作为 Founder CEO 长期任职的独特身份来增强信息的可信度
  • 关键是言行一致------不能这周说“安全第一”,下周就推一个绕过安全流程的新产品

Talk is Cheap

McKinnon 警告:“说的便宜(talk is cheap)。你可以在周一说安全第一,然后周二就推一个安全不是第一的新产品创意。你必须 walk the walk------不仅自己以身作则,还要提拔那些同样体现这些价值观的人。”

大规模文化的"魔力"

McKinnon 指出,虽然这门课叫“Infrastructure at Scale”,但如果能做到“Culture at Scale”(规模化的文化),那才是真正的魔力。文化之所以难以规模化,是因为它难以量化和衡量------不像代码可以测试、基础设施可以监控。但一旦做到了,它会成为公司最强大的竞争壁垒。

本章小结

文化不是抽象的口号,而是领导者每天的行为选择。规模化文化建设的关键在于:简单明确的价值观 + 领导者的身体力行 + 一致的晋升和奖励机制。

网络安全的工程视角

攻击的简单性与防御的复杂性

McKinnon 分享了一个反直觉的洞察:大多数网络攻击在技术层面上是相当简单的。攻击者并不是在破解密码学算法,而是在利用基本的漏洞------未打补丁的系统、未托管的设备、暴露的 API token、钓鱼攻击获取的凭证。

安全的核心挑战:全面性(Comprehensiveness)

McKinnon 强调:“如果你在为一个大型组织控制安全,你的主要挑战是全面性,而不是技术复杂度(sophistication)。”一个拥有 75,000 名员工的金融服务公司------每个人有不同的电脑、手机、办公地点------安全的难点在于确保所有身份、所有账户、所有设备都被覆盖。

信息共享的法律障碍

McKinnon 提到了网络安全领域一个不太被外界了解的问题:法律责任严重阻碍了信息共享。当公司遭遇安全事件时,法务团队的第一反应是“不要和任何人说话”------因为所有的沟通记录在未来的诉讼中都可能被用作证据。

法律壁垒与安全协作的矛盾

这种法律驱动的沉默对攻击者极为有利------如果受害公司不分享攻击手法和入侵指标(Indicators of Compromise),其他公司就无法提前防范类似攻击。McKinnon 指出,这是“一个没有亲身经历几次就不会预料到的现实世界问题”。

Okta 的安全策略:简化与标准化

面对这些挑战,Okta 的安全策略聚焦于两个关键词:简化(simplicity)和标准化(standardization)。Okta 与 CrowdStrike、Palo Alto Networks 等网络安全公司合作,进行威胁情报(threat intelligence)共享,同时致力于让安全配置尽可能自动化和统一。

Okta 的竞争优势在于其“中立性”------不像微软既卖身份服务又卖 Office 和 Azure,Okta 只专注于身份管理,因此可以与所有平台和设备深度集成(Mac、Linux、Chromebook 等),为客户提供真正跨平台的安全覆盖。

本章小结

网络安全的真正挑战不在于对抗高深的攻击技术,而在于实现全面覆盖和持续管理。法律责任带来的信息共享障碍是一个常被忽视的系统性问题。身份基础设施提供商的核心价值在于通过简化和标准化来降低安全的实施复杂度。

AI Agent 时代的身份管理

Agent 并非新概念

McKinnon 首先给出了一个清醒的视角:Agent 这个概念并不新鲜。他向学生们提问“谁知道什么是 daemon?”------Linux 系统中的后台服务进程就是最早的“Agent”。Slack 中的 Bot 也是 Agent。这些“非人类身份”已经存在了 40 多年。

从 Daemon 到 AI Agent 的演进

  • 传统 Daemon------后台服务进程,监听网络请求,执行预定义任务
  • Bot------如 Slack Bot,可响应指令执行自动化操作
  • AI Agent------基于 LLM 的对话式交互,能够理解自然语言并执行复杂任务

关键突破在于:LLM 提供了对话式接口(conversational interface),使得 Agent 的交互变得前所未有地自然。同时,Agent 执行的实际工作可以通过 LLM 进行训练------“这是一个魔法组合(magic combination)”。

Agent 安全:被忽视的关键问题

McKinnon 指出,当前 AI Agent 生态中最大的隐患是安全性被严重忽视。他以 LangChain 等 Agent 框架为例:

Agent 框架中的安全隐患

McKinnon 警告:“当你构建 Agent 时,它们需要登录各种服务------日历、邮件等。这些 Agent 会获取 API token,然后可能只是把 token 放在内存里或者文件系统上。如果那台机器被入侵了,黑客就拥有了所有的 token。”这不是什么高深的攻击------就是基本的凭证管理失败。

这个问题本质上是云计算早期面临的安全问题的重演------新技术带来了巨大的生产力提升,但安全基础设施还没有跟上。McKinnon 认为这正是 Okta 的机会:为 AI Agent 提供安全的身份管理和凭证管理。

本章小结

AI Agent 是一个真实且重大的技术趋势,其本质是“40 年前就存在的服务账户和后台进程 + LLM 带来的对话式接口”。当前 Agent 框架中的安全漏洞是一个紧迫的问题,也是身份基础设施提供商的巨大机会。

并购策略:Auth0 收购的经验

基础设施分离的决策

Okta 于 2021 年以约 65 亿美元收购了 Auth0,这是身份管理领域最大的并购之一。McKinnon 透露了一个重要的技术决策:两家公司的基础设施完全没有合并,保持了独立运行。

整合主要集中在商业层面------销售、市场营销、客户支持和客户成功团队进行了合并。McKinnon 解释了保持基础设施分离的逻辑:

并购中基础设施整合的权衡

合并基础设施的收益:

  • 降低计算和安全方面的成本
  • 实现基础设施投资的杠杆效应

保持分离的收益:

  • 避免拖慢各自团队的创新速度
  • 减少整合过程中的技术风险

McKinnon 的判断是:“创新速度的下降不值得那些成本节省。”这一决策可能不会永远正确,但在当前阶段是合理的。

并购的教训

McKinnon 从 Auth0 收购中总结了两个关键教训:

  1. 投资者对 M&A 比预期更加怀疑------他们非常清楚大多数并购并不成功,充满了难以预见的挑战和风险
  2. 商业整合步伐过快------收购第一年恰逢零利率经济环境,业务增长迅猛,团队因此加速了整合步伐。但回看来,部分增长是宏观环境驱动的,过快的整合带来了不必要的复杂性

并购整合的节奏

McKinnon 的反思是:如果可以重来,他会“让事情保持更长时间的独立(keep things less integrated longer)”。这一洞察适用于所有大型技术并购------在不确定整合收益是否真实可持续之前,保持独立运营可能是更安全的选择。

本章小结

Okta 收购 Auth0 后选择保持基础设施独立、整合商业团队的策略,体现了“速度优先于成本”的判断。核心教训是:不要在宏观环境好的时候过度加速整合,因为环境可能随时改变。

创业者的长期主义

坚持而不厌倦

McKinnon 认为成功创业者最重要的特质之一是不会感到厌倦(they don't get bored)。创业不是拍电影------不是做一年就转向下一个项目。大多数公司的建设是一场漫长的磨炼(grind),需要创业者年复一年地持续投入。

创业如同长期关系

McKinnon 将创业比作一段感情关系:“开始时火花四溅,一切都很美好。然后它仍然很好,但你必须持续投入、持续努力、不能放弃。”如果你容易厌倦、喜欢频繁切换项目,McKinnon 建议考虑其他行业------比如咨询或好莱坞电影制作,那些可以一个项目接一个项目地做。

早期的至暗时刻

当被问及是否想过放弃时,McKinnon 回答:“我从来没有认真考虑过辞职。”虽然经历过安全事件带来的巨大压力,但他认为最困难的时期是创业初期------“我已经拼了四年,辞掉了工作,而这大概率不会成功”------那种存在性的不确定感才是最难熬的。

随着公司规模的增长,虽然风险和挑战依然存在,但公司“不再那么虚幻了(less ephemeral)”,这种基础性的稳定感让后续的危机更容易承受。

为早期客户建立信任

McKinnon 分享了一个关于信任(trust)的洞察:Okta 销售的是关键基础设施------企业的“前门”(front door)。客户必须相信这个系统是安全的、不会宕机的。在早期,McKinnon 的 Salesforce 工程背景成为了关键的信任资产。

创始人背景与市场选择的匹配

McKinnon 在选择创业方向时刻意选择了一个他的背景能提供信任优势的领域。他可以直接告诉早期客户:“我在 Salesforce 建过这种系统,我知道怎么做,你可以信任我。”这种软技能(建立信任)和硬技能(技术背景)的结合,对于销售关键基础设施至关重要。

本章小结

创业是一场漫长的磨炼,成功需要不厌倦的韧性和持续投入。早期最困难,但随着公司根基的稳固,创始人会获得更多的心理支撑。选择创业方向时,应考虑自身背景能否为建立客户信任提供独特优势。

对 AI 未来的冷静思考

iPhone 与 Mr. T 的类比

McKinnon 用一个生动的类比来描述他对当前 AI 发展阶段的判断。在 iPhone 刚推出应用商店时,大部分应用都很“愚蠢”------比如一个 Mr. T 的应用(一个电视角色,会说搞笑的话)。人们知道智能手机会很重要,但真正改变世界的应用------比如 Uber------还没有出现。

AI 的"Mr. T 阶段"

McKinnon 认为当前的 AI 正处于类似的阶段:“我们知道它会很大,我们有这些有趣的应用,但我们还没有找到 AI 时代的 Uber------那个让人感叹'天哪,我居然可以这样做'的杀手级应用。”这不是对 AI 的悲观------而是对其发展时间线的清醒判断。

对某些 AI 趋势的怀疑

McKinnon 在谈到 AI 时表达了一些审慎的怀疑态度。他坦言,对于某些当时非常热门的 AI 趋势和公告,他认为可能“在六个月内就不再被提起”。虽然他承认 AI 模型训练和基础设施投资是“真正的大事”,但认为部分热潮可能会消退。

技术炒作周期中的理性判断

McKinnon 的态度体现了一个经历过多个技术周期的创业者的成熟视角。他既不是 AI 的唱衰者(“我不是 doom and gloom 的人”),也不盲目追逐热点。他认为 AI 主要会带来积极影响(“mostly it's going to be amazing”),但需要理性管理风险和预期。

大公司拥抱 AI 的惯性挑战

McKinnon 指出,对于像 Okta 这样拥有 16 年历史、6000 名员工的公司,AI 转型面临的最大挑战不是技术,而是组织惯性(inertia)。“我们一直是这样做的”------客服团队这样做、业务运营团队那样做------即使 AI 可能让某些流程完全不再需要,改变习惯仍然非常困难。

本章小结

McKinnon 对 AI 持“谨慎乐观”态度:承认其革命性潜力,但认为杀手级应用尚未出现。对大公司而言,AI 转型的最大障碍是组织惯性而非技术能力。

总结与延伸

本讲通过与 Okta CEO Todd McKinnon 的深入对话,涵盖了创业、领导力、安全工程和 AI 趋势等多个维度。以下是核心要点:

  1. 创业时机:在技术转型期(云计算、AI)创业,利用大公司的惯性劣势建立竞争优势
  2. 产品策略:选择既有短期商业价值(客户愿意立即付费)又有长期平台潜力(可扩展为更大业务)的切入点
  3. 领导力:CEO 必须学会“在不确信时相信”,对董事会和团队展示方向感和信心,而非犹豫和探索
  4. 安全文化:身份基础设施公司必须从“赋能优先”进化为“安全优先”,且文化转型必须由 CEO 自上而下推动
  5. 危机管理:安全事件后要主动透明,承认问题、阐述计划,将危机转化为“久经考验的可靠性”
  6. 安全工程:网络安全的核心挑战是全面性(comprehensiveness),而非应对高深攻击
  7. Agent 安全:AI Agent 时代的身份和凭证管理是一个紧迫且被忽视的问题
  8. 并购:保持基础设施独立、谨慎控制整合节奏,不要被短期宏观利好冲昏头脑
  9. 长期主义:创业是漫长的磨炼,最重要的特质是不厌倦、持续投入
  10. AI 前瞻:当前 AI 处于“Mr. T 应用”阶段,杀手级应用尚未出现,但革命性潜力毋庸置疑

拓展阅读

  • Okta 官方网站https://www.okta.com/ --- 了解 Okta 的产品线和身份管理解决方案
  • Okta 安全事件回顾:Okta 官方博客上发布的安全事件报告和改进措施
  • Auth0 开发者文档https://auth0.com/docs --- 了解面向开发者的身份管理实践
  • NIST 零信任架构:SP 800-207,美国国家标准与技术研究院关于零信任安全模型的指南
  • OAuth 2.0 和 OpenID Connect:现代身份验证和授权协议的核心标准
  • AI Agent 安全:关注 OWASP 关于 LLM 应用安全的 Top 10 风险列表