nmk

Лекція №14 (2 години). Основи SaaS: архітектура та моделі надання послуг

План лекції

Концепція SaaS та порівняння з IaaS/PaaS
Архітектурні моделі SaaS: single-tenant та multi-tenant
Монетизація SaaS: підписки, freemium, usage-based pricing
Безпека та відповідність у SaaS
Огляд провідних SaaS-рішень у бізнесі

Перелік умовних скорочень

Списком

SaaS — Software as a Service — програмне забезпечення як послуга
PaaS — Platform as a Service — платформа як послуга
IaaS — Infrastructure as a Service — інфраструктура як послуга
CRM — Customer Relationship Management — управління відносинами з клієнтами
ERP — Enterprise Resource Planning — планування ресурсів підприємства
API — Application Programming Interface
GDPR — General Data Protection Regulation
SOC 2 — Service Organization Control 2 — стандарт безпеки SaaS
ISO — International Organization for Standardization
SSO — Single Sign-On — єдиний вхід
SAML — Security Assertion Markup Language
OIDC — OpenID Connect
IAM — Identity and Access Management
SLA — Service Level Agreement
TCO — Total Cost of Ownership

Вступ

SaaS (Software as a Service) — найпоширеніша форма хмарних послуг для кінцевих користувачів. Google Workspace, Microsoft 365, Salesforce, Slack, Zoom — усе це SaaS-продукти, якими щодня користуються мільярди людей. З архітектурної та бізнесової точки зору, побудова SaaS-продукту включає унікальні виклики: як обслуговувати тисячі клієнтів з одного коду, як монетизувати продукт через підписки, та як гарантувати безпеку даних кожного клієнта.

1. Концепція SaaS та порівняння з IaaS/PaaS

1.1 Що таке SaaS

SaaS (Software as a Service) — модель доставки програмного забезпечення, за якої провайдер розміщує застосунок у хмарі та надає доступ до нього клієнтам через Internet (зазвичай веб-браузер).

Розподіл відповідальності у SaaS:

┌────────────────────────────────────────────────────────────┐
│ Шар             │ On-Premise │  IaaS   │  PaaS   │  SaaS   │
├────────────────────────────────────────────────────────────┤
│ Дані            │  Клієнт    │ Клієнт  │ Клієнт  │ Клієнт* │
│ Застосунок      │  Клієнт    │ Клієнт  │ Клієнт  │Провайдер│
│ Рантайм         │  Клієнт    │ Клієнт  │Провайдер│Провайдер│
│ ОС              │  Клієнт    │ Клієнт  │Провайдер│Провайдер│
│ Інфраструктура  │  Клієнт    │Провайдер│Провайдер│Провайдер│
└────────────────────────────────────────────────────────────┘
* Клієнт несе відповідальність за дані, що вносить у SaaS

1.2 Переваги SaaS для клієнта

Перевага	Опис
Zero installation	Доступ через браузер — нічого не потрібно встановлювати
Automatic updates	Нові функції та патчі безпеки без участі клієнта
Pay-as-you-subscribe	Передбачувані витрати; без капітальних інвестицій
Масштабованість	Додавання нових користувачів миттєво
Доступність	24/7, з будь-якого пристрою та локації
Знижений TCO	Немає витрат на адміністрування, hardware

1.3 Виклики SaaS для провайдера

Виклик	Опис
Multi-tenancy	Ізоляція даних кількох клієнтів у спільному середовищі
Масштабованість	Архітектура для тисяч/мільйонів одночасних клієнтів
Безпека	Відповідальність за дані всіх клієнтів
SLA	Зобов’язання 99.9%+ доступності для всіх клієнтів
Кастомізація	Задовольнити різноманітні потреби клієнтів без дивергенції коду

2. Архітектурні моделі SaaS

2.1 Single-Tenant (Окремий екземпляр для кожного клієнта)

Клієнт A: [App Instance A] + [DB A] + [Infra A]
Клієнт B: [App Instance B] + [DB B] + [Infra B]
Клієнт C: [App Instance C] + [DB C] + [Infra C]

Переваги:

Повна ізоляція: витік даних одного клієнта не зачіпає інших
Кастомізація для кожного клієнта (версія, конфіг)
Дотримання вимог суверенітету даних (клієнт знає, де його дані)

Недоліки:

Висока вартість (окрема інфраструктура для кожного)
Складне управління тисячами окремих екземплярів

Застосування: Enterprise-SaaS з суворими compliance-вимогами (банки, держсектор).

2.2 Multi-Tenant Silo (Спільна платформа, але ізольовані БД)

[Спільний Application Tier]
         │
  ├── [DB: Клієнт A (окрема БД)]
  ├── [DB: Клієнт B (окрема БД)]
  └── [DB: Клієнт C (окрема БД)]

Баланс між ізоляцією даних та ефективністю. Популярний підхід для B2B SaaS.

2.3 Multi-Tenant Pool (Спільна все)

[Спільний Application Tier]
         │
[Спільна БД (рядки ідентифіковані tenant_id)]

Приклад схеми:

-- В кожній таблиці є tenant_id
SELECT * FROM orders WHERE tenant_id = 'tenant_abc' AND status = 'pending';

Row-Level Security (PostgreSQL RLS):

-- Автоматично фільтрує за tenant_id
CREATE POLICY tenant_isolation ON orders
  USING (tenant_id = current_setting('app.tenant_id'));

Переваги: максимальна ефективність ресурсів, низька вартість. Недоліки: ризик «noisy neighbor»; складніше виконати compliance-аудит.

2.4 Hybrid (Комбінований підхід)

Enterprise-клієнти → Single-Tenant або окрема DB; SMB-клієнти → Pool.

3. Монетизація SaaS

3.1 Моделі ціноутворення

Subscription (Підписка за місяць/рік):

Фіксована ціна за кількість користувачів/місць
Per-seat: $15/user/month (Slack, Notion, GitHub)
Per-tier: Starter $29/mo, Growth $99/mo, Enterprise — custom

Usage-based (Оплата за використання):

Пропорційно до споживання (API-запити, MB, транзакції)
AWS/GCP/Azure — класичний приклад
Twilio: оплата за надіслані SMS/хвилини дзвінків

Freemium:

Базовий функціонал — безкоштовно; розширений — платно
Мета: залучення нових користувачів через безкоштовний тир
Прикладів: Spotify, Slack, Zoom

Marketplace:

Реселінг через Salesforce AppExchange, AWS Marketplace, Azure Marketplace
Провайдер бере комісію (20–30%); натомість — доступ до аудиторії платформи

3.2 Метрики SaaS-бізнесу

Метрика	Опис	Формула
MRR (Monthly Recurring Revenue)	Щомісячний рекурентний дохід	Сума щомісячних підписок
ARR (Annual Recurring Revenue)	Щорічний рекурентний дохід	MRR × 12
Churn Rate	Відсоток клієнтів, що скасували підписку	Відтоки / початок місяця × 100%
LTV (Lifetime Value)	Середній дохід від одного клієнта	ARPU / Churn Rate
CAC (Customer Acquisition Cost)	Вартість залучення нового клієнта	Витрати на маркетинг / нові клієнти
LTV:CAC ratio	Ефективність бізнесу	LTV / CAC (> 3 — здоровий бізнес)

4. Безпека та відповідність у SaaS

4.1 Модель відповідальності за безпеку SaaS

SaaS-клієнт відповідає за:

Управління обліковими записами та правами доступу
Захист credentials (паролів, API-ключів)
Відповідність внутрішнім вимогам при використанні SaaS-даних

SaaS-провайдер відповідає за:

Безпеку всього стека (ОС, рантайм, БД, мережа)
Шифрування at-rest та in-transit
Контроль доступу між клієнтами (ізоляція)
Відповідність галузевим стандартам

4.2 Сертифікація та відповідність

Стандарт	Опис	Хто вимагає
SOC 2 Type II	Контроль безпеки, доступності та конфіденційності	B2B SaaS для ентерпрайзу
ISO 27001	Система управління інформаційною безпекою	Банки, страхові, державний сектор
GDPR	Захист персональних даних (ЄС)	Будь-який SaaS з клієнтами з ЄС
HIPAA	Захист медичних даних (США)	Healthcare SaaS
PCI DSS	Безпека платіжних карток	Будь-які SaaS, що обробляють платежі

4.3 Single Sign-On (SSO) та Identity Federation

Ентерпрайз-SaaS повинен підтримувати SSO для інтеграції з корпоративним Identity Provider (IdP):

SAML 2.0: XML-based; стандарт для корпоративних SSO (Okta, Active Directory)
OpenID Connect (OIDC): OAuth 2.0-based; сучасний стандарт (Google Workspace, Okta)

5. Огляд провідних SaaS-рішень

5.1 Категорії SaaS

Категорія	Лідери	Опис
Collaboration	Google Workspace, Microsoft 365, Slack	Email, документи, комунікації
CRM	Salesforce, HubSpot, Pipedrive	Управління клієнтами
ERP	SAP S/4HANA Cloud, Oracle ERP Cloud	Планування ресурсів підприємства
Dev Tools	GitHub, GitLab, Jira, Confluence	Управління кодом та проєктами
Video	Zoom, Microsoft Teams, Google Meet	Відеоконференції
Payments	Stripe, PayPal, Braintree	Обробка платежів
Data/Analytics	Snowflake, Tableau, Looker	Бізнес-аналітика
AI/ML	OpenAI API, Google Vertex AI	AI-послуги через API

5.2 Тренди: Vertical SaaS та AI-powered SaaS

Vertical SaaS — SaaS для конкретної галузі:

Veeva Systems (фармацевтика)
Toast (ресторани)
Procore (будівництво)

AI-augmented SaaS:

GitHub Copilot: AI-помічник розробника в IDE
Salesforce Einstein: AI-аналітика в CRM
Notion AI, Slack AI: AI-інтегрований у продуктивність

Висновки

SaaS надає готовий застосунок через Internet, знімаючи з клієнта відповідальність за весь стек. Клієнт відповідає лише за дані та управління доступом.
Multi-tenancy є ключовою архітектурною концепцією SaaS. Вибір між Pool, Silo та Single-Tenant визначає баланс між ізоляцією, вартістю та compliance.
Монетизаційні моделі (Per-seat, Usage-based, Freemium) мають різні профілі revenue predictability та масштабованості. Метрики LTV/CAC, MRR та Churn є ключовими для SaaS-бізнесу.
Безпека та compliance (SOC 2, GDPR, HIPAA) є критичними для B2B SaaS. SSO та підтримка SAML/OIDC є стандартними вимогами ентерпрайз-клієнтів.
AI-powered SaaS стає новим стандартом у всіх категоріях — від CRM до Dev Tools.

Джерела

Chong, F., & Carraro, G. (2006). Architecture Strategies for Catching the Long Tail. Microsoft.
AWS. (2023). SaaS on AWS: A Comprehensive Guide. https://aws.amazon.com/saas/
OpenAI. (2024). OpenAI Platform Documentation. https://platform.openai.com/docs/
Zuora. (2023). The Subscription Economy Report. https://www.zuora.com/
Bessemer Venture Partners. (2024). State of the Cloud 2024. https://www.bvp.com/atlas/state-of-the-cloud

Запитання для самоперевірки

У чому принципова різниця між SaaS та PaaS з точки зору розробника та з точки зору кінцевого користувача?
Назвіть три архітектурні моделі multi-tenancy. Які компроміси між ізоляцією та ефективністю притаманні кожній?
Що таке Row-Level Security? Як вона допомагає реалізувати Multi-Tenant Pool?
Поясніть відмінність між Subscription та Usage-based ціноутворенням. Для яких продуктів підходить кожне?
Що таке Churn Rate? Яке значення вважається допустимим для B2B SaaS?
Що таке SOC 2 Type II? Чому ентерпрайз-клієнти вимагають цей сертифікат від SaaS-провайдера?
Що таке SSO? Яку роль відіграє SAML 2.0 у корпоративній інтеграції SaaS?
Що таке Vertical SaaS? Чим він відрізняється від горизонтального SaaS (Salesforce, Slack)?
Поясніть метрику LTV:CAC ratio. Що означає значення < 1?
Які зміни вносить AI у традиційну SaaS-архітектуру?