Elido
Wählen Sie den Blickwinkel, der zu Ihrem Team passt
Für Enterprise IT

Der Shortener, den Ihr Sicherheitsteam nicht ablehnen wird.

Sie messen Compliance-Haltung, Vorfallsreaktionszeit und die Anzahl der Lieferantenfragebögen, die Sie überleben können. Elido ist der Shortener, den Ihr Sicherheitsteam nicht ablehnen wird.

Vertrieb kontaktierenTrust-Bericht lesen
  • SAML SSO + SCIM über unseren SSO-Anbieter oder nativ - Okta, Entra ID, Google
  • EU-Region als Standard mit Workspace-seitigem Region-Pin
  • SOC-2-Typ-II-Audit läuft (Ziel H2 2026)
  • ISO 27001 erreicht; Zertifikat unter NDA verfügbar
Workspace residency
EU region · default
EU NorthEU replicaEU regionprimary · defaultEU WestcomputeUS Eastopt-in · Business+Asia-Pacificopt-in · APAC
Default + EU residency
Opt-in (Business+, irreversible)
SAML + OIDC
SSO-Protokoll
WorkOS
SSO/SCIM-Anbieter
7 Jahre
Audit-Aufbewahrung (Business)
ISO 27001
Aktuelle Zertifizierung

Wie SSO funktioniert

Okta oder Entra ID → SAML → Elido. Zwölf Minuten vom Kaltstart.

SSO läuft über WorkOS, das die Protokollunterschiede zwischen SAML 2.0 und OIDC und die jeweiligen IdP-Eigenheiten normalisiert, die niemand selbst pflegen möchte. Ihr Team konfiguriert die SAML-App einmalig im eigenen IdP; Elido ordnet Nutzer per E-Mail-Domain-zu-Connection-Mapping zu.

  1. Step 1

    User signs in

    okta.com / login.microsoftonline.com

    IdP authenticates against the corporate directory.

  2. Step 2

    SAML assertion

    WorkOS connection · domain-routed

    Email-domain → IdP connection mapping, no per-user setup.

  3. Step 3

    Elido session

    edge auth · 200 OK

    Session token issued, scope derived from group claims.

  4. Step 4

    Workspace landing

    app.elido.app/w/your-org

    Role + IP allowlist evaluated; audit row written.

SCIM-Provisioning

Nutzer in Okta hinzufügen. In fünf Minuten in Elido.

Die SCIM-2.0-Verzeichnissynchronisation provisioniert und deprovisioniert Nutzer automatisch. Group-Claim-Mapping wandelt IdP-Gruppen in Elido-Workspace-Rollen um - eine Beförderung im HR-System überträgt sich ohne Ticket auf Elido. Ausscheidende Mitarbeiter werden innerhalb des SCIM-Sync-Zyklus deprovisioniert, aktive Sitzungen werden widerrufen und die Aktion protokolliert.

  • Auto-Provisioning bei Gruppenhinzufügung
    IdP-Gruppenmitgliedschaft → Workspace-Einladung, kein manueller Schritt
  • Group-Claim-Rollen-Mapping
    engineering-eu → editor, finance → viewer, konfigurierbar
  • Deprovisioning = Session-Widerruf
    DELETE-Event invalidiert Tokens; API-Keys per Policy widerrufen
  • Jedes SCIM-Event wird auditiert
    Append-only-Log mit Akteur, Vorher/Nachher, Quell-IP
SCIM & SSO Deep-Dive →
SCIM directory sync
workspace · acme-eu
Live · WorkOS
  1. 1
    User added in Okta

    Joins the elido-eu-engineering directory group as part of HR onboarding.

    okta.comPOST /scim/v2/Users
    T+75s
  2. 2
    WorkOS pushes to Elido

    SCIM sync cycle picks up the create event; no manual invite needed.

    workos.com → elido.appscim.create user@org
    T+150s
  3. 3
    Elido provisions the user

    Account created, workspace invitation surfaced in pending state.

    api-coreuser.id = usr_01HK…
    T+225s
  4. 4
    Group claim → role

    engineering → editor; billing-admins → admin. Mapping is configurable.

    policyrole: editor (workspace.eu)
    T+300s
  5. Deprovision is the same flow in reverse - DELETE event revokes sessions and rotates affected API keys per policy.

Autorisierungsmodell

Cedar-basiertes RBAC, keine feste Drei-Stufen-Hierarchie.

Die Matrix unten zeigt die Out-of-the-box-Ansicht. Benutzerdefinierte Rollen erlauben Ausdrücke wie „Links nur auf dieser Domain erstellen“ oder „Nur-Lesen auf Analytics, kein Billing-Zugriff“ als Cedar-Policies. Rollen sind per Workspace gescoped, sodass verschiedene Geschäftsbereiche unterschiedliche Rollenstrukturen betreiben können.

Built-in role permissions
Cedar policies · custom roles override
PermissionOwnerAdminMemberRead-onlyAPI key
Create / edit links
Manage custom domains
View analytics
Manage billing
Invite & manage members
Rotate API keys
Allowed
Scoped - set via Cedar policy
Denied
Policy eval at request time, not at loginaudit · every change
Sicherheitsmodell ansehen →Anleitung benutzerdefinierte Rollen → Docs

Was Enterprise IT tatsächlich bekommt

  • SAML SSO + SCIM über unseren SSO-Anbieter oder nativ - Okta, Entra ID, Google
  • EU-Region als Standard mit Workspace-seitigem Region-Pin
  • SOC-2-Typ-II-Audit läuft (Ziel H2 2026)
  • ISO 27001 erreicht; Zertifikat unter NDA verfügbar
  • BAA auf Business+ für HIPAA-nahe Workloads
  • Dedizierte Edge-POPs für Enterprise-Verträge verfügbar

Was die Enterprise-IT wirklich von einem Shortener benötigt

Shadow-IT-Shortener scheitern bei der Beschaffung an drei Fragen: Wer hat Zugriff, wo liegen die Daten und können wir sie auditieren? Die folgenden Funktionen schließen genau diese Lücken.

Identität und Provisionierung
01

SAML SSO via WorkOS mit SCIM-Benutzerbereitstellung

SSO erfolgt über WorkOS, das SAML 2.0 und OIDC gegen alle gängigen IdPs unterstützt: Okta, Azure AD / Entra ID, Google Workspace, OneLogin, Ping und andere. Das Mapping von E-Mail-Domänen auf Verbindungen sorgt dafür, dass Benutzer ohne Konfiguration auf ihrer Seite zum richtigen IdP geleitet werden. Die SCIM-Verzeichnissynchronisierung provisioniert und deprovisioniert Benutzer automatisch: Neue Mitarbeiter, die der entsprechenden IdP-Gruppe hinzugefügt werden, erhalten innerhalb weniger Minuten eine Elido-Workspace-Einladung; ausscheidende Mitarbeiter werden innerhalb des SCIM-Sync-Zyklus deprovisioniert, ohne dass ein manuelles Ticket erforderlich ist. Gruppen aus dem IdP werden auf Elido-Workspace-Rollen abgebildet; Sie konfigurieren das Mapping einmalig. Rollenänderungen im IdP werden automatisch übernommen. Dies ist eine von WorkOS verwaltete Integration – wir pflegen keinen Connector pro IdP; WorkOS normalisiert die Protokolle und Elido nutzt einen einzigen SCIM-Endpunkt.

Autorisierungsmodell
02

Benutzerdefinierte Rollen mit Cedar-basiertem RBAC - über Owner/Admin/Member hinaus

Das Rollenmodell von Elido basiert auf Cedar, was bedeutet, dass Berechtigungen Richtlinienausdrücke sind, die zum Zeitpunkt der Anfrage ausgewertet werden, anstatt einer festen dreistufigen Hierarchie zu folgen. Standardmäßig erhalten Sie Owner, Admin, Member und Viewer. Benutzerdefinierte Rollen ermöglichen es Ihnen, Richtlinien zu definieren wie 'kann Links auf dieser Domain erstellen, aber keine Routing-Regeln löschen oder ändern' oder 'reiner Lesezugriff auf Analytics, aber kein Zugriff auf Abrechnungseinstellungen'. Rollen werden pro Workspace zugewiesen, nicht global – ein Unternehmen mit mehreren Workspaces kann für jede Geschäftseinheit unterschiedliche Rollenstrukturen haben. IP-Allowlisten (CIDR-Bereiche) werden zusammen mit Rollenprüfungen ausgewertet: Einem Benutzer mit der richtigen Rolle, aber außerhalb des zulässigen IP-Bereichs, wird der Zugriff verweigert. Dies ist relevant für hybride Teams, bei denen externe Mitarbeiter auf andere Untergruppen zugreifen als festangestellte Mitarbeiter.

Audit und SIEM
03

Append-only Audit-Log, das in Echtzeit an Ihr SIEM gestreamt wird

Jede Workspace-Aktion – Link-Erstellung, Aktualisierung, Löschung; Einstellungsänderungen; Mitgliedereinladungen und Rollenänderungen; API-Key-Ausstellung und -Rotation; Custom-Domain-Beanspruchung; Exporte – landet in einem Append-only Audit-Log mit Akteur, Zeitstempel, Quell-IP, Vorher/Nachher-Differenz und einem strukturierten Ereignistyp. Die Logs werden bei Pro für 90 Tage und bei Business für 7 Jahre aufbewahrt. Der SIEM-Firehose streamt Ereignisse über Webhooks (HMAC-SHA256 signiert) in Echtzeit an Splunk, Datadog, ELK oder jeden anderen HTTP-Empfänger. Das Log kann im Dashboard abgefragt, aber nicht bearbeitet werden; die Append-only-Bedingung wird auf Datenbankebene erzwungen. Compliance-Status: Das Audit-Log ist der primäre Nachweis für Zugriffskontrollprüfungen, Change Management und Incident Response. Ein Meta-Ereignis 'Aufbewahrungsbereinigung' wird protokolliert, wenn alte Einträge gelöscht werden, sodass die Lücke selbst prüfbar ist.

Data Governance
04

EU-Residenz, IP-Allowlist und BigQuery-Export für Data Governance Anforderungen

Workspace-Daten werden standardmäßig der EU-Region zugeordnet und verlassen diese Region nie, es sei denn, ein Admin legt bei der Erstellung des Workspaces explizit US East oder Asien-Pazifik fest – eine unumkehrbare Entscheidung. Es gibt keine regionsübergreifende Replikation für heiße Daten. Die IP-Allowlist (CIDR) bei Business beschränkt den Workspace-Zugriff auf bekannte Egress-Bereiche – nützlich für Teams in einem VPN oder mit festen Büro-IPs. Der BigQuery-Export sendet den vollständigen Click-Event- und Audit-Log-Stream nach einem Zeitplan oder ereignisgesteuert an einen BigQuery-Datensatz, den Sie besitzen. Snowflake und S3 werden ebenfalls unterstützt. Für regulierte Workloads, die erfordern, dass Daten in einer bestimmten Infrastruktur verbleiben: Das Self-Host Helm-Chart ermöglicht es Ihnen, die Redirect-Ebene in Ihrer eigenen VPC auszuführen und Click-Events in Ihrem eigenen Analysespeicher zu speichern. HIPAA BAA ist für Business+ verfügbar – die technischen Schutzmaßnahmen (Verschlüsselung, Audit-Trail, Zugriffskontrollen, Benachrichtigung bei Datenschutzverletzungen) sind implementiert; das BAA ist der rechtliche Rahmen darum herum.

Vendor Due Diligence
05

Vorkonfigurierte Compliance-Nachweise: SOC 2, ISO 27001, DPA, Sub-Prozessoren

Beschaffungsfragen, die Elido ohne langwierige E-Mail-Threads klärt: Die DPA ist vorunterzeichnet und kann unter /legal/dpa heruntergeladen werden; die Liste der Sub-Prozessoren ist öffentlich unter /legal/subprocessors einsehbar (5 Anbieter, alle mit Sitz in der EU oder Opt-out verfügbar); ISO 27001 ist erreicht; SOC 2 Type II ist für H2 2026 geplant. Wir teilen Type 1 Nachweise unter NDA mit Kunden, die diese benötigen, bevor der Type 2 Bericht öffentlich zugänglich ist. Das Trust Center unter /trust verfolgt den aktuellen Zertifizierungsstatus und Updates zur Incident-Historie. Die Offenlegung von Schwachstellen erfolgt über HackerOne (privates Programm); security.txt befindet sich unter dem bekannten Pfad. Dies sind Dinge, die bereits existieren, keine Roadmap-Ziele. Wir werden SOC 2 Type II erst beanspruchen, wenn der Prüfungszeitraum abgeschlossen ist – erwartet für H2 2026.

Stack, mit dem Sie arbeiten werden

  • SSO (SAML / OIDC)
  • SCIM-Bereitstellung
  • Benutzerdefinierte Rollen (RBAC)
  • IP-Allowlist
  • Audit Log + SIEM Firehose
  • EU-Datenresidenz
  • HIPAA BAA

Was Ihr Sicherheitsteam misst

Anzahl Unterauftragsverarbeiter
5, nur EU
Audit Log Retention
7 Jahre auf Business
DSAR-Antwortzeit
Unter 30 Tagen

Enterprise-IT-Teams, die darauf vertrauen

Namen sind vorerst Platzhalter – reale Kundennamen werden hier nach Veröffentlichung der Fallstudien erscheinen.

Okta SCIM-Sync und die IP-Allowlist haben unsere Beschaffungs-Checkliste bereits in der ersten Prüfung erfüllt. Das Audit-Log-Streaming zu Splunk war das Detail, das das Security-Team überzeugt hat – sie konnten sehen, dass es echt war und nicht nur ein Häkchen beim Anbieter.

I
IT-Security-Team, Versicherungsgruppe, Zürich
IT Security Manager

Wir benötigten EU-residente Daten und keine US-Sub-Prozessoren nach Schrems II. Elido war der erste Shortener, der die Frage 'Wo werden die Daten gespeichert?' mit einer spezifischen Stadt und einer Anzahl von Sub-Prozessoren unter 10 beantwortet hat.

C
Corporate IT, mittelständisches Fertigungsunternehmen, Düsseldorf
Head of IT Governance

Das BAA auf Business plus ISO 27001 hat den HIPAA-Aspekt für unser US-Produktteam abgedeckt. SCIM-Provisionierung bedeutete, dass wir das Elido-Onboarding während einer 200-köpfigen Akquisitionsintegration nicht manuell anfassen mussten.

P
Platform Security Team, Fintech, Dublin
Director of Platform Security

Elido vs. Bitly Enterprise vs. Bl.ink für die Enterprise-IT

Bitly Enterprise und Bl.ink sind beide Optionen für Unternehmen mit großen Installationsbasen. Der folgende Vergleich konzentriert sich auf die Funktionen, die IT-Teams in Unternehmen tatsächlich bewerten, nicht auf Marketingversprechen.

FunktionElidoBitly EnterpriseBl.ink
SSO-ProtokollSAML 2.0 + OIDC via WorkOSSAML 2.0 im Enterprise-TarifSAML 2.0 im Enterprise-Tarif
SCIM-ProvisionierungBusiness und höher, via WorkOSNur Enterprise-TarifVerfügbar im Enterprise-Tarif
Benutzerdefinierte Rollen (RBAC)Cedar-basierte RichtlinienausdrückeFeste RollenstufenGranular, dokumentiert
IP-AllowlistCIDR, Business+Nur EnterpriseVerfügbar
Audit-Log → SIEMEchtzeit-Webhook-FirehoseTäglicher Export; Echtzeit-Enterprise-Add-onAPI-basiert; SIEM-Anbindung manuell
Audit-Log-Aufbewahrung7 Jahre bei BusinessStandardmäßig 1 JahrKonfigurierbar im Enterprise-Tarif
EU-DatenresidenzStandard für alle PläneOpt-in im Enterprise-TarifVerfügbar; nicht standardmäßig
BigQuery-ExportGeplant, Business+Nicht dokumentiertAPI-basiert; kein nativer Export

Fragen der Enterprise-IT

Welche IdPs unterstützt SSO?

Jeden IdP, der SAML 2.0 oder OIDC unterstützt – Okta, Azure AD / Entra ID, Google Workspace, OneLogin, Ping, Rippling und andere. Die Integration erfolgt über WorkOS, das Protokollunterschiede normalisiert. Wenn Ihr IdP SAML oder OIDC spricht, funktioniert es. Die Einrichtung ist ein von WorkOS geführter Prozess: Konfigurieren Sie die SAML-App in Ihrem IdP, fügen Sie die Metadaten-URL in Elido ein, fertig.

Wie funktioniert das SCIM-Deprovisioning?

WorkOS verwaltet den SCIM 2.0-Endpunkt. Wenn ein Benutzer aus der entsprechenden Gruppe in Ihrem IdP entfernt wird, sendet WorkOS ein DELETE-Ereignis an Elido. Elido widerruft sofort die Sitzungs-Token des Benutzers und markiert das Konto als inaktiv. Aktive API-Keys, die diesem Benutzer zugeordnet sind, werden nicht automatisch widerrufen – dies ist ein separater Schritt, den Sie in den SCIM-Einstellungen konfigurieren können (Standard ist Widerruf bei Deprovisionierung). Die Deprovisionierungsaktion erscheint innerhalb des SCIM-Sync-Zyklus (normalerweise unter 5 Minuten) im Audit-Log.

Was deckt die IP-Allowlist ab?

Dashboard-Login, API-Anfragen und die Bestätigung der Webhook-Zustellung. Die CIDR-Notation wird unterstützt; mehrere Bereiche werden durch Kommas getrennt. Anfragen von außerhalb der Allowlist geben einen 403-Fehler mit einem protokollierten Audit-Ereignis zurück – keine stillschweigenden Ablehnungen. Die IP-Allowlist wird nach der Authentifizierung ausgewertet, nicht davor, sodass fehlgeschlagene Auth-Versuche von außerhalb der Allowlist dennoch protokolliert werden.

Können wir ein BAA für die HIPAA-Compliance erhalten?

Ja, bei Business+. Das BAA deckt die Rolle von Elido als Geschäftspartner für Workspaces ab, in denen PHI durch Link-Metadaten oder Analytics fließen könnten. Die technischen Schutzmaßnahmen (Verschlüsselung im Ruhezustand und bei der Übertragung, Audit-Trail, Zugriffskontrollen, Benachrichtigung bei Datenschutzverletzungen) sind bereits implementiert. Kontaktieren Sie [email protected] für die BAA-Vorlage.

Wie ist der Status von SOC 2?

Das SOC 2 Type II-Audit ist im Gange, Zieltermin ist H2 2026. ISO 27001 wurde bereits erreicht. Wir teilen Type 1-Nachweise unter NDA mit Kunden, die diese benötigen, bevor der Type 2-Bericht veröffentlicht wird. Das Trust Center unter /trust verfolgt den aktuellen Status. Wir werden Type II erst beanspruchen, wenn der Prüfungszeitraum abgeschlossen ist.

Wie funktionieren benutzerdefinierte Rollen – kann ich ein Team auf den Lesezugriff für eine bestimmte Domain beschränken?

Ja. Benutzerdefinierte Rollen definieren Cedar-basierte Richtlinien, die Berechtigungen auf bestimmte Domains, Ordner oder Operationen (Erstellen/Lesen/Aktualisieren/Löschen) eingrenzen können. Eine Rolle, die das Erstellen von Links nur auf einer bestimmten Custom Domain erlaubt und nur Lesezugriff auf die Analytics gewährt, ist eine gültige Richtlinie. Rollen gelten pro Workspace; ein Benutzer kann in verschiedenen Workspaces unterschiedliche Rollen haben. Die Auswertung der Richtlinien erfolgt bei jeder Anfrage, nicht nur beim Login.

Gibt es eine dedizierte Edge-Option für Business-Kunden?

Die Business-Stufe nutzt die gemeinsam genutzten Edge-POPs von Elido (EU-Region, US East, Asien-Pazifik). Ein dedizierter Edge – Ihre eigene Flotte von Redirect-Nodes, verkehrstechnisch von anderen Mandanten isoliert – ist ein Thema für Enterprise-Kunden. Kontaktieren Sie [email protected]. Alternativ ermöglicht das Self-Host Helm-Chart den Betrieb der Redirect-Ebene in Ihrer eigenen VPC, was ein gängiges Muster für Enterprise-Kunden mit strengen Anforderungen an die Verkehrsisolierung ist.

Wie sieht die SLA für die Benachrichtigung bei Datenschutzverletzungen aus?

24 Stunden Kundenbenachrichtigung bei bestätigten Verletzungen personenbezogener Daten; 72 Stunden Behördenbenachrichtigung (DSGVO Art. 33). Die Benachrichtigung umfasst den aktuellen Wissensstand – wir warten nicht auf die vollständige Forensik. Der Prozess ist unter /trust/incident-response einsehbar.

Leseliste für Enterprise IT

SCIM & SSO

WorkOS-verwaltetes SAML/OIDC, SCIM-2.0-Deprovisioning, IdP-Anleitungen.

White-Label

Gebrandeter Portal-Hostname, transaktionale E-Mails, Sub-Prozessor-Parität.

Trust Center

SOC-2-Status, ISO 27001, Sub-Prozessoren, Incident-Historie.

DPA

Vorunterschriebener DSGVO-Auftragsverarbeitungsvertrag, EU-SCCs inklusive.

API & SDKs

OpenAPI 3.1, SDKs in TypeScript / Go / Python, Webhooks.

Sicherheit

Verschlüsselungspostur, RBAC-Modell, Audit-Log, IP-Allowlist.

Nicht sicher, welcher Winkel passt?

Die meisten Teams beginnen als eins und wachsen in alle vier hinein. Unser Vertriebsteam kann in 20 Minuten Ihren spezifischen Stack durchgehen.

Vertrieb kontaktierenTrust Center