Elido
Wählen Sie den Blickwinkel, der zu Ihrem Team passt
For enterprise IT

The shortener your security team won’t reject.

Sie messen Compliance-Haltung, Vorfallsreaktionszeit und die Anzahl der Lieferantenfragebögen, die Sie überleben können. Elido ist der Shortener, den Ihr Sicherheitsteam nicht ablehnen wird.

Talk to salesRead trust report
  • SAML SSO + SCIM via WorkOS or native — Okta, Entra ID, Google
  • eu-central-1 default with workspace-level region pin
  • SOC 2 Type II audit in progress (H2 2026 target)
  • ISO 27001 achieved; certificate available under NDA
Workspace residency
eu-central-1 · default
HelsinkiEU replicaFrankfurtprimary · defaultLondoncomputeAshburnopt-in · Business+Singaporeopt-in · APAC
Default + EU residency
Opt-in (Business+, irreversible)
SAML + OIDC
SSO-Protokoll
WorkOS
SSO/SCIM-Anbieter
7 Jahre
Audit-Aufbewahrung (Business)
ISO 27001
Aktuelle Zertifizierung

How SSO works

Okta or Entra ID → SAML → Elido. Twelve minutes from cold start.

SSO routes through WorkOS, which normalises the protocol differences between SAML 2.0 and OIDC and the per-IdP quirks that no one wants to maintain themselves. Your team configures the SAML app once in their IdP; Elido picks up users by email domain → connection mapping.

  1. Step 1

    User signs in

    okta.com / login.microsoftonline.com

    IdP authenticates against the corporate directory.

  2. Step 2

    SAML assertion

    WorkOS connection · domain-routed

    Email-domain → IdP connection mapping, no per-user setup.

  3. Step 3

    Elido session

    edge auth · 200 OK

    Session token issued, scope derived from group claims.

  4. Step 4

    Workspace landing

    app.elido.app/w/your-org

    Role + IP allowlist evaluated; audit row written.

SCIM provisioning

Add a user in Okta. They’re in Elido in five minutes.

SCIM 2.0 directory sync provisions and deprovisions users automatically. Group-claim mapping converts IdP groups into Elido workspace roles, so a promotion in HR’s system rolls into Elido without a ticket. Departing employees are deprovisioned within the SCIM sync cycle, with active sessions revoked and the action logged.

  • Auto-provision on group add
    IdP group membership → workspace invitation, no manual step
  • Group-claim role mapping
    engineering-eu → editor, finance → viewer, configurable
  • Deprovision = session revoke
    DELETE event invalidates tokens; API keys revoked by policy
  • Every SCIM event is audited
    Append-only log with actor, before/after, source IP
SCIM & SSO deep-dive →
SCIM directory sync
workspace · acme-eu
Live · WorkOS
  1. 1
    User added in Okta

    Joins the elido-eu-engineering directory group as part of HR onboarding.

    okta.comPOST /scim/v2/Users
    T+75s
  2. 2
    WorkOS pushes to Elido

    SCIM sync cycle picks up the create event; no manual invite needed.

    workos.com → elido.appscim.create user@org
    T+150s
  3. 3
    Elido provisions the user

    Account created, workspace invitation surfaced in pending state.

    api-coreuser.id = usr_01HK…
    T+225s
  4. 4
    Group claim → role

    engineering → editor; billing-admins → admin. Mapping is configurable.

    policyrole: editor (workspace.eu)
    T+300s
  5. Deprovision is the same flow in reverse — DELETE event revokes sessions and rotates affected API keys per policy.

Authorization model

Cedar-based RBAC, not a fixed three-tier hierarchy.

The matrix below is the out-of-the-box view. Custom roles let you express things like “create links on this domain only” or “read-only on analytics, no billing access” as Cedar policies. Roles are scoped per workspace, so different business units can run different role structures.

Built-in role permissions
Cedar policies · custom roles override
PermissionOwnerAdminMemberRead-onlyAPI key
Create / edit links
Manage custom domains
View analytics
Manage billing
Invite & manage members
Rotate API keys
Allowed
Scoped — set via Cedar policy
Denied
Policy eval at request time, not at loginaudit · every change
See security model →Custom roles guide → docs

What enterprise IT actually gets

  • SAML SSO + SCIM via WorkOS or native — Okta, Entra ID, Google
  • eu-central-1 default with workspace-level region pin
  • SOC 2 Type II audit in progress (H2 2026 target)
  • ISO 27001 achieved; certificate available under NDA
  • BAA on Business+ for HIPAA-adjacent workloads
  • Dedicated edge POPs available for Enterprise contracts

Was die Enterprise-IT wirklich von einem Shortener benötigt

Shadow-IT-Shortener scheitern bei der Beschaffung an drei Fragen: Wer hat Zugriff, wo liegen die Daten und können wir sie auditieren? Die folgenden Funktionen schließen genau diese Lücken.

Identität und Provisionierung
01

SAML SSO via WorkOS mit SCIM-Benutzerbereitstellung

SSO erfolgt über WorkOS, das SAML 2.0 und OIDC gegen alle gängigen IdPs unterstützt: Okta, Azure AD / Entra ID, Google Workspace, OneLogin, Ping und andere. Das Mapping von E-Mail-Domänen auf Verbindungen sorgt dafür, dass Benutzer ohne Konfiguration auf ihrer Seite zum richtigen IdP geleitet werden. Die SCIM-Verzeichnissynchronisierung provisioniert und deprovisioniert Benutzer automatisch: Neue Mitarbeiter, die der entsprechenden IdP-Gruppe hinzugefügt werden, erhalten innerhalb weniger Minuten eine Elido-Workspace-Einladung; ausscheidende Mitarbeiter werden innerhalb des SCIM-Sync-Zyklus deprovisioniert, ohne dass ein manuelles Ticket erforderlich ist. Gruppen aus dem IdP werden auf Elido-Workspace-Rollen abgebildet; Sie konfigurieren das Mapping einmalig. Rollenänderungen im IdP werden automatisch übernommen. Dies ist eine von WorkOS verwaltete Integration – wir pflegen keinen Connector pro IdP; WorkOS normalisiert die Protokolle und Elido nutzt einen einzigen SCIM-Endpunkt.

Autorisierungsmodell
02

Benutzerdefinierte Rollen mit Cedar-basiertem RBAC — über Owner/Admin/Member hinaus

Das Rollenmodell von Elido basiert auf Cedar, was bedeutet, dass Berechtigungen Richtlinienausdrücke sind, die zum Zeitpunkt der Anfrage ausgewertet werden, anstatt einer festen dreistufigen Hierarchie zu folgen. Standardmäßig erhalten Sie Owner, Admin, Member und Viewer. Benutzerdefinierte Rollen ermöglichen es Ihnen, Richtlinien zu definieren wie 'kann Links auf dieser Domain erstellen, aber keine Routing-Regeln löschen oder ändern' oder 'reiner Lesezugriff auf Analytics, aber kein Zugriff auf Abrechnungseinstellungen'. Rollen werden pro Workspace zugewiesen, nicht global – ein Unternehmen mit mehreren Workspaces kann für jede Geschäftseinheit unterschiedliche Rollenstrukturen haben. IP-Allowlisten (CIDR-Bereiche) werden zusammen mit Rollenprüfungen ausgewertet: Einem Benutzer mit der richtigen Rolle, aber außerhalb des zulässigen IP-Bereichs, wird der Zugriff verweigert. Dies ist relevant für hybride Teams, bei denen externe Mitarbeiter auf andere Untergruppen zugreifen als festangestellte Mitarbeiter.

Audit und SIEM
03

Append-only Audit-Log, das in Echtzeit an Ihr SIEM gestreamt wird

Jede Workspace-Aktion – Link-Erstellung, Aktualisierung, Löschung; Einstellungsänderungen; Mitgliedereinladungen und Rollenänderungen; API-Key-Ausstellung und -Rotation; Custom-Domain-Beanspruchung; Exporte – landet in einem Append-only Audit-Log mit Akteur, Zeitstempel, Quell-IP, Vorher/Nachher-Differenz und einem strukturierten Ereignistyp. Die Logs werden bei Pro für 90 Tage und bei Business für 7 Jahre aufbewahrt. Der SIEM-Firehose streamt Ereignisse über Webhooks (HMAC-SHA256 signiert) in Echtzeit an Splunk, Datadog, ELK oder jeden anderen HTTP-Empfänger. Das Log kann im Dashboard abgefragt, aber nicht bearbeitet werden; die Append-only-Bedingung wird auf Datenbankebene erzwungen. Compliance-Status: Das Audit-Log ist der primäre Nachweis für Zugriffskontrollprüfungen, Change Management und Incident Response. Ein Meta-Ereignis 'Aufbewahrungsbereinigung' wird protokolliert, wenn alte Einträge gelöscht werden, sodass die Lücke selbst prüfbar ist.

Data Governance
04

EU-Residenz, IP-Allowlist und BigQuery-Export für Data Governance Anforderungen

Workspace-Daten werden standardmäßig der EU (Frankfurt) zugeordnet und verlassen diese Region nie, es sei denn, ein Admin legt bei der Erstellung des Workspaces explizit Ashburn oder Singapur fest – eine unumkehrbare Entscheidung. Es gibt keine regionsübergreifende Replikation für heiße Daten. Die IP-Allowlist (CIDR) bei Business beschränkt den Workspace-Zugriff auf bekannte Egress-Bereiche – nützlich für Teams in einem VPN oder mit festen Büro-IPs. Der BigQuery-Export sendet den vollständigen Click-Event- und Audit-Log-Stream nach einem Zeitplan oder ereignisgesteuert an einen BigQuery-Datensatz, den Sie besitzen. Snowflake und S3 werden ebenfalls unterstützt. Für regulierte Workloads, die erfordern, dass Daten in einer bestimmten Infrastruktur verbleiben: Das Self-Host Helm-Chart ermöglicht es Ihnen, die Redirect-Ebene in Ihrer eigenen VPC auszuführen und Click-Events in Ihrem eigenen ClickHouse zu speichern. HIPAA BAA ist für Business+ verfügbar – die technischen Schutzmaßnahmen (Verschlüsselung, Audit-Trail, Zugriffskontrollen, Benachrichtigung bei Datenschutzverletzungen) sind implementiert; das BAA ist der rechtliche Rahmen darum herum.

Vendor Due Diligence
05

Vorkonfigurierte Compliance-Nachweise: SOC 2, ISO 27001, DPA, Sub-Prozessoren

Beschaffungsfragen, die Elido ohne langwierige E-Mail-Threads klärt: Die DPA ist vorunterzeichnet und kann unter /legal/dpa heruntergeladen werden; die Liste der Sub-Prozessoren ist öffentlich unter /legal/subprocessors einsehbar (5 Anbieter, alle mit Sitz in der EU oder Opt-out verfügbar); ISO 27001 ist erreicht; SOC 2 Type II ist für H2 2026 geplant. Wir teilen Type 1 Nachweise unter NDA mit Kunden, die diese benötigen, bevor der Type 2 Bericht öffentlich zugänglich ist. Das Trust Center unter /trust verfolgt den aktuellen Zertifizierungsstatus und Updates zur Incident-Historie. Die Offenlegung von Schwachstellen erfolgt über HackerOne (privates Programm); security.txt befindet sich unter dem bekannten Pfad. Dies sind Dinge, die bereits existieren, keine Roadmap-Ziele. Wir werden SOC 2 Type II erst beanspruchen, wenn der Prüfungszeitraum abgeschlossen ist – erwartet für H2 2026.

Stack you’ll touch

  • SSO (SAML / OIDC)
  • SCIM-Bereitstellung
  • Benutzerdefinierte Rollen (RBAC)
  • IP-Allowlist
  • Audit Log + SIEM Firehose
  • EU-Datenresidenz
  • HIPAA BAA

Was Ihr Sicherheitsteam misst

Anzahl Unterauftragsverarbeiter
5, nur EU
Audit Log Retention
7 Jahre auf Business
DSAR-Antwortzeit
Unter 30 Tagen

Enterprise-IT-Teams, die darauf vertrauen

Namen sind vorerst Platzhalter – reale Kundennamen werden hier nach Veröffentlichung der Fallstudien erscheinen.

Okta SCIM-Sync und die IP-Allowlist haben unsere Beschaffungs-Checkliste bereits in der ersten Prüfung erfüllt. Das Audit-Log-Streaming zu Splunk war das Detail, das das Security-Team überzeugt hat – sie konnten sehen, dass es echt war und nicht nur ein Häkchen beim Anbieter.

I
IT-Security-Team, Versicherungsgruppe, Zürich
IT Security Manager

Wir benötigten EU-residente Daten und keine US-Sub-Prozessoren nach Schrems II. Elido war der erste Shortener, der die Frage 'Wo werden die Daten gespeichert?' mit einer spezifischen Stadt und einer Anzahl von Sub-Prozessoren unter 10 beantwortet hat.

C
Corporate IT, mittelständisches Fertigungsunternehmen, Düsseldorf
Head of IT Governance

Das BAA auf Business plus ISO 27001 hat den HIPAA-Aspekt für unser US-Produktteam abgedeckt. SCIM-Provisionierung bedeutete, dass wir das Elido-Onboarding während einer 200-köpfigen Akquisitionsintegration nicht manuell anfassen mussten.

P
Platform Security Team, Fintech, Dublin
Director of Platform Security

Elido vs. Bitly Enterprise vs. Bl.ink für die Enterprise-IT

Bitly Enterprise und Bl.ink sind beide Optionen für Unternehmen mit großen Installationsbasen. Der folgende Vergleich konzentriert sich auf die Funktionen, die IT-Teams in Unternehmen tatsächlich bewerten, nicht auf Marketingversprechen.

CapabilityElidoBitly EnterpriseBl.ink
SSO-ProtokollSAML 2.0 + OIDC via WorkOSSAML 2.0 im Enterprise-TarifSAML 2.0 im Enterprise-Tarif
SCIM-ProvisionierungBusiness und höher, via WorkOSNur Enterprise-TarifVerfügbar im Enterprise-Tarif
Benutzerdefinierte Rollen (RBAC)Cedar-basierte RichtlinienausdrückeFeste RollenstufenGranular, dokumentiert
IP-AllowlistCIDR, Business+Nur EnterpriseVerfügbar
Audit-Log → SIEMEchtzeit-Webhook-FirehoseTäglicher Export; Echtzeit-Enterprise-Add-onAPI-basiert; SIEM-Anbindung manuell
Audit-Log-Aufbewahrung7 Jahre bei BusinessStandardmäßig 1 JahrKonfigurierbar im Enterprise-Tarif
EU-DatenresidenzStandard für alle PläneOpt-in im Enterprise-TarifVerfügbar; nicht standardmäßig
BigQuery-ExportGeplant, Business+Nicht dokumentiertAPI-basiert; kein nativer Export

Fragen der Enterprise-IT

Welche IdPs unterstützt SSO?

Jeden IdP, der SAML 2.0 oder OIDC unterstützt – Okta, Azure AD / Entra ID, Google Workspace, OneLogin, Ping, Rippling und andere. Die Integration erfolgt über WorkOS, das Protokollunterschiede normalisiert. Wenn Ihr IdP SAML oder OIDC spricht, funktioniert es. Die Einrichtung ist ein von WorkOS geführter Prozess: Konfigurieren Sie die SAML-App in Ihrem IdP, fügen Sie die Metadaten-URL in Elido ein, fertig.

Wie funktioniert das SCIM-Deprovisioning?

WorkOS verwaltet den SCIM 2.0-Endpunkt. Wenn ein Benutzer aus der entsprechenden Gruppe in Ihrem IdP entfernt wird, sendet WorkOS ein DELETE-Ereignis an Elido. Elido widerruft sofort die Sitzungs-Token des Benutzers und markiert das Konto als inaktiv. Aktive API-Keys, die diesem Benutzer zugeordnet sind, werden nicht automatisch widerrufen – dies ist ein separater Schritt, den Sie in den SCIM-Einstellungen konfigurieren können (Standard ist Widerruf bei Deprovisionierung). Die Deprovisionierungsaktion erscheint innerhalb des SCIM-Sync-Zyklus (normalerweise unter 5 Minuten) im Audit-Log.

Was deckt die IP-Allowlist ab?

Dashboard-Login, API-Anfragen und die Bestätigung der Webhook-Zustellung. Die CIDR-Notation wird unterstützt; mehrere Bereiche werden durch Kommas getrennt. Anfragen von außerhalb der Allowlist geben einen 403-Fehler mit einem protokollierten Audit-Ereignis zurück – keine stillschweigenden Ablehnungen. Die IP-Allowlist wird nach der Authentifizierung ausgewertet, nicht davor, sodass fehlgeschlagene Auth-Versuche von außerhalb der Allowlist dennoch protokolliert werden.

Können wir ein BAA für die HIPAA-Compliance erhalten?

Ja, bei Business+. Das BAA deckt die Rolle von Elido als Geschäftspartner für Workspaces ab, in denen PHI durch Link-Metadaten oder Analytics fließen könnten. Die technischen Schutzmaßnahmen (Verschlüsselung im Ruhezustand und bei der Übertragung, Audit-Trail, Zugriffskontrollen, Benachrichtigung bei Datenschutzverletzungen) sind bereits implementiert. Kontaktieren Sie compliance@elido.app für die BAA-Vorlage.

Wie ist der Status von SOC 2?

Das SOC 2 Type II-Audit ist im Gange, Zieltermin ist H2 2026. ISO 27001 wurde bereits erreicht. Wir teilen Type 1-Nachweise unter NDA mit Kunden, die diese benötigen, bevor der Type 2-Bericht veröffentlicht wird. Das Trust Center unter /trust verfolgt den aktuellen Status. Wir werden Type II erst beanspruchen, wenn der Prüfungszeitraum abgeschlossen ist.

Wie funktionieren benutzerdefinierte Rollen – kann ich ein Team auf den Lesezugriff für eine bestimmte Domain beschränken?

Ja. Benutzerdefinierte Rollen definieren Cedar-basierte Richtlinien, die Berechtigungen auf bestimmte Domains, Ordner oder Operationen (Erstellen/Lesen/Aktualisieren/Löschen) eingrenzen können. Eine Rolle, die das Erstellen von Links nur auf einer bestimmten Custom Domain erlaubt und nur Lesezugriff auf die Analytics gewährt, ist eine gültige Richtlinie. Rollen gelten pro Workspace; ein Benutzer kann in verschiedenen Workspaces unterschiedliche Rollen haben. Die Auswertung der Richtlinien erfolgt bei jeder Anfrage, nicht nur beim Login.

Gibt es eine dedizierte Edge-Option für Business-Kunden?

Die Business-Stufe nutzt die gemeinsam genutzten Edge-POPs von Elido (Frankfurt, Ashburn, Singapur). Ein dedizierter Edge – Ihre eigene Flotte von Redirect-Nodes, verkehrstechnisch von anderen Mandanten isoliert – ist ein Thema für Enterprise-Kunden. Kontaktieren Sie sales@elido.app. Alternativ ermöglicht das Self-Host Helm-Chart den Betrieb der Redirect-Ebene in Ihrer eigenen VPC, was ein gängiges Muster für Enterprise-Kunden mit strengen Anforderungen an die Verkehrsisolierung ist.

Wie sieht die SLA für die Benachrichtigung bei Datenschutzverletzungen aus?

24 Stunden Kundenbenachrichtigung bei bestätigten Verletzungen personenbezogener Daten; 72 Stunden Behördenbenachrichtigung (DSGVO Art. 33). Die Benachrichtigung umfasst den aktuellen Wissensstand – wir warten nicht auf die vollständige Forensik. Der Prozess ist unter /trust/incident-response einsehbar.

Enterprise IT reading list

SCIM & SSO

WorkOS-managed SAML/OIDC, SCIM 2.0 deprovisioning, IdP guides.

White-label

Branded portal hostname, transactional emails, sub-processor parity.

Trust Center

SOC 2 status, ISO 27001, sub-processors, incident history.

DPA

Pre-signed GDPR Data Processing Addendum, EU SCCs included.

API & SDKs

OpenAPI 3.1, SDKs in TypeScript / Go / Python, webhooks.

Security

Encryption posture, RBAC model, audit log, IP allowlist.

Nicht sicher, welcher Winkel passt?

Die meisten Teams beginnen als eins und wachsen in alle vier hinein. Unser Vertriebsteam kann in 20 Minuten Ihren spezifischen Stack durchgehen.

Talk to salesTrust Center
Für Enterprise IT — EU-Residenz, RBAC, Audit Log, SCIM. · Elido