Elido
Todo lo que hace Elido
Business

SSO & SCIM. Enterprise identity, zero friction.

Inicio de sesión SAML / OIDC contra cualquier IdP principal. La sincronización de directorio SCIM aprovisiona y desaprovisiona usuarios automáticamente. Los secretos de webhook rotan sin perder el estado.

Start freeLeer la guía de SCIM & SSO
  • SAML / OIDC against 20+ identity providers
  • SCIM directory sync — provision and deprovision automatically
  • Webhook secret rotation without downtime
  • Full audit trail for compliance
SSO sign-in flow
SAML 2.0
Userclicks sign inIdPOOktaSAML 2.0 · SCIM 2.0AAzure ADEntra ID · OIDCGoogle WSSAML · OIDCSAMLWorkOSSSO brokerSCIM relayElidodashboardsession ✓
Email-domain → IdP routing20+ IdP connections
20+
Conexiones IdP a través de WorkOS
<60s
Latencia de aprovisionamiento de usuarios SCIM
Zero-touch
Offboarding — desactivado en IdP = revocado en Elido
HMAC-SHA256
Firma de secretos de Webhook

SCIM directory sync

Provision and deprovision in under 60 seconds

Connect your IdP directory once. Every hire, transfer, and departure propagates to Elido automatically — no IT ticket, no manual invite, no forgotten offboarding gap.

  • Auto-provisioning
    SCIM CREATE from Okta or Entra → Elido account in under 60s
  • Group-to-role mapping
    IdP groups map to Elido roles; changes propagate on next sync
  • Instant deprovisioning
    SCIM DELETE or active: false → sessions revoked immediately
  • API key suspension
    All user API keys suspended on offboarding — no access-after-departure gap
Directory sync
SCIM 2.0
Okta directory
  • A
    Ana Kovač
    Admin
  • B
    Ben Carter
    Member
  • C
    Carla Mora
    Member
  • D
    Dmitri Volkov
    Viewer
  • E
    Erika Salo
    Member
SCIM
Elido workspace
  • A
    Ana Kovač
    Admin
  • B
    Ben Carter
    Member
  • C
    Carla Mora
    Member
  • D
    Dmitri Volkov
    Viewer
  • E
    Erika Salo
    deprovisioned
Live sync active< 60s sync latency

Identity providers

Works with every major IdP

Elido uses WorkOS as the SSO and SCIM broker — 20+ connections out of the box, plus Generic SAML for any SP-initiated flow. Configure the Elido application in your IdP once; Elido generates the SAML metadata XML or OIDC credentials.

20+ IdPs via WorkOS
Ok
Okta
SAML · SCIM
Az
Azure AD
SAML · OIDC
G
Google WS
SAML · OIDC
OL
OneLogin
SAML · SCIM
JC
JumpCloud
SAML · SCIM
Pi
PingIdentity
SAML 2.0
A0
Auth0
OIDC
SP
Generic SAML
SAML 2.0

Any SAML 2.0-compliant IdP works via Generic SAML. See the setup guide →

Audit trail
AllSSO eventsSCIM events
EventActorIPTime
  • User provisioned via SCIMokta-scim-svc10.0.1.409:12:04
  • SSO login — Oktaana@corp.com91.223.4.1709:14:31
  • SSO login — Azure ADben@corp.com185.46.9.209:17:08
  • Webhook secret rotatedadmin@corp.com77.123.11.510:05:22
  • User deprovisioned via SCIMokta-scim-svc10.0.1.414:33:51
  • Role changed: Member → Adminadmin@corp.com77.123.11.515:01:09
6 events shown · append-only logExport CSV

Audit trail

Immutable identity event log

Every SSO login, SCIM provision, role change, and secret rotation is logged append-only. No admin can delete entries. Export to CSV or stream to your SIEM via API.

  • Timestamp, actor, action, target, and IdP connection per event
  • 12-month retention on Business; longer available on request
  • API export for SOC 2, ISO 27001, DORA, and NIS2 evidence
  • Failed SSO attempts logged with reason code
  • IP-based alerting for SSO probing threshold
  • Secret rotations reference the overlap window in the log
Deactivation in IdP → access revoked in Elido in under 60 seconds

What you can do

  • Okta, Azure AD / Entra, Google Workspace
  • Mapeo de dominio de correo electrónico → conexión
  • Creación / actualización / eliminación de usuarios SCIM
  • Verificación de firma de webhook (HMAC-SHA256)

Lo que el SSO y el aprovisionamiento SCIM empresarial realmente requieren en producción

El redireccionamiento SAML es lo básico. Los detalles a continuación cubren la latencia de aprovisionamiento, el mapeo de roles, la rotación de secretos y los modos de fallo que importan a los equipos de seguridad.

Inicio de sesión SSO
01

Inicio de sesión SAML 2.0 y OIDC a través de WorkOS — enrutamiento por dominio de correo electrónico a la conexión IdP correcta

Elido utiliza WorkOS como broker de SSO, que admite más de 20 conexiones IdP, incluidos Okta, Azure AD / Entra ID, Google Workspace, OneLogin, PingFederate y cualquier IdP compatible con SAML 2.0. Su equipo de IT configura la aplicación Elido en su IdP una vez; Elido genera un XML de metadatos SAML o credenciales de cliente OIDC para el asistente de configuración del IdP. El enrutamiento por dominio de correo electrónico mapea los dominios de correo electrónico de los usuarios a la conexión IdP correcta — los usuarios con @suempresa.com son enrutados automáticamente a su conexión de Okta sin necesidad de seleccionarla. Múltiples dominios de correo electrónico pueden mapearse a una sola conexión (para empresas con entidades fusionadas o múltiples dominios de correo electrónico). El aprovisionamiento JIT crea la cuenta de Elido en el primer inicio de sesión SSO si SCIM no está en uso; si SCIM está activo, JIT se deshabilita y la cuenta debe aprovisionarse a través de SCIM antes del primer inicio de sesión.

Aprovisionamiento SCIM
02

Sincronización de directorio SCIM 2.0: aprovisionamiento automático, desaprovisionamiento y mapeo de grupos a roles

SCIM 2.0 sincroniza el directorio de usuarios de su proveedor de identidad con Elido. Cuando se añade un usuario al grupo de la aplicación Elido en Okta o Entra, Elido recibe un evento SCIM CREATE y aprovisiona la cuenta de usuario — sin tickets de IT, sin invitaciones manuales. Las actualizaciones del perfil de usuario (nombre, correo electrónico) se propagan automáticamente. Cuando se elimina a un usuario del grupo o se desactiva en el IdP, Elido recibe un evento SCIM DELETE o PATCH (active: false) e inmediatamente revoca el acceso — las sesiones activas se invalidan, las claves de API que pertenecen al usuario se suspenden. El mapeo de grupos a roles le permite mapear sus grupos de IdP (por ejemplo, 'Administradores de Elido', 'Espectadores de Elido') a roles de Elido (Admin, Member, Viewer). Las asignaciones de roles se actualizan automáticamente cuando cambia la membresía del grupo en el IdP. La latencia de aprovisionamiento desde el evento del IdP hasta la creación de la cuenta en Elido es normalmente inferior a 60 segundos.

Rotación de secretos
03

Los secretos de firma de Webhook rotan sin perder eventos en tránsito — procedimiento de rotación sin tiempo de inactividad

El receptor de webhooks SCIM de Elido y el sistema de webhooks salientes utilizan firmas HMAC-SHA256 para verificar la autenticidad de los eventos. Los secretos caducan y necesitan rotación — ya sea según un calendario (recomendado: 90 días) o tras una sospecha de compromiso. La rotación sin tiempo de inactividad funciona de la siguiente manera: genere un nuevo secreto en el panel (el secreto antiguo sigue siendo válido durante 15 minutos durante la ventana de solapamiento), despliegue el nuevo secreto en sus sistemas, verifique que un evento SCIM entrante se verifique con el nuevo secreto, luego active la expiración inmediata del secreto antiguo. La ventana de solapamiento de 15 minutos garantiza que los eventos en tránsito firmados con el secreto antiguo sigan procesándose durante la ventana de despliegue. La rotación de secretos se registra en el registro de auditoría con la marca de tiempo, el actor (el administrador que rotó) y la confirmación de la expiración del solapamiento.

Registro de auditoría
04

Registro completo de eventos de identidad: inicios de sesión SSO, eventos de aprovisionamiento, cambios de roles y rotaciones de secretos

Cada inicio de sesión SSO, aprovisionamiento/desaprovisionamiento SCIM, cambio de asignación de roles y rotación de secretos se registra en el registro de auditoría del espacio de trabajo (Business). Cada entrada incluye: marca de tiempo, actor (usuario o servicio SCIM), tipo de acción, objetivo (el usuario o recurso afectado), conexión IdP utilizada y el ID del espacio de trabajo. El registro de auditoría es de solo adición e inmutable — ningún administrador puede eliminar entradas. Exportación a CSV o consulta a través de API para la ingestión en SIEM. Si su marco de cumplimiento requiere evidencia de eventos de control de acceso (SOC 2 Type II, ISO 27001, DORA, NIS2), el registro de auditoría es el artefacto. La retención es de 12 meses en Business; una retención más larga está disponible bajo petición para industrias reguladas.

Gestión de sesiones
05

Expiración forzada de la sesión a través de SCIM — acceso revocado en menos de 60 segundos tras la desactivación en el IdP

Cuando SCIM indica que un usuario está desactivado (offboarding de empleados, fin de contrato de contratistas), Elido invalida inmediatamente todas las sesiones activas de ese usuario y suspende sus claves de API. Esto no depende del TTL de la cookie de sesión — Elido almacena una bandera de revocación por ID de usuario y la comprueba en cada solicitud autenticada. El tiempo desde la desactivación en el IdP hasta la revocación del acceso en Elido es la latencia de entrega del evento SCIM: normalmente inferior a 30 segundos para Okta, inferior a 60 segundos para Azure Entra. Para el offboarding de alta seguridad (por ejemplo, un administrador que se va), un administrador del espacio de trabajo de Elido también puede revocar manualmente las sesiones de un usuario específico en el panel antes de que llegue el evento SCIM. Las sesiones revocadas manualmente y las revocaciones activadas por SCIM aparecen en el registro de auditoría.

Equipos de seguridad empresarial que utilizan Elido SSO & SCIM

Los nombres son marcadores de posición — los casos de estudio de clientes reales aparecerán aquí a medida que se publiquen.

El offboarding SCIM era el requisito que nuestro equipo de seguridad tenía desde el primer día. Cuando un empleado es desactivado en Entra, el acceso a Elido desaparece en menos de un minuto — sin tickets de desaprovisionamiento manual, sin brechas de 'olvido de revocación'. Auditamos los registros después de tres meses y encontramos cero eventos de acceso después del offboarding.

S
Seguridad de IT, empresa de logística, 1,200 empleados, Hamburgo
Responsable de Seguridad de IT

Tenemos cinco dominios de correo electrónico de la empresa de dos adquisiciones. El enrutamiento de dominio de correo electrónico → IdP en Elido gestiona los cinco apuntando a la misma conexión de Okta. Los usuarios de cualquier dominio llegan al flujo de SSO correcto sin tener que elegir de una lista.

I
IT empresarial, SaaS en escala, 400 empleados, Ámsterdam
Ingeniero Senior de IT

La rotación de secretos sin tiempo de inactividad fue el detalle que nos convenció. Rotamos los secretos de webhooks trimestralmente por política; la ventana de solapamiento de 15 minutos significa que podemos rotar durante las horas de trabajo sin riesgo de incidentes. Cada rotación se registra, se audita y se referencia en nuestro paquete de evidencia SOC 2.

I
Ingeniería de seguridad, fintech, Dublín
Ingeniero de Seguridad

Elido SSO & SCIM vs Bitly vs Rebrandly

El SSO está disponible en el nivel enterprise de Bitly y en el nivel Business de Rebrandly. El aprovisionamiento SCIM es más limitado en ambos. La comparación cubre lo que cada uno ofrece realmente.

FeatureElidoBitly EnterpriseRebrandly Business
SSO SAML 2.0Sí — broker WorkOS, más de 20 conexiones IdPSí — nivel enterpriseSí — nivel Business
SSO OIDCSí — junto con SAML a través de WorkOSSolo SAMLSolo SAML
Aprovisionamiento SCIM 2.0Creación / actualización / eliminación completa + mapeo de grupos a rolesLimitado — solo creación de usuario, sin mapeo de grupos a rolesNo disponible
Desaprovisionamiento automático al realizar el offboardingSí — SCIM DELETE, sesión revocada en menos de 60sSolo manualSolo manual
Enrutamiento IdP por dominio de correo electrónicoSí — múltiples dominios por conexiónDominio único por conexiónNo documentado
Registro de auditoría para eventos de identidadSí — inmutable, 12 meses, exportación por APIRegistro de auditoría limitadoRegistro de auditoría limitado
Rotación de secretos de Webhook (sin tiempo de inactividad)Sí — ventana de solapamiento de 15 minutosNo aplicableNo aplicable

Preguntas sobre SSO & SCIM

¿Qué proveedores de identidad son compatibles?

Elido utiliza WorkOS como broker de SSO y SCIM, que admite Okta, Azure AD / Entra ID, Google Workspace, OneLogin, PingFederate, Shibboleth, ADFS, JumpCloud y cualquier IdP compatible con SAML 2.0. También se admiten conexiones OIDC para proveedores como Google Workspace y Azure. Si su IdP no está en la lista estándar de WorkOS, el tipo de conexión 'Generic SAML' de WorkOS funciona con cualquier flujo SAML 2.0 iniciado por el SP. Contáctenos si necesita una conexión IdP específica que no figure en la lista.

¿Qué es el aprovisionamiento JIT frente al aprovisionamiento SCIM?

El aprovisionamiento JIT (Just-in-Time) crea una cuenta de usuario en Elido en su primer inicio de sesión SSO — no se requiere aprovisionamiento previo. Es más sencillo de configurar pero no ofrece control sobre quién puede iniciar sesión (cualquier persona con una aserción SSO válida obtiene una cuenta). El aprovisionamiento SCIM otorga el control a su IdP: solo los usuarios del grupo aprovisionado pueden iniciar sesión, y las cuentas se crean antes del primer inicio de sesión. Para entornos empresariales donde el acceso debe ser pre-aprobado, se requiere SCIM. Cuando SCIM está activo, el aprovisionamiento JIT se deshabilita.

¿Cómo funcionan los mapeos de grupos a roles de SCIM?

En la configuración de SSO del espacio de trabajo, usted mapea sus grupos de IdP a roles de Elido: por ejemplo, 'Grupo de Okta: Administradores de Elido' → 'Rol de Elido: Admin', 'Grupo de Okta: Miembros de Elido' → 'Rol de Elido: Member'. El rol de un usuario en Elido sigue su membresía de grupo en el IdP — si se mueven del grupo de Administradores al grupo de Miembros en Okta, su rol en Elido se degrada en la siguiente sincronización SCIM (normalmente en menos de 60 segundos). Un usuario en múltiples grupos adquiere el rol con mayores privilegios de los mapeos coincidentes.

¿Se puede exigir SSO para todos los usuarios o es opcional?

El SSO se puede configurar como obligatorio (todos los usuarios deben iniciar sesión a través de SSO — el inicio de sesión con contraseña se deshabilita) u opcional (los usuarios pueden elegir SSO o correo electrónico + contraseña). En Business, la obligatoriedad se configura en los ajustes de SSO del espacio de trabajo. Una vez que es obligatorio, los usuarios que no tienen una identidad SSO activa quedan bloqueados — asegúrese de que el aprovisionamiento SCIM o JIT haya creado las cuentas antes de habilitar la obligatoriedad. Las cuentas de administrador pueden estar exentas de la obligatoriedad del SSO como mecanismo de emergencia; esto es configurable.

¿Qué sucede con las claves de API cuando un usuario es dado de baja a través de SCIM?

Cuando SCIM desactiva a un usuario, Elido suspende todas las claves de API creadas por ese usuario. Las claves suspendidas devuelven HTTP 401 en la autenticación. Las claves no se eliminan — permanecen visibles para los administradores del espacio de trabajo para fines de auditoría, con una etiqueta de estado 'suspendida — usuario dado de baja'. Si una cuenta de servicio estaba utilizando una clave de API personal (no una clave de servicio del espacio de trabajo), la suspensión de la clave interrumpirá esa integración — esto es intencionado. Para integraciones de producción, utilice claves de servicio a nivel de espacio de trabajo en lugar de claves de API de usuario.

¿Está disponible el SSO en Pro o solo en Business?

El SSO y SCIM son funciones exclusivas de Business. Los espacios de trabajo Pro utilizan la autenticación integrada de Elido (correo electrónico + contraseña a través de Ory Kratos, OAuth opcional de Google/GitHub). Si el SSO es un requisito indispensable para su aprobación de compra, el plan Business es el punto de partida. Póngase en contacto con ventas para una prueba de Business si necesita evaluar el SSO antes de comprometerse.

¿Cómo gestiono el SSO para un espacio de trabajo que tiene múltiples marcas o sub-organizaciones?

Cada espacio de trabajo de Elido tiene su propia configuración de SSO — si gestiona múltiples espacios de trabajo (por ejemplo, por marca, por unidad de negocio), cada uno obtiene su propia conexión IdP y aprovisionamiento SCIM por separado. Los usuarios pueden ser miembros de múltiples espacios de trabajo con diferentes roles en cada uno; su identidad IdP es la misma, pero los mapeos de grupos a roles se evalúan por espacio de trabajo. Un grupo compartido de Okta puede mapearse como Admin en un espacio de trabajo y Member en otro.

¿Existe un registro de auditoría para los intentos fallidos de SSO?

Sí. Los intentos fallidos de SSO (aserción SAML no válida, sesión caducada, falta de cuenta SCIM cuando JIT está desactivado) se registran en el registro de auditoría del espacio de trabajo con el código de motivo. Esto es útil para diagnosticar por qué un usuario específico no puede iniciar sesión y para detectar sondeos de SSO por fuerza bruta. Los intentos fallidos desde direcciones IP que superan un umbral activan una alerta en el espacio de trabajo (configurable en los ajustes de seguridad del espacio de trabajo).

Keep reading

White-label

SSO del portal white-label — sus clientes inician sesión en su panel de marca a través de su IdP.

Webhooks

Webhooks salientes firmados con HMAC — el mismo patrón de rotación de secretos se aplica a las firmas de webhooks salientes.

API & SDKs

Claves de servicio de espacio de trabajo para integraciones de API de producción — con alcance al espacio de trabajo, no a usuarios individuales.

Para empresas

SOC 2, ISO 27001, residencia en la UE y edge dedicado — todo el stack de funciones empresariales.

¿Listo para probarlo?

Empieza con el plan gratuito, actualiza cuando necesites un dominio personalizado.

Empezar gratisVer precios
SSO & SCIM — Inicio de sesión y aprovisionamiento empresarial a través de WorkOS. · Elido