The shortener your security team won’t reject.
Mides la postura de cumplimiento, el tiempo de respuesta a incidentes y el número de cuestionarios de proveedores que puedes superar. Elido es el acortador que tu equipo de seguridad no rechazará.
- SAML SSO + SCIM via WorkOS or native — Okta, Entra ID, Google
- eu-central-1 default with workspace-level region pin
- SOC 2 Type II audit in progress (H2 2026 target)
- ISO 27001 achieved; certificate available under NDA
How SSO works
Okta or Entra ID → SAML → Elido. Twelve minutes from cold start.
SSO routes through WorkOS, which normalises the protocol differences between SAML 2.0 and OIDC and the per-IdP quirks that no one wants to maintain themselves. Your team configures the SAML app once in their IdP; Elido picks up users by email domain → connection mapping.
- Step 1
User signs in
okta.com / login.microsoftonline.comIdP authenticates against the corporate directory.
- Step 2
SAML assertion
WorkOS connection · domain-routedEmail-domain → IdP connection mapping, no per-user setup.
- Step 3
Elido session
edge auth · 200 OKSession token issued, scope derived from group claims.
- Step 4
Workspace landing
app.elido.app/w/your-orgRole + IP allowlist evaluated; audit row written.
SCIM provisioning
Add a user in Okta. They’re in Elido in five minutes.
SCIM 2.0 directory sync provisions and deprovisions users automatically. Group-claim mapping converts IdP groups into Elido workspace roles, so a promotion in HR’s system rolls into Elido without a ticket. Departing employees are deprovisioned within the SCIM sync cycle, with active sessions revoked and the action logged.
- Auto-provision on group addIdP group membership → workspace invitation, no manual step
- Group-claim role mappingengineering-eu → editor, finance → viewer, configurable
- Deprovision = session revokeDELETE event invalidates tokens; API keys revoked by policy
- Every SCIM event is auditedAppend-only log with actor, before/after, source IP
- 1User added in Okta
Joins the elido-eu-engineering directory group as part of HR onboarding.
okta.comPOST /scim/v2/UsersT+75s - 2WorkOS pushes to Elido
SCIM sync cycle picks up the create event; no manual invite needed.
workos.com → elido.appscim.create user@orgT+150s - 3Elido provisions the user
Account created, workspace invitation surfaced in pending state.
api-coreuser.id = usr_01HK…T+225s - 4Group claim → role
engineering → editor; billing-admins → admin. Mapping is configurable.
policyrole: editor (workspace.eu)T+300s - Deprovision is the same flow in reverse — DELETE event revokes sessions and rotates affected API keys per policy.
Authorization model
Cedar-based RBAC, not a fixed three-tier hierarchy.
The matrix below is the out-of-the-box view. Custom roles let you express things like “create links on this domain only” or “read-only on analytics, no billing access” as Cedar policies. Roles are scoped per workspace, so different business units can run different role structures.
| Permission | Owner | Admin | Member | Read-only | API key |
|---|---|---|---|---|---|
Create / edit links | |||||
Manage custom domains | |||||
View analytics | |||||
Manage billing | |||||
Invite & manage members | |||||
Rotate API keys |
What enterprise IT actually gets
- SAML SSO + SCIM via WorkOS or native — Okta, Entra ID, Google
- eu-central-1 default with workspace-level region pin
- SOC 2 Type II audit in progress (H2 2026 target)
- ISO 27001 achieved; certificate available under NDA
- BAA on Business+ for HIPAA-adjacent workloads
- Dedicated edge POPs available for Enterprise contracts
Lo que el departamento de TI empresarial realmente necesita de un acortador
Los acortadores de Shadow-IT fallan en las compras debido a tres preguntas: quién tiene acceso, dónde están los datos y si podemos auditarlos. Las siguientes funciones cierran esas brechas.
SAML SSO vía WorkOS con aprovisionamiento de usuarios SCIM
El SSO es a través de WorkOS, que soporta SAML 2.0 y OIDC con cualquier IdP principal: Okta, Azure AD / Entra ID, Google Workspace, OneLogin, Ping y otros. El mapeo de dominio de correo electrónico a conexión significa que los usuarios son dirigidos al IdP correcto sin ninguna configuración por su parte. La sincronización de directorio SCIM aprovisiona y desaprovisiona usuarios automáticamente: los nuevos empleados añadidos al grupo IdP correspondiente reciben una invitación al espacio de trabajo de Elido en cuestión de minutos; los empleados que se van son desaprovisionados dentro del ciclo de sincronización SCIM sin necesidad de un ticket manual de baja. Los grupos del IdP se mapean a los roles del espacio de trabajo de Elido; configuras el mapeo una vez. Los cambios de rol en el IdP se propagan automáticamente. Esta es una integración gestionada por WorkOS: no mantenemos un conector por IdP; WorkOS normaliza los protocolos y Elido consume un único endpoint SCIM.
Roles personalizados con RBAC estilo Cedar — más allá de propietario/admin/miembro
El modelo de roles de Elido se basa en Cedar, lo que significa que los permisos son expresiones de política evaluadas en el momento de la solicitud en lugar de una jerarquía fija de tres niveles. De serie obtienes Propietario, Admin, Miembro y Lector. Los roles personalizados te permiten definir políticas como 'puede crear enlaces en este dominio pero no puede borrar ni cambiar reglas de redirección' o 'acceso de solo lectura a analíticas pero sin acceso a la configuración de facturación'. Los roles se asignan por espacio de trabajo, no globalmente: una empresa con múltiples espacios de trabajo puede tener diferentes estructuras de roles por unidad de negocio. La lista de IPs permitidas (rangos CIDR) se evalúa junto con las comprobaciones de roles: un usuario con el rol correcto pero fuera del rango de IP permitido es rechazado. Esto es relevante para equipos híbridos donde los contratistas acceden a un subconjunto diferente al de los empleados a tiempo completo.
Registro de auditoría de solo adición transmitido a tu SIEM en tiempo real
Cada acción en el espacio de trabajo — crear, actualizar, borrar enlace; cambio de configuración; invitación de miembro y cambio de rol; emisión y rotación de claves API; reclamación de dominio personalizado; exportación — llega a un registro de auditoría de solo adición con actor, marca de tiempo, IP de origen, diferencias antes/después y un tipo de evento estructurado. Los registros se conservan durante 90 días en Pro y 7 años en Business. El flujo SIEM transmite eventos vía webhook (firmado con HMAC-SHA256) a Splunk, Datadog, ELK o cualquier receptor HTTP en tiempo real. El registro se puede consultar en el dashboard pero no editar; la restricción de solo adición se aplica en la capa de base de datos. Postura de cumplimiento: el registro de auditoría es la evidencia principal para revisiones de control de acceso, gestión de cambios y respuesta a incidentes. Se registra un meta-evento de 'purga por retención' cuando las entradas antiguas caducan, por lo que la brecha en sí misma es auditable.
Residencia en la UE, lista de IPs permitidas y exportación a BigQuery para requisitos de gobernanza de datos
Los datos del espacio de trabajo se fijan en la UE (Frankfurt) por defecto y nunca salen de esa región a menos que un admin establezca Ashburn o Singapur explícitamente al crear el espacio de trabajo — una elección irreversible. No hay replicación entre regiones para datos en caliente. La lista de IPs permitidas (CIDR) en Business restringe el acceso al espacio de trabajo a rangos de salida conocidos — útil para equipos con VPN o IPs fijas de oficina. La exportación a BigQuery envía el flujo completo de eventos de clics y registros de auditoría a un dataset de BigQuery de tu propiedad, de forma programada o activada. También se soportan Snowflake y S3. Para cargas de trabajo reguladas que requieren que los datos permanezcan en una infraestructura específica: el chart de Helm de auto-alojamiento te permite ejecutar la capa de redirección en tu propia VPC, almacenando los eventos de clics en tu propio ClickHouse. El BAA de HIPAA está disponible en Business+ — las salvaguardas técnicas (cifrado, registro de auditoría, controles de acceso, notificación de brechas) están integradas; el BAA es un envoltorio legal alrededor de ellas.
Evidencia de cumplimiento pre-empaquetada: SOC 2, ISO 27001, DPA, sub-procesadores
Preguntas de compras que Elido resuelve sin un hilo de correos interminable: el DPA está pre-firmado y se puede descargar desde /legal/dpa; la lista de sub-procesadores es pública en /legal/subprocessors (5 proveedores, todos domiciliados en la UE u opción de exclusión disponible); se ha logrado la ISO 27001; el SOC 2 Tipo II está en proceso con objetivo para el segundo semestre de 2026. Compartimos evidencia del Tipo 1 bajo acuerdo de confidencialidad para clientes que la necesiten antes de que el informe del Tipo 2 sea público. El Centro de Confianza en /trust rastrea el estado actual de las certificaciones y actualizaciones sobre el historial de incidentes. La divulgación de vulnerabilidades es a través de HackerOne (programa privado); security.txt se encuentra en la ruta conocida. Estas son cosas que ya existen, no una hoja de ruta. No afirmaremos tener SOC 2 Tipo II hasta que el periodo de auditoría esté cerrado — previsto para el segundo semestre de 2026.
Stack you’ll touch
- SSO (SAML / OIDC)
- Aprovisionamiento SCIM
- Roles personalizados (RBAC)
- Lista de IP permitidas
- Registro de auditoría + flujo SIEM
- Residencia de datos en la UE
- HIPAA BAA
Qué mide tu equipo de seguridad
- Número de subprocesadores
- 5, solo en la UE
- Retención del registro de auditoría
- 7 años en Business
- Tiempo de respuesta DSAR
- Menos de 30 días
Equipos de TI empresariales que utilizan esto
Los nombres son marcadores de posición por ahora — los nombres reales de los clientes aparecerán aquí a medida que se publiquen los casos de estudio.
“La sincronización SCIM de Okta y la lista de IPs permitidas resolvieron nuestra lista de verificación de compras en la primera revisión. La transmisión del registro de auditoría a Splunk fue el detalle que dio tranquilidad al equipo de seguridad — pudieron ver que era real, no una casilla de verificación del proveedor.”
“Necesitábamos datos residentes en la UE y ningún sub-procesador de EE. UU. después de Schrems II. Elido fue el primer acortador que respondió a '¿dónde se almacenan los datos?' con una ciudad específica y un recuento de sub-procesadores inferior a 10.”
“El BAA en Business junto con la ISO 27001 resolvió el ángulo de HIPAA para nuestro equipo de producto en EE. UU. El aprovisionamiento SCIM significa que no tuvimos que intervenir en el onboarding de Elido durante una integración de adquisición de 200 personas.”
Elido vs Bitly Enterprise vs Bl.ink para TI empresarial
Bitly Enterprise y Bl.ink son opciones de grado empresarial con largas trayectorias. La siguiente comparación se centra en las funciones que evalúan los equipos de TI empresariales, no en afirmaciones de marketing.
| Capability | Elido | Bitly Enterprise | Bl.ink |
|---|---|---|---|
| Protocolo SSO | SAML 2.0 + OIDC vía WorkOS | SAML 2.0 en el nivel Enterprise | SAML 2.0 en Enterprise |
| Aprovisionamiento SCIM | Business y superiores, vía WorkOS | Solo nivel Enterprise | Disponible en Enterprise |
| Roles personalizados (RBAC) | Expresiones de política basadas en Cedar | Niveles de roles fijos | Granular, documentado |
| Lista de IPs permitidas | CIDR, Business+ | Solo Enterprise | Disponible |
| Registro de auditoría → SIEM | Flujo de webhook en tiempo real | Exportación diaria; complemento de tiempo real en Enterprise | Basado en API; cableado SIEM manual |
| Retención de registro de auditoría | 7 años en Business | 1 año estándar | Configurable en Enterprise |
| Residencia de datos en la UE | Por defecto en todos los planes | Opcional en Enterprise | Disponible; no es por defecto |
| Exportación a BigQuery | Programada, Business+ | No documentado | Basado en API; sin exportación nativa |
Preguntas de TI empresarial
¿Qué IdPs soporta el SSO?
Cualquier IdP que soporte SAML 2.0 o OIDC: Okta, Azure AD / Entra ID, Google Workspace, OneLogin, Ping, Rippling y otros. La integración es a través de WorkOS, que normaliza las diferencias de protocolo. Si tu IdP habla SAML u OIDC, funciona. La configuración es un flujo guiado por WorkOS: configura la aplicación SAML en tu IdP, pega la URL de metadatos en Elido, y listo.
¿Cómo funciona el desaprovisionamiento SCIM?
WorkOS gestiona el endpoint SCIM 2.0. Cuando se elimina un usuario del grupo correspondiente en tu IdP, WorkOS envía un evento DELETE a Elido. Elido revoca inmediatamente los tokens de sesión del usuario y marca la cuenta como inactiva. Las claves API activas asociadas a ese usuario no se revocan automáticamente; eso es un paso aparte que configuras en los ajustes de SCIM, con la opción predeterminada de revocar al desaprovisionar. La acción de desaprovisionamiento aparece en el registro de auditoría dentro del ciclo de sincronización SCIM (típicamente menos de 5 minutos).
¿Qué cubre la lista de IPs permitidas?
Inicio de sesión en el dashboard, solicitudes API y confirmación de entrega de webhooks. Se admite la notación CIDR; los rangos múltiples se separan por comas. Las solicitudes desde fuera de la lista de permitidas devuelven un 403 con un evento de auditoría registrado — sin caídas silenciosas. La lista de IPs permitidas se evalúa después de la autenticación, no antes, por lo que una autenticación fallida desde fuera de la lista de permitidas sigue registrando el intento.
¿Podemos obtener un BAA para el cumplimiento de HIPAA?
Sí, en Business+. El BAA cubre el rol de Elido como asociado de negocio para los espacios de trabajo donde la PHI pueda pasar a través de metadatos de enlaces o analíticas. Las salvaguardas técnicas (cifrado en reposo y en tránsito, registro de auditoría, controles de acceso, notificación de brechas) ya están implementadas. Contacta con compliance@elido.app para la plantilla del BAA.
¿Cuál es el estado de SOC 2?
La auditoría SOC 2 Tipo II está en marcha con un objetivo para el segundo semestre de 2026. Se ha logrado la ISO 27001. Compartimos evidencia del Tipo 1 bajo acuerdo de confidencialidad para los clientes que la necesiten antes de que se publique el informe del Tipo 2. El Centro de Confianza en /trust rastrea el estado actual. No afirmaremos tener el Tipo II hasta que el periodo de auditoría esté cerrado.
¿Cómo funcionan los roles personalizados? ¿Puedo restringir a un equipo a solo lectura en un dominio específico?
Sí. Los roles personalizados definen políticas basadas en Cedar que pueden limitar los permisos a dominios específicos, carpetas específicas u operaciones específicas (crear/leer/actualizar/borrar). Un rol que permite la creación de enlaces solo en un dominio personalizado específico y acceso de solo lectura a las analíticas es una política válida. Los roles son por espacio de trabajo; un usuario puede tener diferentes roles en diferentes espacios de trabajo. La evaluación de la política ocurre en el momento de la solicitud, no al iniciar sesión.
¿Existe una opción de edge dedicada para clientes Business?
El nivel Business utiliza los POPs de edge compartidos de Elido (Frankfurt, Ashburn, Singapur). Un edge dedicado — tu propia flota de nodos de redirección, con tráfico aislado de otros inquilinos — es una conversación para Enterprise. Contacta con sales@elido.app. Alternativamente, el chart de Helm de auto-alojamiento te permite ejecutar la capa de redirección en tu propia VPC, lo cual es un patrón común para clientes Enterprise con requisitos estrictos de aislamiento de tráfico.
¿Cuál es el SLA de notificación de brechas?
24 horas para la notificación al cliente en caso de brechas confirmadas de datos personales; 72 horas para la notificación al regulador (GDPR Art. 33). La notificación cubre lo que sabemos en ese momento — no esperamos a la forense completa. El proceso está en /trust/incident-response.
Enterprise IT reading list
WorkOS-managed SAML/OIDC, SCIM 2.0 deprovisioning, IdP guides.
Branded portal hostname, transactional emails, sub-processor parity.
SOC 2 status, ISO 27001, sub-processors, incident history.
Pre-signed GDPR Data Processing Addendum, EU SCCs included.
OpenAPI 3.1, SDKs in TypeScript / Go / Python, webhooks.
Encryption posture, RBAC model, audit log, IP allowlist.
¿No estás seguro de qué enfoque se adapta?
La mayoría de los equipos comienzan como uno y crecen hasta abarcar los cuatro. Nuestro equipo de ventas puede revisar tu stack específico en 20 minutos.