Elido
Tout ce qu'Elido fait
Business

SSO et SCIM. Enterprise identity, zero friction.

Connexion SAML / OIDC contre tout IdP majeur. La synchronisation de répertoire SCIM provisionne et déprovisionne les utilisateurs automatiquement. Les secrets de webhook tournent sans perdre l'état.

Start freeConsulter le guide SCIM et SSO
  • SAML / OIDC against 20+ identity providers
  • SCIM directory sync — provision and deprovision automatically
  • Webhook secret rotation without downtime
  • Full audit trail for compliance
SSO sign-in flow
SAML 2.0
Userclicks sign inIdPOOktaSAML 2.0 · SCIM 2.0AAzure ADEntra ID · OIDCGoogle WSSAML · OIDCSAMLWorkOSSSO brokerSCIM relayElidodashboardsession ✓
Email-domain → IdP routing20+ IdP connections
20+
connexions IdP via WorkOS
<60s
latence pour le provisionnement SCIM
Zero-touch
Offboarding — désactivé sur l'IdP = révoqué dans Elido
HMAC-SHA256
Signature des secrets de Webhook

SCIM directory sync

Provision and deprovision in under 60 seconds

Connect your IdP directory once. Every hire, transfer, and departure propagates to Elido automatically — no IT ticket, no manual invite, no forgotten offboarding gap.

  • Auto-provisioning
    SCIM CREATE from Okta or Entra → Elido account in under 60s
  • Group-to-role mapping
    IdP groups map to Elido roles; changes propagate on next sync
  • Instant deprovisioning
    SCIM DELETE or active: false → sessions revoked immediately
  • API key suspension
    All user API keys suspended on offboarding — no access-after-departure gap
Directory sync
SCIM 2.0
Okta directory
  • A
    Ana Kovač
    Admin
  • B
    Ben Carter
    Member
  • C
    Carla Mora
    Member
  • D
    Dmitri Volkov
    Viewer
  • E
    Erika Salo
    Member
SCIM
Elido workspace
  • A
    Ana Kovač
    Admin
  • B
    Ben Carter
    Member
  • C
    Carla Mora
    Member
  • D
    Dmitri Volkov
    Viewer
  • E
    Erika Salo
    deprovisioned
Live sync active< 60s sync latency

Identity providers

Works with every major IdP

Elido uses WorkOS as the SSO and SCIM broker — 20+ connections out of the box, plus Generic SAML for any SP-initiated flow. Configure the Elido application in your IdP once; Elido generates the SAML metadata XML or OIDC credentials.

20+ IdPs via WorkOS
Ok
Okta
SAML · SCIM
Az
Azure AD
SAML · OIDC
G
Google WS
SAML · OIDC
OL
OneLogin
SAML · SCIM
JC
JumpCloud
SAML · SCIM
Pi
PingIdentity
SAML 2.0
A0
Auth0
OIDC
SP
Generic SAML
SAML 2.0

Any SAML 2.0-compliant IdP works via Generic SAML. See the setup guide →

Audit trail
AllSSO eventsSCIM events
EventActorIPTime
  • User provisioned via SCIMokta-scim-svc10.0.1.409:12:04
  • SSO login — Oktaana@corp.com91.223.4.1709:14:31
  • SSO login — Azure ADben@corp.com185.46.9.209:17:08
  • Webhook secret rotatedadmin@corp.com77.123.11.510:05:22
  • User deprovisioned via SCIMokta-scim-svc10.0.1.414:33:51
  • Role changed: Member → Adminadmin@corp.com77.123.11.515:01:09
6 events shown · append-only logExport CSV

Audit trail

Immutable identity event log

Every SSO login, SCIM provision, role change, and secret rotation is logged append-only. No admin can delete entries. Export to CSV or stream to your SIEM via API.

  • Timestamp, actor, action, target, and IdP connection per event
  • 12-month retention on Business; longer available on request
  • API export for SOC 2, ISO 27001, DORA, and NIS2 evidence
  • Failed SSO attempts logged with reason code
  • IP-based alerting for SSO probing threshold
  • Secret rotations reference the overlap window in the log
Deactivation in IdP → access revoked in Elido in under 60 seconds

What you can do

  • Okta, Azure AD / Entra, Google Workspace
  • Mappage domaine d'e-mail → connexion
  • Création / mise à jour / suppression d'utilisateur SCIM
  • Vérification de signature de webhook (HMAC-SHA256)

Ce qu'exigent réellement le SSO et le provisionnement SCIM d'entreprise en production

La redirection SAML est le strict minimum. Les détails ci-dessous couvrent la latence de provisionnement, le mappage des rôles, la rotation des secrets et les modes de défaillance qui comptent pour les équipes de sécurité.

Connexion SSO
01

Connexion SAML 2.0 et OIDC via WorkOS — routage par domaine d'e-mail vers la bonne connexion IdP

Elido utilise WorkOS comme courtier SSO, prenant en charge plus de 20 connexions IdP, notamment Okta, Azure AD / Entra ID, Google Workspace, OneLogin, PingFederate et tout IdP compatible SAML 2.0. Votre équipe informatique configure l'application Elido dans votre IdP une seule fois ; Elido génère un XML de métadonnées SAML ou des identifiants client OIDC pour l'assistant de configuration IdP. Le routage par domaine d'e-mail associe les domaines d'e-mail des utilisateurs à la bonne connexion IdP — les utilisateurs avec @votreentreprise.com sont automatiquement redirigés vers votre connexion Okta sans avoir à la sélectionner. Plusieurs domaines d'e-mail peuvent être mappés à une seule connexion (pour les entreprises issues de fusions ou possédant plusieurs domaines). Le provisionnement JIT crée le compte Elido lors de la première connexion SSO si SCIM n'est pas utilisé ; si SCIM est actif, le JIT est désactivé et le compte doit être provisionné via SCIM avant la première connexion.

Provisionnement SCIM
02

Synchronisation d'annuaire SCIM 2.0 : provisionnement et déprovisionnement automatiques, et mappage groupe-rôle

SCIM 2.0 synchronise l'annuaire utilisateur de votre fournisseur d'identité avec Elido. Lorsqu'un utilisateur est ajouté au groupe d'applications Elido dans Okta ou Entra, Elido reçoit un événement SCIM CREATE et provisionne le compte utilisateur — pas de ticket informatique, pas d'invitation manuelle. Les mises à jour de profil utilisateur (nom, e-mail) se propagent automatiquement. Lorsqu'un utilisateur est supprimé du groupe ou désactivé dans l'IdP, Elido reçoit un événement SCIM DELETE ou PATCH (active: false) et révoque immédiatement l'accès — les sessions actives sont invalidées, les clés API de l'utilisateur sont suspendues. Le mappage groupe-rôle vous permet de lier vos groupes IdP (ex: 'Admins Elido', 'Lecteurs Elido') aux rôles Elido (Admin, Member, Viewer). Les attributions de rôles se mettent à jour automatiquement lorsque l'appartenance au groupe change dans l'IdP. La latence de provisionnement entre l'événement IdP et la création du compte Elido est généralement inférieure à 60 secondes.

Rotation des secrets
03

Les secrets de signature de Webhook tournent sans perdre d'événements en cours — procédure de rotation sans interruption

Le récepteur de Webhook SCIM d'Elido et le système de Webhook sortant utilisent des signatures HMAC-SHA256 pour vérifier l'authenticité des événements. Les secrets expirent et nécessitent une rotation — soit de façon planifiée (recommandé : 90 jours), soit après une suspicion de compromission. La rotation sans interruption fonctionne ainsi : générez un nouveau secret dans le tableau de bord (l'ancien secret reste valide pendant 15 minutes pendant la fenêtre de chevauchement), déployez le nouveau secret sur vos systèmes, vérifiez qu'un événement SCIM entrant est validé avec le nouveau secret, puis déclenchez l'expiration immédiate de l'ancien secret. La fenêtre de 15 minutes garantit que les événements en cours signés avec l'ancien secret sont toujours traités pendant la fenêtre de déploiement. La rotation des secrets est enregistrée dans le journal d'audit avec l'horodatage, l'acteur (l'admin ayant effectué la rotation) et la confirmation de l'expiration du chevauchement.

Journal d'audit
04

Journal complet des événements d'identité : connexions SSO, événements de provisionnement, changements de rôles et rotations de secrets

Chaque connexion SSO, provisionnement/déprovisionnement SCIM, changement d'attribution de rôle et rotation de secret est enregistré dans le journal d'audit de l'espace de travail (Business). Chaque entrée comprend : l'horodatage, l'acteur (utilisateur ou service SCIM), le type d'action, la cible (l'utilisateur ou la ressource affecté), la connexion IdP utilisée et l'ID de l'espace de travail. Le journal d'audit est en ajout seul et immuable — aucun administrateur ne peut supprimer d'entrées. Exportez en CSV ou interrogez via l'API pour l'ingestion SIEM. Si votre cadre de conformité exige des preuves des événements de contrôle d'accès (SOC 2 Type II, ISO 27001, DORA, NIS2), le journal d'audit est l'artefact de référence. La rétention est de 12 mois sur Business ; une rétention plus longue est disponible sur demande pour les industries réglementées.

Gestion de session
05

Expiration forcée de session via SCIM — accès révoqué en moins de 60 secondes lors de la désactivation de l'IdP

Lorsque SCIM signale qu'un utilisateur est désactivé (départ d'un employé, fin de contrat d'un prestataire), Elido invalide immédiatement toutes les sessions actives de cet utilisateur et suspend ses clés API. Cela ne dépend pas du TTL du cookie de session — Elido stocke un indicateur de révocation par ID utilisateur et le vérifie à chaque requête authentifiée. Le délai entre la désactivation de l'IdP et la révocation de l'accès à Elido correspond à la latence de livraison de l'événement SCIM : généralement moins de 30 secondes pour Okta, moins de 60 secondes pour Azure Entra. Pour les départs à haute sécurité (ex: un admin sortant), un administrateur d'espace de travail Elido peut également révoquer manuellement les sessions d'un utilisateur spécifique dans le tableau de bord avant l'arrivée de l'événement SCIM. Les sessions révoquées manuellement et les révocations déclenchées par SCIM apparaissent toutes deux dans le journal d'audit.

Équipes de sécurité d'entreprise utilisant Elido SSO & SCIM

Les noms sont des espaces réservés — les études de cas réelles de clients seront publiées ici.

Le déprovisionnement SCIM était l'exigence numéro un de notre équipe de sécurité. Lorsqu'un employé est désactivé dans Entra, l'accès à Elido est coupé en moins d'une minute — pas de ticket de déprovisionnement manuel, pas de faille 'oubli de révocation'. Nous avons audité les journaux après trois mois et trouvé zéro événement d'accès post-départ.

R
Responsable sécurité informatique, entreprise de logistique, 1 200 employés, Hambourg
Responsable de la sécurité informatique

Nous avons cinq domaines d'e-mail d'entreprise issus de deux acquisitions. Le routage domaine d'e-mail → IdP dans Elido gère les cinq pointant vers la même connexion Okta. Les utilisateurs de n'importe quel domaine accèdent au bon flux SSO sans avoir à choisir dans une liste.

I
Informatique d'entreprise, SaaS en pleine croissance, 400 employés, Amsterdam
Ingénieur informatique senior

La rotation des secrets sans interruption est le détail qui nous a convaincus. Nous faisons tourner les secrets de Webhook trimestriellement par politique ; la fenêtre de chevauchement de 15 minutes nous permet de le faire pendant les heures de bureau sans risque d'incident. Chaque rotation est enregistrée, auditée et référencée dans notre dossier de preuves SOC 2.

I
Ingénierie de la sécurité, fintech, Dublin
Ingénieur sécurité

Elido SSO & SCIM vs Bitly vs Rebrandly

Le SSO est disponible sur le niveau entreprise de Bitly et le niveau Business de Rebrandly. Le provisionnement SCIM est plus limité sur les deux. La comparaison couvre ce que chacun livre réellement.

FeatureElidoBitly EnterpriseRebrandly Business
SAML 2.0 SSOOui — courtier WorkOS, 20+ connexions IdPOui — niveau entrepriseOui — niveau Business
OIDC SSOOui — aux côtés de SAML via WorkOSSAML uniquementSAML uniquement
Provisionnement SCIM 2.0Création / mise à jour / suppression complète + mappage groupe-rôleLimité — création d'utilisateur uniquement, pas de mappage groupe-rôleNon disponible
Auto-déprovisionnement lors du départOui — SCIM DELETE, session révoquée en moins de 60sManuel uniquementManuel uniquement
Routage IdP par domaine d'e-mailOui — plusieurs domaines par connexionUn seul domaine par connexionNon documenté
Journal d'audit pour les événements d'identitéOui — immuable, 12 mois, export APIJournal d'audit limitéJournal d'audit limité
Rotation des secrets de Webhook (sans interruption)Oui — fenêtre de chevauchement de 15 minutesNon applicableNon applicable

Questions sur le SSO et le SCIM

Quels fournisseurs d'identité sont pris en charge ?

Elido utilise WorkOS comme courtier SSO et SCIM, prenant en charge Okta, Azure AD / Entra ID, Google Workspace, OneLogin, PingFederate, Shibboleth, ADFS, JumpCloud et tout IdP compatible SAML 2.0. Les connexions OIDC sont également prises en charge pour des fournisseurs comme Google Workspace et Azure. Si votre IdP n'est pas dans la liste standard de WorkOS, le type de connexion 'Generic SAML' de WorkOS fonctionne avec n'importe quel flux initié par le SP SAML 2.0. Contactez-nous si vous avez besoin d'une connexion IdP spécifique non listée.

C'est quoi le provisionnement JIT vs le provisionnement SCIM ?

Le provisionnement JIT (Just-in-Time) crée un compte utilisateur dans Elido lors de sa première connexion SSO — aucun pré-provisionnement requis. C'est plus simple à configurer mais ne donne aucun contrôle sur qui peut se connecter (toute personne ayant une assertion SSO valide obtient un compte). Le provisionnement SCIM donne le contrôle à votre IdP : seuls les utilisateurs du groupe provisionné peuvent se connecter, et les comptes sont créés avant la première connexion. Pour les environnements d'entreprise où l'accès doit être pré-approuvé, SCIM est requis. Lorsque SCIM est actif, le provisionnement JIT est désactivé.

Comment fonctionnent les mappages groupe-rôle SCIM ?

Dans les paramètres SSO de l'espace de travail, vous mappez vos groupes IdP aux rôles Elido : ex, 'groupe Okta : Admins Elido' → 'rôle Elido : Admin', 'groupe Okta : Membres Elido' → 'rôle Elido : Member'. Le rôle d'un utilisateur dans Elido suit son appartenance au groupe IdP — s'il passe du groupe Admins au groupe Members dans Okta, son rôle Elido est déclassé lors de la prochaine synchronisation SCIM (généralement moins de 60 secondes). Un utilisateur appartenant à plusieurs groupes prend le rôle le plus privilégié parmi les mappages correspondants.

Le SSO peut-il être exigé pour tous les utilisateurs ou est-il facultatif ?

Le SSO peut être configuré comme forcé (tous les utilisateurs doivent se connecter via SSO — la connexion par mot de passe est désactivée) ou facultatif (les utilisateurs peuvent choisir entre SSO ou e-mail+mot de passe). Sur Business, le forçage est configuré dans les paramètres SSO de l'espace de travail. Une fois forcé, les utilisateurs qui n'ont pas d'identité SSO active sont bloqués — assurez-vous que le provisionnement SCIM ou JIT a créé les comptes avant d'activer le forçage. Les comptes administrateurs peuvent être exemptés du forçage SSO comme mécanisme de secours ; ceci est configurable.

Qu'advient-il des clés API lorsqu'un utilisateur est désactivé via SCIM ?

Lorsque SCIM désactive un utilisateur, Elido suspend toutes les clés API créées par cet utilisateur. Les clés suspendues renvoient HTTP 401 lors de l'authentification. Les clés ne sont pas supprimées — elles restent visibles pour les administrateurs de l'espace de travail à des fins d'audit, avec un libellé de statut 'suspendu — utilisateur offboardé'. Si un compte de service utilisait une clé API personnelle (et non une clé de service d'espace de travail), la suspension de la clé interrompra cette intégration — c'est intentionnel. Pour les intégrations de production, utilisez des clés de service au niveau de l'espace de travail plutôt que des clés API utilisateur.

Le SSO est-il disponible sur Pro ou seulement Business ?

Le SSO et le SCIM sont des fonctionnalités réservées au plan Business. Les espaces de travail Pro utilisent l'authentification intégrée d'Elido (e-mail + mot de passe via Ory Kratos, OAuth Google/GitHub en option). Si le SSO est une exigence absolue pour votre approbation d'achat, le plan Business est le point de départ. Contactez le service commercial pour un essai Business si vous devez évaluer le SSO avant de vous engager.

Comment gérer le SSO pour un espace de travail avec plusieurs marques ou sous-organisations ?

Chaque espace de travail Elido possède sa propre configuration SSO — si vous gérez plusieurs espaces de travail (ex: par marque, par unité commerciale), chacun dispose de sa propre connexion IdP et de son propre provisionnement SCIM séparément. Les utilisateurs peuvent être membres de plusieurs espaces de travail avec des rôles différents dans chacun ; leur identité IdP est la même, mais les mappages groupe-rôle sont évalués par espace de travail. Un groupe Okta partagé peut correspondre au rôle Admin dans un espace de travail et Member dans un autre.

Existe-t-il un journal d'audit pour les tentatives de connexion SSO échouées ?

Oui. Les tentatives de connexion SSO échouées (assertion SAML invalide, session expirée, compte SCIM manquant lorsque le JIT est désactivé) sont enregistrées dans le journal d'audit de l'espace de travail avec le code de raison. C'est utile pour diagnostiquer pourquoi un utilisateur spécifique ne peut pas se connecter et pour détecter les tentatives de sondage SSO par force brute. Les tentatives échouées provenant d'adresses IP dépassant un seuil déclenchent une alerte d'espace de travail (configurable dans les paramètres de sécurité de l'espace de travail).

Keep reading

White-label

SSO du portail white-label — vos clients se connectent à votre tableau de bord personnalisé via leur IdP.

Webhooks

Webhooks sortants signés par HMAC — le même modèle de rotation des secrets s'applique aux signatures des webhooks sortants.

API & SDKs

Clés de service d'espace de travail pour les intégrations d'API de production — limitées à l'espace de travail, pas aux utilisateurs individuels.

Pour les entreprises

SOC 2, ISO 27001, résidence des données en UE et edge dédié — la pile complète des fonctionnalités d'entreprise.

Prêt à essayer ?

Commencez avec le forfait gratuit, passez à la version supérieure lorsque vous avez besoin d'un domaine personnalisé.

Commencer gratuitementVoir les tarifs
SSO et SCIM — Connexion d'entreprise et provisionnement via WorkOS. · Elido