← Choisissez l'angle qui convient à votre équipe

For enterprise IT

The shortener your security team won’t reject.

Vous mesurez la posture de conformité, le temps de réponse aux incidents et le nombre de questionnaires fournisseurs que vous pouvez supporter. Elido est le raccourcisseur que votre équipe de sécurité n'aura pas à rejeter.

Talk to sales Read trust report

SAML SSO + SCIM via WorkOS or native — Okta, Entra ID, Google
eu-central-1 default with workspace-level region pin
SOC 2 Type II audit in progress (H2 2026 target)
ISO 27001 achieved; certificate available under NDA

Workspace residency

eu-central-1 · default

Default + EU residency

Opt-in (Business+, irreversible)

SAML + OIDC

Protocole SSO

WorkOS

Fournisseur SSO/SCIM

7 years

Rétention d'audit (Business)

ISO 27001

Certification actuelle

How SSO works

Okta or Entra ID → SAML → Elido. Twelve minutes from cold start.

SSO routes through WorkOS, which normalises the protocol differences between SAML 2.0 and OIDC and the per-IdP quirks that no one wants to maintain themselves. Your team configures the SAML app once in their IdP; Elido picks up users by email domain → connection mapping.

Step 1
User signs in
okta.com / login.microsoftonline.com
IdP authenticates against the corporate directory.
Step 2
SAML assertion
WorkOS connection · domain-routed
Email-domain → IdP connection mapping, no per-user setup.
Step 3
Elido session
edge auth · 200 OK
Session token issued, scope derived from group claims.
Step 4
Workspace landing
app.elido.app/w/your-org
Role + IP allowlist evaluated; audit row written.

SCIM provisioning

Add a user in Okta. They’re in Elido in five minutes.

SCIM 2.0 directory sync provisions and deprovisions users automatically. Group-claim mapping converts IdP groups into Elido workspace roles, so a promotion in HR’s system rolls into Elido without a ticket. Departing employees are deprovisioned within the SCIM sync cycle, with active sessions revoked and the action logged.

Auto-provision on group add
IdP group membership → workspace invitation, no manual step
Group-claim role mapping
engineering-eu → editor, finance → viewer, configurable
Deprovision = session revoke
DELETE event invalidates tokens; API keys revoked by policy
Every SCIM event is audited
Append-only log with actor, before/after, source IP

SCIM & SSO deep-dive →

SCIM directory sync

workspace · acme-eu

Live · WorkOS

1
User added in Okta
Joins the elido-eu-engineering directory group as part of HR onboarding.
okta.comPOST /scim/v2/Users
T+75s
2
WorkOS pushes to Elido
SCIM sync cycle picks up the create event; no manual invite needed.
workos.com → elido.appscim.create user@org
T+150s
3
Elido provisions the user
Account created, workspace invitation surfaced in pending state.
api-coreuser.id = usr_01HK…
T+225s
4
Group claim → role
engineering → editor; billing-admins → admin. Mapping is configurable.
policyrole: editor (workspace.eu)
T+300s
Deprovision is the same flow in reverse — DELETE event revokes sessions and rotates affected API keys per policy.

Authorization model

Cedar-based RBAC, not a fixed three-tier hierarchy.

The matrix below is the out-of-the-box view. Custom roles let you express things like “create links on this domain only” or “read-only on analytics, no billing access” as Cedar policies. Roles are scoped per workspace, so different business units can run different role structures.

Built-in role permissions

Cedar policies · custom roles override

Permission	Owner	Admin	Member	Read-only	API key
Create / edit links
Manage custom domains
View analytics
Manage billing
Invite & manage members
Rotate API keys

Allowed

Scoped — set via Cedar policy

Denied

Policy eval at request time, not at loginaudit · every change

See security model →Custom roles guide → docs

What enterprise IT actually gets

SAML SSO + SCIM via WorkOS or native — Okta, Entra ID, Google
eu-central-1 default with workspace-level region pin
SOC 2 Type II audit in progress (H2 2026 target)
ISO 27001 achieved; certificate available under NDA
BAA on Business+ for HIPAA-adjacent workloads
Dedicated edge POPs available for Enterprise contracts

Ce dont l'IT d'entreprise a réellement besoin d'un réducteur de liens

Les réducteurs de liens 'Shadow-IT' échouent lors des processus d'achat sur trois questions : qui a accès, où sont les données et pouvons-nous les auditer. Les fonctionnalités ci-dessous comblent ces lacunes.

Identité et provisionnement

SSO SAML via WorkOS avec provisionnement d'utilisateurs SCIM

Le SSO passe par WorkOS, qui prend en charge SAML 2.0 et OIDC avec n'importe quel IdP majeur : Okta, Azure AD / Entra ID, Google Workspace, OneLogin, Ping, et autres. Le mappage domaine-e-mail → connexion signifie que les utilisateurs sont redirigés vers le bon IdP sans aucune configuration de leur part. La synchronisation d'annuaire SCIM provisionne et déprovisionne les utilisateurs automatiquement : les nouveaux employés ajoutés au groupe IdP concerné reçoivent une invitation à l'espace de travail Elido en quelques minutes ; les employés partants sont déprovisionnés dans le cycle de synchronisation SCIM sans ticket de départ manuel. Les groupes de l'IdP sont mappés aux rôles de l'espace de travail Elido ; vous configurez le mappage une seule fois. Les changements de rôle dans l'IdP se propagent automatiquement. Il s'agit d'une intégration gérée par WorkOS — nous ne maintenons pas de connecteur par IdP ; WorkOS normalise les protocoles et Elido consomme un point de terminaison SCIM unique.

Modèle d'autorisation

Rôles personnalisés avec RBAC de style Cedar — au-delà de propriétaire/admin/membre

Le modèle de rôle d'Elido est basé sur Cedar, ce qui signifie que les permissions sont des expressions de politique évaluées au moment de la requête plutôt qu'une hiérarchie fixe à trois niveaux. Par défaut, vous disposez des rôles Propriétaire, Admin, Membre et Visiteur. Les rôles personnalisés vous permettent de définir des politiques telles que 'peut créer des liens sur ce domaine mais ne peut pas supprimer ou modifier les règles de redirection' ou 'accès en lecture seule aux analyses mais pas d'accès aux paramètres de facturation'. Les rôles sont attribués par espace de travail, et non globalement — une entreprise avec plusieurs espaces de travail peut avoir des structures de rôles différentes par unité commerciale. L'IP allowlist (plages CIDR) est évaluée en même temps que les vérifications de rôle : un utilisateur avec le bon rôle mais en dehors de la plage IP autorisée est refusé. Ceci est particulièrement utile pour les équipes hybrides où les prestataires accèdent à un sous-ensemble différent de celui des employés à plein temps.

Audit et SIEM

Journal d'audit en ajout seul diffusé vers votre SIEM en temps réel

Chaque action de l'espace de travail — création de lien, mise à jour, suppression ; modification des paramètres ; invitation de membre et changement de rôle ; émission et rotation de clé API ; revendication de domaine personnalisé ; export — atterrit dans un journal d'audit en ajout seul avec l'acteur, l'horodatage, l'IP source, le diff avant/après et un type d'événement structuré. Les journaux sont conservés pendant 90 jours en Pro et 7 ans en Business. Le flux SIEM diffuse les événements via webhook (signé HMAC-SHA256) vers Splunk, Datadog, ELK ou tout récepteur HTTP en temps réel. Le journal est consultable dans le tableau de bord mais non modifiable ; la contrainte d'ajout seul est appliquée au niveau de la base de données. Posture de conformité : le journal d'audit est la preuve principale pour les revues de contrôle d'accès, la gestion du changement et la réponse aux incidents. Un méta-événement 'purge de rétention' est consigné lorsque les anciennes entrées expirent, rendant la lacune elle-même auditable.

Gouvernance des données

Résidence en UE, IP allowlist et export BigQuery pour les exigences de gouvernance des données

Les données de l'espace de travail sont épinglées en UE (Francfort) par défaut et ne quittent jamais cette région sauf si un administrateur définit explicitement Ashburn ou Singapour lors de la création de l'espace de travail — un choix irréversible. Il n'y a pas de réplication inter-régionale pour les données actives. L'IP allowlist (CIDR) en Business restreint l'accès à l'espace de travail aux plages de sortie connues — utile pour les équipes utilisant un VPN ou des IP de bureau fixes. L'export BigQuery envoie le flux complet des événements de clic et du journal d'audit vers un ensemble de données BigQuery que vous possédez, de manière planifiée ou déclenchée. Snowflake et S3 sont également pris en charge. Pour les charges de travail réglementées nécessitant que les données restent dans une infrastructure spécifique : le graphique Helm d'auto-hébergement vous permet d'exécuter la couche de redirection dans votre propre VPC, en stockant les événements de clic dans votre propre ClickHouse. Le BAA HIPAA est disponible en Business+ — les garanties techniques (chiffrement, piste d'audit, contrôles d'accès, notification de violation) sont en place ; le BAA est l'enveloppe juridique qui les entoure.

Audit de conformité fournisseur

Preuves de conformité prêtes à l'emploi : SOC 2, ISO 27001, DPA, sous-traitants

Les questions d'achat auxquelles Elido répond sans échange d'e-mails interminable : le DPA est pré-signé et téléchargeable sur /legal/dpa ; la liste des sous-traitants est publique sur /legal/subprocessors (5 fournisseurs, tous domiciliés en UE ou avec option de retrait) ; l'ISO 27001 est acquise ; la conformité SOC 2 Type II est en cours avec un objectif pour le S2 2026. Nous partageons les preuves de Type 1 sous NDA pour les clients qui en ont besoin avant que le rapport de Type 2 ne soit public. Le Trust Center sur /trust suit l'état actuel des certifications et les mises à jour de l'historique des incidents. La divulgation des vulnérabilités se fait via HackerOne (programme privé) ; security.txt est au chemin habituel. Ce sont des éléments qui existent déjà, pas une feuille de route. Nous ne revendiquerons pas le SOC 2 Type II tant que la période d'audit ne sera pas close — prévue pour le S2 2026.

Stack you’ll touch

SSO (SAML / OIDC)
Provisionnement SCIM
Rôles personnalisés (RBAC)
Liste blanche d'IP
Journal d'audit + flux SIEM
Résidence des données dans l'UE
BAA HIPAA

Ce que votre équipe de sécurité mesure

Nombre de sous-traitants: 5, UE uniquement
Rétention du journal d'audit: 7 ans sur Business
Temps de réponse DSAR: Moins de 30 jours

Les équipes IT d'entreprise qui utilisent Elido

Les noms sont des espaces réservés pour le moment — les noms réels des clients figureront ici à mesure que les études de cas seront publiées.

“La synchronisation SCIM d'Okta et l'IP allowlist ont validé notre liste de contrôle d'achat dès la première révision. Le flux du journal d'audit vers Splunk a été le détail qui a rassuré l'équipe de sécurité — ils ont pu voir que c'était concret, pas seulement une case cochée par le vendeur.”

Équipe de sécurité IT, groupe d'assurance, Zurich

Responsable de la sécurité IT

“Nous avions besoin d'une résidence des données en UE et d'aucun sous-traitant américain après l'arrêt Schrems II. Elido a été le premier réducteur de liens à répondre à la question 'où sont stockées les données ?' avec une ville précise et un nombre de sous-traitants inférieur à 10.”

IT d'entreprise, industrie manufacturière de taille moyenne, Düsseldorf

Responsable de la gouvernance IT

“Le BAA sur Business couplé à l'ISO 27001 a réglé l'aspect HIPAA pour notre équipe produit américaine. Le provisionnement SCIM signifie que nous n'avons pas eu à gérer manuellement l'intégration sur Elido lors de l'acquisition d'une entreprise de 200 personnes.”

Équipe de sécurité plateforme, fintech, Dublin

Directeur de la sécurité plateforme

Elido vs Bitly Enterprise vs Bl.ink pour l'IT d'entreprise

Bitly Enterprise et Bl.ink sont toutes deux des options de classe entreprise avec une présence historique. La comparaison ci-dessous se concentre sur les fonctionnalités que les équipes IT d'entreprise évaluent, et non sur des promesses marketing.

Capability	Elido	Bitly Enterprise	Bl.ink
Protocole SSO	SAML 2.0 + OIDC via WorkOS	SAML 2.0 sur forfait Enterprise	SAML 2.0 sur Enterprise
Provisionnement SCIM	Business et supérieur, via WorkOS	Forfait Enterprise uniquement	Disponible sur Enterprise
Rôles personnalisés (RBAC)	Expressions de politique basées sur Cedar	Niveaux de rôles fixes	Granulaire, documenté
IP allowlist	CIDR, Business+	Enterprise uniquement	Disponible
Journal d'audit → SIEM	Flux webhook en temps réel	Export quotidien ; temps réel en option Enterprise	Basé sur API ; câblage SIEM manuel
Rétention du journal d'audit	7 ans sur Business	1 an standard	Configurable sur Enterprise
Résidence des données en UE	Par défaut pour tous les forfaits	Option sur Enterprise	Disponible ; non activé par défaut
Export BigQuery	Planifié, Business+	Non documenté	Basé sur API ; pas d'export natif

Questions sur l'IT d'entreprise

Quels IdP le SSO prend-il en charge ?

Tout IdP prenant en charge SAML 2.0 ou OIDC — Okta, Azure AD / Entra ID, Google Workspace, OneLogin, Ping, Rippling, et autres. L'intégration se fait via WorkOS, qui normalise les différences de protocoles. Si votre IdP parle SAML ou OIDC, cela fonctionne. La configuration est un flux guidé par WorkOS : configurez l'application SAML dans votre IdP, collez l'URL des métadonnées dans Elido, et c'est terminé.

Comment fonctionne le déprovisionnement SCIM ?

WorkOS gère le point de terminaison SCIM 2.0. Lorsqu'un utilisateur est retiré du groupe concerné dans votre IdP, WorkOS envoie un événement DELETE à Elido. Elido révoque immédiatement les jetons de session de l'utilisateur et marque le compte comme inactif. Les clés API actives associées à cet utilisateur ne sont pas automatiquement révoquées — c'est une étape distincte que vous configurez dans les paramètres SCIM, avec pour défaut la révocation au déprovisionnement. L'action de déprovisionnement apparaît dans le journal d'audit pendant le cycle de synchronisation SCIM (généralement moins de 5 minutes).

Que couvre l'IP allowlist ?

La connexion au tableau de bord, les requêtes API et la confirmation de livraison des webhooks. La notation CIDR est prise en charge ; plusieurs plages sont séparées par des virgules. Les requêtes provenant de l'extérieur de la liste renvoient une erreur 403 avec un événement d'audit consigné — pas de rejet silencieux. L'IP allowlist est évaluée après l'authentification, pas avant, donc une tentative d'authentification échouée depuis l'extérieur de la liste est tout de même enregistrée.

Pouvons-nous obtenir un BAA pour la conformité HIPAA ?

Oui, sur Business+. Le BAA couvre le rôle d'Elido en tant que partenaire commercial pour les espaces de travail où des PHI (données de santé protégées) pourraient transiter via les métadonnées de lien ou les analyses. Les garanties techniques (chiffrement au repos et en transit, piste d'audit, contrôles d'accès, notification de violation) sont déjà en place. Contactez compliance@elido.app pour obtenir le modèle de BAA.

Quel est le statut du SOC 2 ?

L'audit SOC 2 Type II est en cours avec un objectif pour le S2 2026. L'ISO 27001 est acquise. Nous partageons les preuves de Type 1 sous NDA pour les clients qui en ont besoin avant la publication du rapport de Type 2. Le Trust Center sur /trust suit l'état actuel. Nous ne revendiquerons pas le Type II avant la clôture de la période d'audit.

Comment fonctionnent les rôles personnalisés — puis-je restreindre une équipe à la lecture seule sur un domaine spécifique ?

Oui. Les rôles personnalisés définissent des politiques basées sur Cedar qui peuvent limiter les permissions à des domaines spécifiques, des dossiers spécifiques ou des opérations spécifiques (créer/lire/mettre à jour/supprimer). Un rôle permettant la création de liens uniquement sur un domaine personnalisé spécifique avec un accès en lecture seule aux analyses est une politique valide. Les rôles sont par espace de travail ; un utilisateur peut avoir des rôles différents dans différents espaces de travail. L'évaluation de la politique se fait au moment de la requête, pas à la connexion.

Existe-t-il une option edge dédiée pour les clients Business ?

Le niveau Business utilise les POP edge partagés d'Elido (Francfort, Ashburn, Singapour). Un edge dédié — votre propre flotte de nœuds de redirection, isolée du trafic des autres locataires — relève d'une discussion Enterprise. Contactez sales@elido.app. Alternativement, le graphique Helm d'auto-hébergement vous permet d'exécuter la couche de redirection dans votre propre VPC, ce qui est un modèle courant pour les clients Enterprise ayant des exigences strictes d'isolation du trafic.

Quel est le SLA de notification de violation ?

Notification client sous 24 heures pour les violations de données personnelles confirmées ; notification au régulateur sous 72 heures (RGPD Art. 33). La notification couvre ce que nous savons à ce stade — nous n'attendons pas la fin de l'expertise médico-légale. Le processus est détaillé sur /trust/incident-response.