Puoi creare un account Elido in circa quattro secondi senza dover inventare un'altra password. Clicca su "Continua con GitHub", approva il prompt e sei dentro. Elido supporta otto provider di social login, e nessuno di essi ci consegna la tua password, perché non ce n'è una da consegnare.
Il social login per un abbreviatore di URL significa usare un'identità esistente, il tuo account Google, GitHub o Slack, per accedere invece di registrare una nuova coppia email-password. Il provider garantisce chi sei; Elido crea o apre il tuo workspace in base a ciò. È lo stesso flusso in un clic che hai usato su decine di app, applicato alla gestione dei link. Questo articolo descrive gli otto provider che supportiamo, come funziona concretamente l'handshake, dove finisce il social login e dove inizia l'SSO aziendale, e la domanda che i team europei fanno sempre: accedere con un provider statunitense trascina i tuoi dati dall'altra parte dell'Atlantico?
Gli otto provider, raggruppati per chi li usa#
Elido supporta Google, Microsoft, GitHub, GitLab, Slack, Discord, Facebook e X. Questa lista non è casuale. Ognuno corrisponde a un modo in cui le persone già organizzano il proprio lavoro.
Gli sviluppatori si rivolgono prima a GitHub o GitLab. Se stai accorciando link all'interno di una pipeline CI o di un workflow per le note di rilascio, accedere con lo stesso account che contiene i tuoi repository mantiene il modello mentale pulito. I team di marketing e operations tendono a vivere in Google Workspace o Microsoft 365, quindi "Continua con Google" o "Continua con Microsoft" li porta in Elido usando l'identità su cui già fa affidamento tutta l'azienda.
Poi c'è il lato community e creator. I login con Slack e Discord si adattano ai team che coordinano il loro lavoro in quegli strumenti tutto il giorno. Un community manager che gestisce un server Discord e vuole short link personalizzati per gli eventi può registrarsi con la stessa identità Discord. Facebook e X completano il set per i creator e i social marketer la cui presenza principale è su quelle reti.
Scegli uno per registrarti. In seguito puoi collegare gli altri allo stesso account dalle impostazioni di sicurezza, in modo che il marketer che si è unito con Google e il developer del team che si è unito con GitHub finiscano entrambi nello stesso workspace.
Come funziona senza memorizzare la tua password#
Sotto il cofano, tutti e otto usano OAuth 2.0 e OpenID Connect, la stessa famiglia di protocolli che alimenta "Accedi con Google" ovunque. Il livello di identità di Elido è costruito su Ory Kratos e Hydra, quindi il flusso è basato su standard anziché qualcosa che abbiamo costruito a mano.
Ecco la sequenza effettiva. Clicchi su un pulsante del provider. Elido ti reindirizza alla pagina di login del provider, sul dominio del provider, dove ti autentichi. Se hai configurato una passkey o una chiave hardware, la usi lì. Il provider invia poi a Elido un token di breve durata e un profilo minimo: la tua email, il tuo nome, un ID utente stabile. Scambiamo quel token, creiamo o identifichiamo il tuo account e avviamo la tua sessione. In nessun momento la tua password del provider tocca i server di Elido. Non possiamo divulgare ciò che non abbiamo mai ricevuto.
Quest'ultimo punto è il concetto di sicurezza in una frase. Una classica registrazione con email e password significa che ogni app a cui ti iscrivi diventa un altro posto dove la tua password potrebbe essere violata. Il social login elimina questo problema. Ti autentichi una volta, contro un provider che ha un team di sicurezza più grande della maggior parte delle aziende, e erediti gratuitamente il loro multi-factor e il rilevamento delle anomalie.
Il compromesso onesto è la concentrazione. Una sola identità ora apre più porte, quindi proteggila. Attiva MFA sul tuo provider e la matematica si inclina decisamente a favore del social login.
Vuoi collegare direttamente la creazione dei link ai tuoi sistemi invece di cliccare pulsanti? Una volta dentro, le API e gli SDK ti permettono di generare short link da codice in cinque linguaggi. Il social login fa entrare le persone; l'API gestisce le macchine.
Il social login non è SSO, e la differenza è importante#
Le persone li confondono continuamente, quindi separiamoli chiaramente.
Il social login è per i singoli utenti. Tu, personalmente, che scegli di accedere con il tuo account Google. L'SSO aziendale tramite SAML o OIDC è per un'organizzazione che vuole il controllo centralizzato: provisioning e deprovisioning del personale tramite Okta o Entra ID, garanzia che tutti si autentichino attraverso l'identity provider aziendale, e revoca dell'accesso nel momento in cui qualcuno lascia l'azienda. Il provisioning SCIM si affianca a tutto ciò, sincronizzando la directory in modo che gli account compaiano e spariscano automaticamente.
Un team in crescita di solito vuole entrambi, in fasi diverse. All'inizio, tre fondatori accedono con Google e lavorano. In seguito, il reparto IT dice che ogni strumento deve passare per Entra ID, e si abilita SSO per il workspace mantenendo il social login disponibile per i collaboratori esterni che non sono nella directory aziendale. Abbiamo approfondito il lato procurement di tutto ciò, le domande che fa concretamente l'IT aziendale, in SCIM e SSO per gli strumenti di marketing.
La versione breve: non pagare per un contratto SSO quando ciò di cui hai bisogno è una registrazione in un clic, e non cercare di estendere il social login come sostituto del controllo degli accessi gestito dalla directory. Sono strumenti diversi per problemi di dimensioni diverse.
La questione della residenza dei dati in UE#
Questa è quella che emerge in ogni chiamata di vendita europea, quindi ecco la risposta diretta.
L'handshake OAuth comunica con il provider. Quando accedi con Google o Microsoft, quel passaggio di autenticazione colpisce la loro infrastruttura, che può trovarsi al di fuori dell'UE. Questo vale per il social login su qualsiasi prodotto, non solo il nostro. Ciò che non fa è spostare i tuoi dati Elido. I tuoi link, i tuoi eventi click, le tue analisi, il workspace del tuo team: tutto rimane ancorato alla regione UE che hai selezionato alla creazione dell'account.
Autenticazione e residenza dei dati sono livelli separati. Accedere tramite un identity provider statunitense è uno scambio di token momentaneo; non è dove vivono i dati della tua azienda. Se la tua postura di conformità vieta anche che il passaggio di autenticazione tocchi un provider statunitense, usa GitLab o un'opzione di identità ospitata in Europa, oppure applica SSO tramite un IdP residente in UE. Per il quadro completo di ciò che rimane in UE e di ciò che il tuo DPO vorrà documentare, GDPR per gli abbreviatori di URL lo illustra nel dettaglio, e la meccanica della residenza è descritta in Residenza dei dati UE per le analisi di marketing.
Come attivarlo#
Non c'è quasi nulla da configurare come utente. Nella schermata di registrazione, i pulsanti del provider sono già presenti. Scegline uno, approva il prompt di consenso, fatto.
Vale la pena fare alcune cose una volta che sei dentro:
- Collega un secondo provider, o aggiungi una password, dalle impostazioni di sicurezza. Avere due metodi di accesso significa che un'interruzione di un singolo provider non ti blocca mai fuori.
- Attiva MFA sul provider che utilizzi. Là risiede la protezione reale.
- Se possiedi un workspace, tratta il suo metodo di accesso come una credenziale di produzione. Non lasciarlo legato a un account personale al quale potresti perdere l'accesso.
Quest'ultimo punto sorprende molte persone. Il freelance che si registra con una Gmail personale, costruisce i link della campagna di un cliente, poi cambia lavoro e perde l'accesso alla Gmail, si ritrova in una situazione spiacevole. Collega un metodo di backup in anticipo.
Il social login rimuove la password senza rimuovere la tua responsabilità sull'account che c'è dietro. Configura un secondo metodo, attiva MFA, e la registrazione in quattro secondi rimane una registrazione in quattro secondi, senza i drammi del blocco dell'account in seguito.