The shortener your security team won’t reject.
Misuri la postura di conformità, il tempo di risposta agli incidenti e il numero di questionari dei fornitori a cui puoi sopravvivere. Elido è l'accorciatore che il tuo team di sicurezza non rifiuterà.
- SAML SSO + SCIM via WorkOS or native — Okta, Entra ID, Google
- eu-central-1 default with workspace-level region pin
- SOC 2 Type II audit in progress (H2 2026 target)
- ISO 27001 achieved; certificate available under NDA
How SSO works
Okta or Entra ID → SAML → Elido. Twelve minutes from cold start.
SSO routes through WorkOS, which normalises the protocol differences between SAML 2.0 and OIDC and the per-IdP quirks that no one wants to maintain themselves. Your team configures the SAML app once in their IdP; Elido picks up users by email domain → connection mapping.
- Step 1
User signs in
okta.com / login.microsoftonline.comIdP authenticates against the corporate directory.
- Step 2
SAML assertion
WorkOS connection · domain-routedEmail-domain → IdP connection mapping, no per-user setup.
- Step 3
Elido session
edge auth · 200 OKSession token issued, scope derived from group claims.
- Step 4
Workspace landing
app.elido.app/w/your-orgRole + IP allowlist evaluated; audit row written.
SCIM provisioning
Add a user in Okta. They’re in Elido in five minutes.
SCIM 2.0 directory sync provisions and deprovisions users automatically. Group-claim mapping converts IdP groups into Elido workspace roles, so a promotion in HR’s system rolls into Elido without a ticket. Departing employees are deprovisioned within the SCIM sync cycle, with active sessions revoked and the action logged.
- Auto-provision on group addIdP group membership → workspace invitation, no manual step
- Group-claim role mappingengineering-eu → editor, finance → viewer, configurable
- Deprovision = session revokeDELETE event invalidates tokens; API keys revoked by policy
- Every SCIM event is auditedAppend-only log with actor, before/after, source IP
- 1User added in Okta
Joins the elido-eu-engineering directory group as part of HR onboarding.
okta.comPOST /scim/v2/UsersT+75s - 2WorkOS pushes to Elido
SCIM sync cycle picks up the create event; no manual invite needed.
workos.com → elido.appscim.create user@orgT+150s - 3Elido provisions the user
Account created, workspace invitation surfaced in pending state.
api-coreuser.id = usr_01HK…T+225s - 4Group claim → role
engineering → editor; billing-admins → admin. Mapping is configurable.
policyrole: editor (workspace.eu)T+300s - Deprovision is the same flow in reverse — DELETE event revokes sessions and rotates affected API keys per policy.
Authorization model
Cedar-based RBAC, not a fixed three-tier hierarchy.
The matrix below is the out-of-the-box view. Custom roles let you express things like “create links on this domain only” or “read-only on analytics, no billing access” as Cedar policies. Roles are scoped per workspace, so different business units can run different role structures.
| Permission | Owner | Admin | Member | Read-only | API key |
|---|---|---|---|---|---|
Create / edit links | |||||
Manage custom domains | |||||
View analytics | |||||
Manage billing | |||||
Invite & manage members | |||||
Rotate API keys |
What enterprise IT actually gets
- SAML SSO + SCIM via WorkOS or native — Okta, Entra ID, Google
- eu-central-1 default with workspace-level region pin
- SOC 2 Type II audit in progress (H2 2026 target)
- ISO 27001 achieved; certificate available under NDA
- BAA on Business+ for HIPAA-adjacent workloads
- Dedicated edge POPs available for Enterprise contracts
Ciò di cui l'IT aziendale ha realmente bisogno da un abbreviatore
Gli abbreviatori shadow-IT falliscono l'approvvigionamento su tre questioni: chi ha l'accesso, dove sono i dati e se possiamo auditarli. Le funzionalità seguenti sono quelle che colmano queste lacune.
SAML SSO tramite WorkOS con provisioning utenti SCIM
L'SSO avviene tramite WorkOS, che supporta SAML 2.0 e OIDC con qualsiasi IdP principale: Okta, Azure AD / Entra ID, Google Workspace, OneLogin, Ping e altri. Il mappaggio dominio-email → connessione significa che gli utenti vengono indirizzati all'IdP corretto senza alcuna configurazione da parte dell'utente. La sincronizzazione della directory SCIM effettua il provisioning e il deprovisioning degli utenti automaticamente: i nuovi dipendenti aggiunti al gruppo IdP pertinente ricevono un invito all'area di lavoro Elido in pochi minuti; i dipendenti in uscita vengono deprovisionati entro il ciclo di sincronizzazione SCIM senza un ticket di offboarding manuale. I gruppi dell'IdP si mappano ai ruoli dell'area di lavoro Elido; configuri il mappaggio una volta. I cambi di ruolo nell'IdP si propagano automaticamente. Questa è un'integrazione gestita da WorkOS — non manteniamo un connettore per IdP; WorkOS normalizza i protocolli e Elido consuma un singolo endpoint SCIM.
Ruoli personalizzati con RBAC in stile Cedar — oltre owner/admin/member
Il modello dei ruoli di Elido è basato su Cedar, il che significa che i permessi sono espressioni di policy valutate al momento della richiesta piuttosto che una gerarchia fissa a tre livelli. Di serie ottieni Owner, Admin, Member e Viewer. I ruoli personalizzati ti permettono di definire policy come 'può creare link su questo dominio ma non può eliminare o cambiare le regole di instradamento' o 'accesso in sola lettura agli analytics ma nessun accesso alle impostazioni di fatturazione'. I ruoli sono assegnati per area di lavoro, non globalmente — un'impresa con più aree di lavoro può avere diverse strutture di ruoli per business unit. L'IP allowlist (intervalli CIDR) viene valutata insieme ai controlli dei ruoli: un utente con il ruolo giusto ma al di fuori dell'intervallo IP consentito viene rifiutato. Questo è rilevante per i team ibridi dove i collaboratori esterni accedono a un sottoinsieme diverso rispetto ai dipendenti a tempo pieno.
Log di audit append-only trasmesso al tuo SIEM in tempo reale
Ogni azione nell'area di lavoro — creazione, aggiornamento, eliminazione di link; cambio impostazioni; invito membri e cambio ruolo; emissione e rotazione di chiavi API; rivendicazione di dominio personalizzato; esportazione — finisce in un log di audit append-only con attore, timestamp, IP di origine, diff prima/dopo e un tipo di evento strutturato. I log sono conservati per 90 giorni su Pro e 7 anni su Business. Il firehose SIEM trasmette gli eventi tramite webhook (firmato HMAC-SHA256) a Splunk, Datadog, ELK o qualsiasi ricevitore HTTP in tempo reale. Il log è interrogabile nel dashboard ma non modificabile; il vincolo append-only è imposto a livello di database. Postura di conformità: il log di audit è la prova principale per le revisioni del controllo degli accessi, la gestione dei cambiamenti e la risposta agli incidenti. Un meta-evento 'retention purge' viene loggato quando le vecchie voci scadono, rendendo il gap stesso auditable.
Residenza UE, IP allowlist ed esportazione BigQuery per i requisiti di data governance
I dati dell'area di lavoro sono bloccati in UE (Francoforte) per impostazione predefinita e non lasciano mai quella regione a meno che un amministratore non imposti esplicitamente Ashburn o Singapore alla creazione dell'area di lavoro — una scelta irreversibile. Non c'è replica cross-region per i dati caldi. L'IP allowlist (CIDR) su Business limita l'accesso all'area di lavoro a intervalli di uscita noti — utile per i team su VPN o IP fissi dell'ufficio. L'esportazione BigQuery invia l'intero flusso di eventi click e log di audit a un dataset BigQuery di tua proprietà, su base programmata o attivata. Sono supportati anche Snowflake e S3. Per i carichi di lavoro regolamentati che richiedono che i dati rimangano in una specifica infrastruttura: l'Helm chart per l'auto-hosting ti permette di eseguire il livello di redirect nel tuo VPC, memorizzando gli eventi click nel tuo ClickHouse. Il BAA HIPAA è disponibile su Business+ — le salvaguardie tecniche (crittografia, audit trail, controlli d'accesso, notifica di violazione) sono cablate; il BAA è un involucro legale attorno ad esse.
Prove di conformità preconfezionate: SOC 2, ISO 27001, DPA, sub-responsabili
Domande di approvvigionamento che Elido chiude senza una lunga catena di email: il DPA è pre-firmato e scaricabile da /legal/dpa; l'elenco dei sub-responsabili è pubblico su /legal/subprocessors (5 fornitori, tutti domiciliati in UE o con opzione di opt-out disponibile); ISO 27001 è ottenuta; SOC 2 Type II è in corso con obiettivo H2 2026. Condividiamo le prove Type 1 sotto NDA per i clienti che ne hanno bisogno prima che il report Type 2 sia pubblico. Il Trust Center su /trust tiene traccia dello stato attuale delle certificazioni e degli aggiornamenti sulla cronologia degli incidenti. La divulgazione delle vulnerabilità avviene tramite HackerOne (programma privato); security.txt si trova nel percorso well-known. Queste sono cose che esistono già, non una roadmap. Non dichiareremo SOC 2 Type II finché il periodo di audit non sarà chiuso — previsto per H2 2026.
Stack you’ll touch
- SSO (SAML / OIDC)
- Provisioning SCIM
- Ruoli personalizzati (ABAC)
- IP allowlist
- Log di audit + SIEM firehose
- Residenza dei dati nell'UE
- HIPAA BAA
Cosa misura il tuo team di sicurezza
- Numero di sub-processori
- 5, solo UE
- Ritenzione log di audit
- 7 anni su Business
- Tempo di risposta DSAR
- Meno di 30 giorni
Team IT aziendali che utilizzano questo
I nomi sono segnaposto per ora — i nomi reali dei clienti appariranno qui man mano che i casi studio verranno pubblicati.
“La sincronizzazione SCIM di Okta e l'IP allowlist hanno superato la nostra checklist di approvvigionamento alla prima revisione. Lo streaming del log di audit su Splunk è stato il dettaglio che ha rassicurato il team di sicurezza — potevano vedere che era reale, non una casella di spunta del fornitore.”
“Avevamo bisogno di dati residenti in UE e nessun sub-responsabile statunitense dopo Schrems II. Elido è stato il primo abbreviatore che ha risposto 'dove sono memorizzati i dati?' con una città specifica e un numero di sub-responsabili inferiore a 10.”
“Il BAA su Business più ISO 27001 ha risolto l'aspetto HIPAA per il nostro team di prodotto negli USA. Il provisioning SCIM significa che non abbiamo dovuto toccare l'onboarding di Elido durante l'integrazione di un'acquisizione di 200 persone.”
Elido vs Bitly Enterprise vs Bl.ink per l'IT aziendale
Bitly Enterprise e Bl.ink sono entrambe opzioni di livello enterprise con basi di installazione storiche. Il confronto seguente si concentra sulle funzionalità valutate dai team IT aziendali, non sulle affermazioni di marketing.
| Capability | Elido | Bitly Enterprise | Bl.ink |
|---|---|---|---|
| Protocollo SSO | SAML 2.0 + OIDC tramite WorkOS | SAML 2.0 sul piano Enterprise | SAML 2.0 su Enterprise |
| Provisioning SCIM | Business e superiori, tramite WorkOS | Solo piano Enterprise | Disponibile su Enterprise |
| Ruoli personalizzati (RBAC) | Espressioni di policy basate su Cedar | Livelli di ruolo fissi | Granulari, documentati |
| IP allowlist | CIDR, Business+ | Solo Enterprise | Disponibile |
| Log di audit → SIEM | Firehose webhook in tempo reale | Esportazione giornaliera; add-on Enterprise in tempo reale | Basato su API; cablaggio SIEM manuale |
| Conservazione log di audit | 7 anni su Business | 1 anno standard | Configurabile su Enterprise |
| Residenza dati UE | Predefinita per tutti i piani | Opt-in su Enterprise | Disponibile; non predefinita |
| Esportazione BigQuery | Programmata, Business+ | Non documentata | Basata su API; nessuna esportazione nativa |
Domande IT aziendali
Quali IdP supporta l'SSO?
Qualsiasi IdP che supporti SAML 2.0 o OIDC — Okta, Azure AD / Entra ID, Google Workspace, OneLogin, Ping, Rippling e altri. L'integrazione avviene tramite WorkOS, che normalizza le differenze di protocollo. Se il tuo IdP parla SAML o OIDC, funziona. La configurazione è un flusso guidato da WorkOS: configura l'app SAML nel tuo IdP, incolla l'URL dei metadati in Elido, fatto.
Come funziona il deprovisioning SCIM?
WorkOS gestisce l'endpoint SCIM 2.0. Quando un utente viene rimosso dal gruppo pertinente nel tuo IdP, WorkOS invia un evento DELETE a Elido. Elido revoca immediatamente i token di sessione dell'utente e contrassegna l'account come inattivo. Le chiavi API attive associate a quell'utente non vengono revocate automaticamente — questo è un passaggio separato che configuri nelle impostazioni SCIM, con impostazione predefinita su revoca-al-deprovisioning. L'azione di deprovisioning appare nel log di audit entro il ciclo di sincronizzazione SCIM (tipicamente meno di 5 minuti).
Cosa copre l'IP allowlist?
Accesso al dashboard, richieste API e conferma di consegna dei webhook. La notazione CIDR è supportata; più intervalli sono separati da virgole. Le richieste provenienti da fuori dall'allowlist restituiscono un 403 con un evento di audit loggato — nessuna caduta silenziosa. L'IP allowlist viene valutata dopo l'autenticazione, non prima, quindi l'autenticazione fallita da fuori dall'allowlist logga comunque il tentativo.
Possiamo ottenere un BAA per la conformità HIPAA?
Sì, su Business+. Il BAA copre il ruolo di Elido come socio in affari per le aree di lavoro in cui le PHI potrebbero passare attraverso i metadati del link o gli analytics. Le salvaguardie tecniche (crittografia a riposo e in transito, audit trail, controlli di accesso, notifica di violazione) sono già in atto. Contatta compliance@elido.app per il modello BAA.
Qual è lo stato SOC 2?
L'audit SOC 2 Type II è in corso con obiettivo H2 2026. ISO 27001 è stata ottenuta. Condividiamo le prove Type 1 sotto NDA per i clienti che ne hanno bisogno prima che il report Type 2 venga pubblicato. Il Trust Center su /trust tiene traccia dello stato attuale. Non dichiareremo Type II finché il periodo di audit non sarà chiuso.
Come funzionano i ruoli personalizzati — posso limitare un team alla sola lettura su un dominio specifico?
Sì. I ruoli personalizzati definiscono policy basate su Cedar che possono limitare i permessi a domini specifici, cartelle specifiche o operazioni specifiche (creazione/lettura/aggiornamento/eliminazione). Un ruolo che consente la creazione di link solo su un dominio personalizzato specifico e l'accesso in sola lettura agli analytics è una policy valida. I ruoli sono per area di lavoro; un utente può avere ruoli diversi in diverse aree di lavoro. La valutazione della policy avviene al momento della richiesta, non al login.
Esiste un'opzione edge dedicata per i clienti Business?
Il livello Business utilizza i POP edge condivisi di Elido (Francoforte, Ashburn, Singapore). Un edge dedicato — la tua flotta di nodi di redirect, isolata dal traffico di altri tenant — è oggetto di una trattativa Enterprise. Contatta sales@elido.app. In alternativa, l'Helm chart per l'auto-hosting ti permette di eseguire il livello di redirect nel tuo VPC, che è un modello comune per i clienti Enterprise con requisiti rigorosi di isolamento del traffico.
Qual è lo SLA per la notifica di violazione?
Notifica al cliente entro 24 ore su violazioni confermate di dati personali; notifica all'autorità di regolamentazione entro 72 ore (GDPR Art. 33). La notifica copre ciò che sappiamo in quel momento — non aspettiamo l'analisi forense completa. Il processo è su /trust/incident-response.
Enterprise IT reading list
WorkOS-managed SAML/OIDC, SCIM 2.0 deprovisioning, IdP guides.
Branded portal hostname, transactional emails, sub-processor parity.
SOC 2 status, ISO 27001, sub-processors, incident history.
Pre-signed GDPR Data Processing Addendum, EU SCCs included.
OpenAPI 3.1, SDKs in TypeScript / Go / Python, webhooks.
Encryption posture, RBAC model, audit log, IP allowlist.
Non sei sicuro quale angolazione si adatti?
La maggior parte dei team inizia come uno e si sviluppa in tutti e quattro. Il nostro team di vendita può esaminare il tuo stack specifico in 20 minuti.