Elido
Scegli l'angolazione che si adatta al tuo team
Per l'IT aziendale

L'accorciatore che il tuo team di sicurezza non rifiuterà.

Misuri la postura di conformità, il tempo di risposta agli incidenti e il numero di questionari dei fornitori a cui puoi sopravvivere. Elido è l'accorciatore che il tuo team di sicurezza non rifiuterà.

Parla con il commercialeLeggi il report di fiducia
  • SAML SSO + SCIM tramite il nostro provider SSO o nativo - Okta, Entra ID, Google
  • Regione UE predefinita con pin di regione a livello di area di lavoro
  • Audit SOC 2 Tipo II in corso (obiettivo H2 2026)
  • ISO 27001 ottenuto; certificato disponibile sotto NDA
Workspace residency
EU region · default
EU NorthEU replicaEU regionprimary · defaultEU WestcomputeUS Eastopt-in · Business+Asia-Pacificopt-in · APAC
Default + EU residency
Opt-in (Business+, irreversible)
SAML + OIDC
Protocollo SSO
WorkOS
Provider SSO/SCIM
7 anni
Conservazione log di audit (Business)
ISO 27001
Certificazione attuale

Come funziona l'SSO

Okta o Entra ID → SAML → Elido. Dodici minuti da zero.

L'SSO passa attraverso WorkOS, che normalizza le differenze di protocollo tra SAML 2.0 e OIDC e le particolarità per-IdP che nessuno vuole mantenere. Il tuo team configura l'app SAML una volta nel proprio IdP; Elido acquisisce gli utenti tramite mappatura dominio email → connessione.

  1. Step 1

    User signs in

    okta.com / login.microsoftonline.com

    IdP authenticates against the corporate directory.

  2. Step 2

    SAML assertion

    WorkOS connection · domain-routed

    Email-domain → IdP connection mapping, no per-user setup.

  3. Step 3

    Elido session

    edge auth · 200 OK

    Session token issued, scope derived from group claims.

  4. Step 4

    Workspace landing

    app.elido.app/w/your-org

    Role + IP allowlist evaluated; audit row written.

Provisioning SCIM

Aggiungi un utente in Okta. È in Elido in cinque minuti.

La sincronizzazione directory SCIM 2.0 effettua il provisioning e il deprovisioning degli utenti automaticamente. Il mapping dei group-claim converte i gruppi IdP in ruoli area di lavoro Elido, così una promozione nel sistema HR si riflette in Elido senza ticket. I dipendenti in uscita vengono deprovisioned nel ciclo di sync SCIM, con sessioni attive revocate e azione registrata.

  • Auto-provisioning all'aggiunta al gruppo
    Appartenenza al gruppo IdP → invito nell'area di lavoro, nessun passaggio manuale
  • Mapping ruoli per group-claim
    engineering-eu → editor, finance → viewer, configurabile
  • Deprovisioning = revoca sessione
    L'evento DELETE invalida i token; chiavi API revocate per policy
  • Ogni evento SCIM è auditato
    Log append-only con attore, prima/dopo, IP sorgente
Approfondimento SCIM e SSO →
SCIM directory sync
workspace · acme-eu
Live · WorkOS
  1. 1
    User added in Okta

    Joins the elido-eu-engineering directory group as part of HR onboarding.

    okta.comPOST /scim/v2/Users
    T+75s
  2. 2
    WorkOS pushes to Elido

    SCIM sync cycle picks up the create event; no manual invite needed.

    workos.com → elido.appscim.create user@org
    T+150s
  3. 3
    Elido provisions the user

    Account created, workspace invitation surfaced in pending state.

    api-coreuser.id = usr_01HK…
    T+225s
  4. 4
    Group claim → role

    engineering → editor; billing-admins → admin. Mapping is configurable.

    policyrole: editor (workspace.eu)
    T+300s
  5. Deprovision is the same flow in reverse - DELETE event revokes sessions and rotates affected API keys per policy.

Modello di autorizzazione

RBAC basato su Cedar, non una gerarchia fissa a tre livelli.

La matrice qui sotto è la vista predefinita. I ruoli personalizzati ti permettono di esprimere cose come "crea link solo su questo dominio" o "sola lettura sulle analytics, nessun accesso alla fatturazione" come policy Cedar. I ruoli sono con scope per area di lavoro, così diverse business unit possono gestire strutture di ruoli differenti.

Built-in role permissions
Cedar policies · custom roles override
PermissionOwnerAdminMemberRead-onlyAPI key
Create / edit links
Manage custom domains
View analytics
Manage billing
Invite & manage members
Rotate API keys
Allowed
Scoped - set via Cedar policy
Denied
Policy eval at request time, not at loginaudit · every change
Vedi il modello di sicurezza →Guida ai ruoli personalizzati → docs

Cosa ottiene davvero l'IT aziendale

  • SAML SSO + SCIM tramite il nostro provider SSO o nativo - Okta, Entra ID, Google
  • Regione UE predefinita con pin di regione a livello di area di lavoro
  • Audit SOC 2 Tipo II in corso (obiettivo H2 2026)
  • ISO 27001 ottenuto; certificato disponibile sotto NDA
  • BAA su Business+ per carichi di lavoro adiacenti a HIPAA
  • POP edge dedicati disponibili per contratti Enterprise

Ciò di cui l'IT aziendale ha realmente bisogno da un abbreviatore

Gli abbreviatori shadow-IT falliscono l'approvvigionamento su tre questioni: chi ha l'accesso, dove sono i dati e se possiamo auditarli. Le funzionalità seguenti sono quelle che colmano queste lacune.

Identità e provisioning
01

SAML SSO tramite WorkOS con provisioning utenti SCIM

L'SSO avviene tramite WorkOS, che supporta SAML 2.0 e OIDC con qualsiasi IdP principale: Okta, Azure AD / Entra ID, Google Workspace, OneLogin, Ping e altri. Il mappaggio dominio-email → connessione significa che gli utenti vengono indirizzati all'IdP corretto senza alcuna configurazione da parte dell'utente. La sincronizzazione della directory SCIM effettua il provisioning e il deprovisioning degli utenti automaticamente: i nuovi dipendenti aggiunti al gruppo IdP pertinente ricevono un invito all'area di lavoro Elido in pochi minuti; i dipendenti in uscita vengono deprovisionati entro il ciclo di sincronizzazione SCIM senza un ticket di offboarding manuale. I gruppi dell'IdP si mappano ai ruoli dell'area di lavoro Elido; configuri il mappaggio una volta. I cambi di ruolo nell'IdP si propagano automaticamente. Questa è un'integrazione gestita da WorkOS - non manteniamo un connettore per IdP; WorkOS normalizza i protocolli e Elido consuma un singolo endpoint SCIM.

Modello di autorizzazione
02

Ruoli personalizzati con RBAC in stile Cedar - oltre owner/admin/member

Il modello dei ruoli di Elido è basato su Cedar, il che significa che i permessi sono espressioni di policy valutate al momento della richiesta piuttosto che una gerarchia fissa a tre livelli. Di serie ottieni Owner, Admin, Member e Viewer. I ruoli personalizzati ti permettono di definire policy come 'può creare link su questo dominio ma non può eliminare o cambiare le regole di instradamento' o 'accesso in sola lettura agli analytics ma nessun accesso alle impostazioni di fatturazione'. I ruoli sono assegnati per area di lavoro, non globalmente - un'impresa con più aree di lavoro può avere diverse strutture di ruoli per business unit. L'IP allowlist (intervalli CIDR) viene valutata insieme ai controlli dei ruoli: un utente con il ruolo giusto ma al di fuori dell'intervallo IP consentito viene rifiutato. Questo è rilevante per i team ibridi dove i collaboratori esterni accedono a un sottoinsieme diverso rispetto ai dipendenti a tempo pieno.

Audit e SIEM
03

Log di audit append-only trasmesso al tuo SIEM in tempo reale

Ogni azione nell'area di lavoro - creazione, aggiornamento, eliminazione di link; cambio impostazioni; invito membri e cambio ruolo; emissione e rotazione di chiavi API; rivendicazione di dominio personalizzato; esportazione - finisce in un log di audit append-only con attore, timestamp, IP di origine, diff prima/dopo e un tipo di evento strutturato. I log sono conservati per 90 giorni su Pro e 7 anni su Business. Il firehose SIEM trasmette gli eventi tramite webhook (firmato HMAC-SHA256) a Splunk, Datadog, ELK o qualsiasi ricevitore HTTP in tempo reale. Il log è interrogabile nel dashboard ma non modificabile; il vincolo append-only è imposto a livello di database. Postura di conformità: il log di audit è la prova principale per le revisioni del controllo degli accessi, la gestione dei cambiamenti e la risposta agli incidenti. Un meta-evento 'retention purge' viene loggato quando le vecchie voci scadono, rendendo il gap stesso auditable.

Data governance
04

Residenza UE, IP allowlist ed esportazione BigQuery per i requisiti di data governance

I dati dell'area di lavoro sono bloccati nella regione UE per impostazione predefinita e non lasciano mai quella regione a meno che un amministratore non imposti esplicitamente USA Est o Asia-Pacifico alla creazione dell'area di lavoro - una scelta irreversibile. Non c'è replica cross-region per i dati caldi. L'IP allowlist (CIDR) su Business limita l'accesso all'area di lavoro a intervalli di uscita noti - utile per i team su VPN o IP fissi dell'ufficio. L'esportazione BigQuery invia l'intero flusso di eventi click e log di audit a un dataset BigQuery di tua proprietà, su base programmata o attivata. Sono supportati anche Snowflake e S3. Per i carichi di lavoro regolamentati che richiedono che i dati rimangano in una specifica infrastruttura: l'Helm chart per l'auto-hosting ti permette di eseguire il livello di redirect nel tuo VPC, memorizzando gli eventi click nel tuo archivio di analisi. Il BAA HIPAA è disponibile su Business+ - le salvaguardie tecniche (crittografia, audit trail, controlli d'accesso, notifica di violazione) sono cablate; il BAA è un involucro legale attorno ad esse.

Dovuta diligenza del fornitore
05

Prove di conformità preconfezionate: SOC 2, ISO 27001, DPA, sub-responsabili

Domande di approvvigionamento che Elido chiude senza una lunga catena di email: il DPA è pre-firmato e scaricabile da /legal/dpa; l'elenco dei sub-responsabili è pubblico su /legal/subprocessors (5 fornitori, tutti domiciliati in UE o con opzione di opt-out disponibile); ISO 27001 è ottenuta; SOC 2 Type II è in corso con obiettivo H2 2026. Condividiamo le prove Type 1 sotto NDA per i clienti che ne hanno bisogno prima che il report Type 2 sia pubblico. Il Trust Center su /trust tiene traccia dello stato attuale delle certificazioni e degli aggiornamenti sulla cronologia degli incidenti. La divulgazione delle vulnerabilità avviene tramite HackerOne (programma privato); security.txt si trova nel percorso well-known. Queste sono cose che esistono già, non una roadmap. Non dichiareremo SOC 2 Type II finché il periodo di audit non sarà chiuso - previsto per H2 2026.

Stack che utilizzerai

  • SSO (SAML / OIDC)
  • Provisioning SCIM
  • Ruoli personalizzati (ABAC)
  • IP allowlist
  • Log di audit + SIEM firehose
  • Residenza dei dati nell'UE
  • HIPAA BAA

Cosa misura il tuo team di sicurezza

Numero di sub-processori
5, solo UE
Ritenzione log di audit
7 anni su Business
Tempo di risposta DSAR
Meno di 30 giorni

Team IT aziendali che utilizzano questo

I nomi sono segnaposto per ora - i nomi reali dei clienti appariranno qui man mano che i casi studio verranno pubblicati.

La sincronizzazione SCIM di Okta e l'IP allowlist hanno superato la nostra checklist di approvvigionamento alla prima revisione. Lo streaming del log di audit su Splunk è stato il dettaglio che ha rassicurato il team di sicurezza - potevano vedere che era reale, non una casella di spunta del fornitore.

T
Team sicurezza IT, gruppo assicurativo, Zurigo
IT Security Manager

Avevamo bisogno di dati residenti in UE e nessun sub-responsabile statunitense dopo Schrems II. Elido è stato il primo abbreviatore che ha risposto 'dove sono memorizzati i dati?' con una città specifica e un numero di sub-responsabili inferiore a 10.

I
IT aziendale, manifattura mid-market, Düsseldorf
Head of IT Governance

Il BAA su Business più ISO 27001 ha risolto l'aspetto HIPAA per il nostro team di prodotto negli USA. Il provisioning SCIM significa che non abbiamo dovuto toccare l'onboarding di Elido durante l'integrazione di un'acquisizione di 200 persone.

T
Team sicurezza della piattaforma, fintech, Dublino
Director of Platform Security

Elido vs Bitly Enterprise vs Bl.ink per l'IT aziendale

Bitly Enterprise e Bl.ink sono entrambe opzioni di livello enterprise con basi di installazione storiche. Il confronto seguente si concentra sulle funzionalità valutate dai team IT aziendali, non sulle affermazioni di marketing.

CapacitàElidoBitly EnterpriseBl.ink
Protocollo SSOSAML 2.0 + OIDC tramite WorkOSSAML 2.0 sul piano EnterpriseSAML 2.0 su Enterprise
Provisioning SCIMBusiness e superiori, tramite WorkOSSolo piano EnterpriseDisponibile su Enterprise
Ruoli personalizzati (RBAC)Espressioni di policy basate su CedarLivelli di ruolo fissiGranulari, documentati
IP allowlistCIDR, Business+Solo EnterpriseDisponibile
Log di audit → SIEMFirehose webhook in tempo realeEsportazione giornaliera; add-on Enterprise in tempo realeBasato su API; cablaggio SIEM manuale
Conservazione log di audit7 anni su Business1 anno standardConfigurabile su Enterprise
Residenza dati UEPredefinita per tutti i pianiOpt-in su EnterpriseDisponibile; non predefinita
Esportazione BigQueryProgrammata, Business+Non documentataBasata su API; nessuna esportazione nativa

Domande IT aziendali

Quali IdP supporta l'SSO?

Qualsiasi IdP che supporti SAML 2.0 o OIDC - Okta, Azure AD / Entra ID, Google Workspace, OneLogin, Ping, Rippling e altri. L'integrazione avviene tramite WorkOS, che normalizza le differenze di protocollo. Se il tuo IdP parla SAML o OIDC, funziona. La configurazione è un flusso guidato da WorkOS: configura l'app SAML nel tuo IdP, incolla l'URL dei metadati in Elido, fatto.

Come funziona il deprovisioning SCIM?

WorkOS gestisce l'endpoint SCIM 2.0. Quando un utente viene rimosso dal gruppo pertinente nel tuo IdP, WorkOS invia un evento DELETE a Elido. Elido revoca immediatamente i token di sessione dell'utente e contrassegna l'account come inattivo. Le chiavi API attive associate a quell'utente non vengono revocate automaticamente - questo è un passaggio separato che configuri nelle impostazioni SCIM, con impostazione predefinita su revoca-al-deprovisioning. L'azione di deprovisioning appare nel log di audit entro il ciclo di sincronizzazione SCIM (tipicamente meno di 5 minuti).

Cosa copre l'IP allowlist?

Accesso al dashboard, richieste API e conferma di consegna dei webhook. La notazione CIDR è supportata; più intervalli sono separati da virgole. Le richieste provenienti da fuori dall'allowlist restituiscono un 403 con un evento di audit loggato - nessuna caduta silenziosa. L'IP allowlist viene valutata dopo l'autenticazione, non prima, quindi l'autenticazione fallita da fuori dall'allowlist logga comunque il tentativo.

Possiamo ottenere un BAA per la conformità HIPAA?

Sì, su Business+. Il BAA copre il ruolo di Elido come socio in affari per le aree di lavoro in cui le PHI potrebbero passare attraverso i metadati del link o gli analytics. Le salvaguardie tecniche (crittografia a riposo e in transito, audit trail, controlli di accesso, notifica di violazione) sono già in atto. Contatta [email protected] per il modello BAA.

Qual è lo stato SOC 2?

L'audit SOC 2 Type II è in corso con obiettivo H2 2026. ISO 27001 è stata ottenuta. Condividiamo le prove Type 1 sotto NDA per i clienti che ne hanno bisogno prima che il report Type 2 venga pubblicato. Il Trust Center su /trust tiene traccia dello stato attuale. Non dichiareremo Type II finché il periodo di audit non sarà chiuso.

Come funzionano i ruoli personalizzati - posso limitare un team alla sola lettura su un dominio specifico?

Sì. I ruoli personalizzati definiscono policy basate su Cedar che possono limitare i permessi a domini specifici, cartelle specifiche o operazioni specifiche (creazione/lettura/aggiornamento/eliminazione). Un ruolo che consente la creazione di link solo su un dominio personalizzato specifico e l'accesso in sola lettura agli analytics è una policy valida. I ruoli sono per area di lavoro; un utente può avere ruoli diversi in diverse aree di lavoro. La valutazione della policy avviene al momento della richiesta, non al login.

Esiste un'opzione edge dedicata per i clienti Business?

Il livello Business utilizza i POP edge condivisi di Elido (regione UE, USA Est, Asia-Pacifico). Un edge dedicato - la tua flotta di nodi di redirect, isolata dal traffico di altri tenant - è oggetto di una trattativa Enterprise. Contatta [email protected]. In alternativa, l'Helm chart per l'auto-hosting ti permette di eseguire il livello di redirect nel tuo VPC, che è un modello comune per i clienti Enterprise con requisiti rigorosi di isolamento del traffico.

Qual è lo SLA per la notifica di violazione?

Notifica al cliente entro 24 ore su violazioni confermate di dati personali; notifica all'autorità di regolamentazione entro 72 ore (GDPR Art. 33). La notifica copre ciò che sappiamo in quel momento - non aspettiamo l'analisi forense completa. Il processo è su /trust/incident-response.

Lista di lettura per l'IT aziendale

SCIM e SSO

SAML/OIDC gestito da WorkOS, deprovisioning SCIM 2.0, guide IdP.

White-label

Hostname del portale brandizzato, email transazionali, parità sub-processor.

Trust Center

Stato SOC 2, ISO 27001, sub-processor, storico incidenti.

DPA

Accordo per il trattamento dei dati GDPR pre-firmato, EU SCCs incluse.

API e SDK

OpenAPI 3.1, SDK in TypeScript / Go / Python, webhook.

Sicurezza

Postura crittografica, modello RBAC, log di audit, IP allowlist.

Non sei sicuro quale angolazione si adatti?

La maggior parte dei team inizia come uno e si sviluppa in tutti e quattro. Il nostro team di vendita può esaminare il tuo stack specifico in 20 minuti.

Parla con il commercialeTrust Center