SSO & SCIM. Enterprise identity, zero friction.
主要なあらゆるIdPに対応したSAML / OIDCサインイン。SCIMディレクトリ同期により、ユーザーのプロビジョニングとデプロビジョニングを自動化します。ステートを失うことなくWebhookシークレットのローテーションが可能です。
- SAML / OIDC against 20+ identity providers
- SCIM directory sync — provision and deprovision automatically
- Webhook secret rotation without downtime
- Full audit trail for compliance
SCIM directory sync
Provision and deprovision in under 60 seconds
Connect your IdP directory once. Every hire, transfer, and departure propagates to Elido automatically — no IT ticket, no manual invite, no forgotten offboarding gap.
- Auto-provisioningSCIM CREATE from Okta or Entra → Elido account in under 60s
- Group-to-role mappingIdP groups map to Elido roles; changes propagate on next sync
- Instant deprovisioningSCIM DELETE or active: false → sessions revoked immediately
- API key suspensionAll user API keys suspended on offboarding — no access-after-departure gap
- AAna KovačAdmin
- BBen CarterMember
- CCarla MoraMember
- DDmitri VolkovViewer
- EErika SaloMember
- AAna KovačAdmin
- BBen CarterMember
- CCarla MoraMember
- DDmitri VolkovViewer
- EErika Salodeprovisioned
Identity providers
Works with every major IdP
Elido uses WorkOS as the SSO and SCIM broker — 20+ connections out of the box, plus Generic SAML for any SP-initiated flow. Configure the Elido application in your IdP once; Elido generates the SAML metadata XML or OIDC credentials.
Any SAML 2.0-compliant IdP works via Generic SAML. See the setup guide →
- User provisioned via SCIMokta-scim-svc10.0.1.409:12:04
- SSO login — Oktaana@corp.com91.223.4.1709:14:31
- SSO login — Azure ADben@corp.com185.46.9.209:17:08
- Webhook secret rotatedadmin@corp.com77.123.11.510:05:22
- User deprovisioned via SCIMokta-scim-svc10.0.1.414:33:51
- Role changed: Member → Adminadmin@corp.com77.123.11.515:01:09
Audit trail
Immutable identity event log
Every SSO login, SCIM provision, role change, and secret rotation is logged append-only. No admin can delete entries. Export to CSV or stream to your SIEM via API.
- Timestamp, actor, action, target, and IdP connection per event
- 12-month retention on Business; longer available on request
- API export for SOC 2, ISO 27001, DORA, and NIS2 evidence
- Failed SSO attempts logged with reason code
- IP-based alerting for SSO probing threshold
- Secret rotations reference the overlap window in the log
What you can do
- Okta、Azure AD / Entra、Google Workspace
- メールメイン → 接続マッピング
- SCIMユーザーの作成 / 更新 / 削除
- Webhook署名検証 (HMAC-SHA256)
本番環境のエンタープライズSSOとSCIMプロビジョニングに真に必要なもの
SAMLリダイレクトは最低条件に過ぎません。以下の詳細は、セキュリティチームが重視するプロビジョニングのレイテンシ、ロールマッピング、シークレットのローテーション、および障害モードを網羅しています。
WorkOSによるSAML 2.0およびOIDCサインイン — メールメインによる適切なIdP接続へのルーティング
ElidoはSSOブローカーとしてWorkOSを使用しており、Okta、Azure AD / Entra ID、Google Workspace、OneLogin、PingFederate、およびあらゆるSAML 2.0準拠のIdPを含む20以上のIdP接続をサポートしています。貴社のITチームがIdP側でElidoアプリケーションを一度設定すると、ElidoはIdP設定ウィザード用のSAMLメタデータXMLまたはOIDCクライアント資格情報を生成します。メールメインルーティングは、ユーザーのメールメインを正しいIdP接続にマップします。例えば @yourcompany.com のユーザーは、リストから選択することなく自動的にOkta接続にルーティングされます。統合された企業や複数のドメインを持つ企業向けに、複数のメールメインを単一の接続にマップすることも可能です。JITプロビジョニングは、SCIMが未使用の場合に初回のSSOログイン時にElidoアカウントを作成します。SCIMが有効な場合、JITは無効になり、初回ログイン前にSCIM経由でアカウントをプロビジョニングする必要があります。
SCIM 2.0ディレクトリ同期:自動プロビジョニング、デプロビジョニング、およびグループとロールのマッピング
SCIM 2.0は、アイデンティティプロバイダーのユーザーディレクトリをElidoと同期します。OktaやEntraのElidoアプリケーショングループにユーザーが追加されると、ElidoはSCIM CREATEイベントを受信し、ユーザーアカウントをプロビジョニングします。ITチケットや手動の招待は不要です。ユーザープロフィールの更新(名前、メールアドレス)も自動的に反映されます。ユーザーがグループから削除されたり、IdPで無効化されたりすると、ElidoはSCIM DELETEまたはPATCH (active: false) イベントを受信し、即座にアクセス権を剥奪します。そのユーザーの有効なセッションは無効化され、APIキーも停止されます。グループとロールのマッピング機能により、IdPグループ(例:'Elido Admins'、'Elido Viewers')をElidoのロール(Admin、Member、Viewer)にマップできます。IdP側でグループメンバーシップが変更されると、ロールの割り当ても自動的に更新されます。IdPのイベントからElidoのアカウント作成までのプロビジョニングレイテンシは、通常60秒以内です。
処理中のイベントを落とすことなくWebhook署名シークレットをローテーション — ダウンタイムゼロのローテーション手順
ElidoのSCIM WebhookレシーバーおよびアウトバウンドWebhookシステムは、イベントの真正性を検証するためにHMAC-SHA256署名を使用します。シークレットは期限切れになるため、定期的(推奨:90日)または侵害が疑われる場合にローテーションが必要です。ダウンタイムゼロのローテーションは次のように機能します:ダッシュボードで新しいシークレットを生成します(古いシークレットはデプロイ中のオーバーラップウィンドウとして15分間有効のままです)。新しいシークレットを貴社のシステムにデプロイし、受信したSCIMイベントが新しいシークレットで検証されることを確認してから、古いシークレットを即座に無効化します。15分間のオーバーラップウィンドウにより、デプロイ中に古いシークレットで署名された処理中のイベントも確実に処理されます。シークレットのローテーションは、タイムスタンプ、実行者(ローテーションを行った管理者)、およびオーバーラップ終了の確認とともに監査トレールに記録されます。
完全なアイデンティティイベントログ:SSOログイン、プロビジョニングイベント、ロール変更、シークレットのローテーション
すべてのSSOサインイン、SCIMプロビジョニング/デプロビジョニング、ロール割り当ての変更、およびシークレットのローテーションは、ワークスペースの監査トレール(Business)に記録されます。各エントリには、タイムスタンプ、実行者(ユーザーまたはSCIMサービス)、アクションタイプ、ターゲット(影響を受けたユーザーまたはリソース)、使用されたIdP接続、およびワークスペースIDが含まれます。監査トレールは追記のみ可能で、不変です。管理者であってもエントリを削除することはできません。SIEMへの取り込みのためにCSVでエクスポートしたり、API経由で照会したりできます。貴社のコンプライアンス枠組みでアクセス制御イベントの証跡が必要な場合(SOC 2 Type II、ISO 27001、DORA、NIS2)、監査トレールがその証拠資料となります。Businessプランでの保存期間は12ヶ月ですが、規制対象業界向けにはリクエストに応じてより長い保存期間も提供可能です。
SCIMによるセッションの強制終了 — IdPでの無効化後60秒以内にアクセス権を剥奪
SCIMがユーザーの無効化(従業員の退職、コントラクターの契約終了など)を通知すると、Elidoは即座にそのユーザーのすべての有効なセッションを無効化し、APIキーを停止します。これはセッションクッキーのTTLに依存しません。ElidoはユーザーIDごとに失効フラグを保持しており、すべての認証リクエストでそれをチェックします。IdPでの無効化からElidoでのアクセス権剥奪までの時間は、SCIMイベントの配信レイテンシに依存します。通常、Oktaでは30秒以内、Azure Entraでは60秒以内です。高度なセキュリティが求められるオフボーディング(例:退職する管理者など)の場合、Elidoのワークスペース管理者はSCIMイベントが届く前にダッシュボードで特定のユーザーのセッションを手動で取り消すこともできます。手動でのセッション取り消しとSCIMトリガーによる取り消しは、どちらも監査トレールに記録されます。
Elido SSO & SCIMを使用しているエンタープライズセキュリティチーム
名前はプレースホルダーです。実際の導入事例が公開され次第、ここに掲載されます。
“SCIMによるオフボーディングは、初日からセキュリティチームが求めていた要件でした。Entraでユーザーが無効化されると、Elidoのアクセス権も1分以内に消えます。手動のデプロビジョニングチケットも、'取り消し忘れ'の隙もありません。3ヶ月後にログを監査しましたが、オフボーディング後のアクセスイベントはゼロでした。”
“2回の買収を経て、5つの社内メールメインがあります。ElidoのメールメインによるIdPルーティングは、これら5つすべてを同じOkta接続に向けることができます。どのドメインのユーザーも、リストから選ぶことなく適切なSSOフローに到達できます。”
“ダウンタイムなしのシークレットローテーションが、導入の決め手となった詳細機能でした。ポリシーとしてWebhookシークレットを四半期ごとにローテーションしていますが、15分間のオーバーラップウィンドウのおかげで、インシデントのリスクなく営業時間中にローテーションできます。すべてのローテーションはログに記録・監査され、SOC 2の証跡パッケージで参照されています。”
Elido SSO & SCIM vs Bitly vs Rebrandly
SSOはBitlyのEnterpriseティアとRebrandlyのBusinessティアで利用可能です。SCIMプロビジョニングは両者ともより制限されています。この比較では、各サービスが実際に提供しているものを網羅しています。
| Feature | Elido | Bitly Enterprise | Rebrandly Business |
|---|---|---|---|
| SAML 2.0 SSO | はい — WorkOSブローカー、20以上のIdP接続 | はい — Enterpriseティア | はい — Businessティア |
| OIDC SSO | はい — WorkOS経由でSAMLと併用可能 | SAMLのみ | SAMLのみ |
| SCIM 2.0プロビジョニング | 完全な作成 / 更新 / 削除 + グループとロールのマッピング | 限定的 — ユーザー作成のみ、ロールマッピングなし | 利用不可 |
| オフボーディング時の自動デプロビジョニング | はい — SCIM DELETE、60秒以内のセッション取り消し | 手動のみ | 手動のみ |
| メールメインIdPルーティング | はい — 1接続につき複数ドメイン対応 | 1接続につき単一ドメインのみ | ドキュメントなし |
| アイデンティティイベントの監査トレール | はい — 不変、12ヶ月、APIエクスポート | 限定的な監査ログ | 限定的な監査ログ |
| Webhookシークレットのローテーション (ダウンタイムゼロ) | はい — 15分間のオーバーラップウィンドウ | 該当なし | 該当なし |
SSO & SCIMに関する質問
どのアイデンティティプロバイダーがサポートされていますか?
ElidoはSSOおよびSCIMブローカーとしてWorkOSを使用しており、Okta、Azure AD / Entra ID、Google Workspace、OneLogin、PingFederate、Shibboleth、ADFS、JumpCloud、およびあらゆるSAML 2.0準拠のIdPをサポートしています。Google WorkspaceやAzureなどのプロバイダーについては、OIDC接続もサポートされています。お使いのIdPがWorkOSの標準リストにない場合でも、WorkOSの'Generic SAML'接続タイプを使用すれば、あらゆるSAML 2.0 SP開始フローに対応可能です。リストにない特定のIdP接続が必要な場合は、お問い合わせください。
JITプロビジョニングとSCIMプロビジョニングの違いは何ですか?
JIT (Just-in-Time) プロビジョニングは、ユーザーの初回SSOログイン時にElidoアカウントを作成します。事前のプロビジョニングが不要なためセットアップは簡単ですが、誰がログインできるかの制御はできません(有効なSSOアサーションを持つ全員にアカウントが付与されます)。SCIMプロビジョニングはIdP側で制御可能です。プロビジョニングされたグループ内のユーザーのみがログインでき、アカウントは初回ログイン前に作成されます。アクセスに事前承認が必要なエンタープライズ環境では、SCIMが推奨されます。SCIMが有効な場合、JITプロビジョニングは無効になります。
SCIMのグループとロールのマッピングはどのように機能しますか?
ワークスペースのSSO設定で、IdPグループをElidoのロールにマップします。例:'Oktaグループ: Elido Admins' → 'Elidoロール: Admin'、'Oktaグループ: Elido Members' → 'Elidoロール: Member'。Elido内でのユーザーのロールはIdP의 グループメンバーシップに従います。OktaでAdminsグループからMembersグループに移動された場合、次回のSCIM同期(通常60秒以内)でElidoのロールもダウングレードされます。複数のグループに所属しているユーザーは、一致するマッピングの中で最も権限の高いロールが適用されます。
SSOを全ユーザーに強制することはできますか?それともオプションですか?
SSOは、強制(全ユーザーがSSO経由でサインインする必要があり、パスワードサインインは無効化される)またはオプション(ユーザーがSSOかメール+パスワードを選択できる)に設定できます。Businessプランでは、ワークスペースのSSO設定で強制を構成できます。強制を有効にすると、有効なSSOアイデンティティを持たないユーザーはロックアウトされます。強制を有効にする前に、SCIMプロビジョニングまたはJITによってアカウントが作成されていることを確認してください。管理者アカウントは、緊急時のバックドアとしてSSO強制の対象外に設定することも可能です。
ユーザーがSCIM経由でオフボーディングされた場合、APIキーはどうなりますか?
SCIMがユーザーを無効化すると、Elidoはそのユーザーが作成したすべてのAPIキーを停止します。停止されたキーによる認証は HTTP 401 を返します。キーは削除されず、監査目的でワークスペース管理者が引き続き確認でき、'停止中 — オフボーディングされたユーザー' というステータスラベルが表示されます。個人用APIキー(ワークスペースのサービスキーではない)をサービスアカウントで使用していた場合、キーの停止によってその連携が切断されますが、これは意図的な動作です。本番環境の連携には、ユーザー個人のAPIキーではなくワークスペースレベルのサービスキーを使用してください。
SSOはProプランで利用できますか?それともBusinessプランのみですか?
SSOとSCIMはBusinessプラン専用の機能です。Proワークスペースでは、Elidoに組み込まれた認証(Ory Kratosによるメール+パスワード、およびオプション Google/GitHub OAuth)を使用します。調達の承認要件としてSSOが必須である場合は、Businessプランが対象となります。契約前にSSOを評価したい場合は、Businessプランのトライアルについてお問い合わせください。
複数のブランドやサブ組織を持つワークスペースのSSOはどう処理すればよいですか?
各Elidoワークスペースは独自のSSO構成を持っています。ブランドやビジネスユニットごとに複数のワークスペースを運用している場合、それぞれ個別にIdP接続とSCIMプロビジョニングを設定します。ユーザーは複数のワークスペースのメンバーになることができ、それぞれで異なるロールを持つことができます。IdPのアイデンティティは共通ですが、グループとロールのマッピングはワークスペースごとに評価されます。共有のOktaグループを、あるワークスペースではAdminに、別のワークスペースではMemberにマップすることも可能です。
SSOログインの失敗に関する監査トレールはありますか?
はい。失敗したSSO試行(無効なSAMLアサーション、セッション切れ、JIT無効時のSCIMアカウント不足など)は、理由コードとともにワークスペースの監査トレールに記録されます。これは特定のユーザーがログインできない原因を特定したり、SSOへのブルートフォース攻撃を検知したりするのに役立ちます。閾値を超えたIPアドレスからの失敗試行は、ワークスペースアラートをトリガーします(ワークスペースのセキュリティ設定で構成可能)。