Elido
チームに最適なアプローチを
エンタープライズIT向け

セキュリティチームが 却下しない短縮サービス。

コンプライアンス、インシデント対応、ベンダー調査票を管理。セキュリティチームが承認する短縮リンク基盤。

営業に問い合わせるトラストレポートを読む
  • SAML SSO + SCIM(当社のSSOプロバイダーまたはネイティブ)- Okta、Entra ID、Google
  • ワークスペースレベルのリージョン固定付きEUリージョンデフォルト
  • SOC 2 Type II監査進行中(2026年下半期目標)
  • ISO 27001取得済み;証明書はNDA締結後に提供
Workspace residency
EU region · default
EU NorthEU replicaEU regionprimary · defaultEU WestcomputeUS Eastopt-in · Business+Asia-Pacificopt-in · APAC
Default + EU residency
Opt-in (Business+, irreversible)
SAML + OIDC
SSOプロトコル
WorkOS
SSO/SCIMプロバイダー
7年間
監査ログ保持(ビジネスプラン)
ISO 27001
現在の認証

SSOの仕組み

OktaまたはEntra ID → SAML → Elido。コールドスタートから12分。

SSOはWorkOSを経由し、SAML 2.0とOIDCのプロトコル差異およびIdPごとの固有の問題を正規化します。チームはIdPでSAMLアプリを一度設定するだけで、Elidoはメールドメインによるコネクションマッピングでユーザーをピックアップします。

  1. Step 1

    User signs in

    okta.com / login.microsoftonline.com

    IdP authenticates against the corporate directory.

  2. Step 2

    SAML assertion

    WorkOS connection · domain-routed

    Email-domain → IdP connection mapping, no per-user setup.

  3. Step 3

    Elido session

    edge auth · 200 OK

    Session token issued, scope derived from group claims.

  4. Step 4

    Workspace landing

    app.elido.app/w/your-org

    Role + IP allowlist evaluated; audit row written.

SCIMプロビジョニング

OktaにユーザーをI追加。5分以内にElidoに反映。

SCIM 2.0ディレクトリ同期がユーザーのプロビジョニングとデプロビジョニングを自動化。グループクレームマッピングがIdPグループをElidoワークスペースロールに変換するため、HRシステムでの昇格はチケットなしにElidoに反映されます。退職者はSCIM同期サイクル内にデプロビジョニングされ、アクティブセッションは失効してアクションがログ記録されます。

  • グループ追加時の自動プロビジョニング
    IdPグループメンバーシップ → ワークスペース招待、手動ステップなし
  • グループクレームロールマッピング
    engineering-eu → editor、finance → viewer、設定可能
  • デプロビジョニング = セッション失効
    DELETEイベントがトークンを無効化;APIキーはポリシーで失効
  • すべてのSCIMイベントが監査済み
    操作者、変更前/変更後、ソースIPを含む追記のみのログ
SCIM & SSOの詳細 →
SCIM directory sync
workspace · acme-eu
Live · WorkOS
  1. 1
    User added in Okta

    Joins the elido-eu-engineering directory group as part of HR onboarding.

    okta.comPOST /scim/v2/Users
    T+75s
  2. 2
    WorkOS pushes to Elido

    SCIM sync cycle picks up the create event; no manual invite needed.

    workos.com → elido.appscim.create user@org
    T+150s
  3. 3
    Elido provisions the user

    Account created, workspace invitation surfaced in pending state.

    api-coreuser.id = usr_01HK…
    T+225s
  4. 4
    Group claim → role

    engineering → editor; billing-admins → admin. Mapping is configurable.

    policyrole: editor (workspace.eu)
    T+300s
  5. Deprovision is the same flow in reverse - DELETE event revokes sessions and rotates affected API keys per policy.

認可モデル

Cedarベースの RBAC、固定3階層ではありません。

下のマトリックスはデフォルトのビューです。カスタムロールで「このドメインのみでリンクを作成」や「分析は読み取り専用、課金アクセスなし」などをCedarポリシーとして表現できます。ロールはワークスペースごとにスコープされるため、異なる事業部門が異なるロール構造で運用できます。

Built-in role permissions
Cedar policies · custom roles override
PermissionOwnerAdminMemberRead-onlyAPI key
Create / edit links
Manage custom domains
View analytics
Manage billing
Invite & manage members
Rotate API keys
Allowed
Scoped - set via Cedar policy
Denied
Policy eval at request time, not at loginaudit · every change
セキュリティモデルを見る →カスタムロールガイド → docs

エンタープライズITが実際に得るもの

  • SAML SSO + SCIM(当社のSSOプロバイダーまたはネイティブ)- Okta、Entra ID、Google
  • ワークスペースレベルのリージョン固定付きEUリージョンデフォルト
  • SOC 2 Type II監査進行中(2026年下半期目標)
  • ISO 27001取得済み;証明書はNDA締結後に提供
  • HIPAA隣接ワークロード向けBusiness+のBAA
  • エンタープライズ契約向け専用エッジPOP対応

エンタープライズITが短縮URLサービスに真に求めるもの

シャドーIT化した短縮URLサービスは、「誰がアクセスしたか」「データはどこにあるか」「監査可能か」という3つの問いで調達に失敗します。以下の機能は、それらのギャップを埋めるものです。

アイデンティティとプロビジョニング
01

WorkOS経由のSAML SSOとSCIMユーザープロビジョニング

SSOはWorkOSを経由し、Okta、Azure AD / Entra ID、Google Workspace、OneLogin、Pingなどの主要なIdPに対してSAML 2.0およびOIDCをサポートします。メールドメインから接続へのマッピングにより、ユーザー側での設定なしに適切なIdPへルーティングされます。SCIMディレクトリ同期は、ユーザーのプロビジョニングとデプロビジョニングを自動化します。IdPの該当グループに追加された新しい従業員には数分以内にElidoワークスペースへの招待が送られ、退職した従業員はSCIM同期サイクル内に手動のオフボーディングなしでデプロビジョニングされます。IdPのグループはElidoワークスペースのロールにマップされ、一度設定すればIdPでのロール変更が自動的に反映されます。これはWorkOSが管理する統合であり、IdPごとのコネクタを維持する必要はなく、Elidoは単一のSCIMエンドポイントを消費します。

認可モデル
02

CedarベースのRBACによるカスタムロール - オーナー/管理者/メンバーを超えて

ElidoのロールモデルはCedarベースであり、権限は固定された3階層ではなく、リクエスト時に評価されるポリシー式として定義されます。標準でオーナー、管理者、メンバー、閲覧者が用意されています。カスタムロールを使用すると、「特定のドメインでリンクを作成できるが、ルーティングルールの削除や変更はできない」や「分析データへの読み取り専用アクセスはできるが、請求設定にはアクセスできない」といったポリシーを定義できます。ロールはグローバルではなくワークスペース単位で割り当てられ、複数のワークスペースを持つエンタープライズではビジネスユニットごとに異なるロール構造を持つことができます。IP許可リスト(CIDR範囲)はロールチェックと並行して評価され、適切なロールを持っていても許可されたIP範囲外のユーザーは拒否されます。これは、契約社員が正社員とは異なるサブセットにアクセスするハイブリッドチームに関連します。

監査とSIEM
03

SIEMへリアルタイムにストリーミングされる追記型監査ログ

リンクの作成・更新・削除、設定変更、メンバーの招待とロール変更、APIキーの発行とローテーション、カスタムドメインの申請、エクスポートなど、すべてのワークスペースアクションは、実行者、タイムスタンプ、ソースIP、変更前後の差分、構造化されたイベントタイプとともに追記型監査ログに記録されます。ログはプロプランで90日間、ビジネスプランで7年間保持されます。SIEMファイアホースは、HMAC-SHA256署名付きのWebhookを介して、Splunk、Datadog、ELK、または任意のHTTPレシーバーにイベントをリアルタイムでストリーミングします。ログはダッシュボードで照会可能ですが、編集はできません。追記型制約はデータベースレイヤーで強制されます。コンプライアンス面では、監査ログはアクセス制御レビュー、変更管理、インシデント対応の主要な証拠となります。古いエントリが期限切れになると「保持期間パージ」メタイベントがログに記録されるため、そのギャップ自体も監査可能です。

データガバナンス
04

データガバナンス要件に対応するEU居住性、IP許可リスト、BigQueryエクスポート

ワークスペースのデータはデフォルトでEUリージョンに固定され、管理者がワークスペース作成時に米国東部またはアジア太平洋を明示的に設定しない限り、そのリージョンから出ることはありません(設定後の変更は不可)。ホットデータのクロスリージョンレプリケーションはありません。ビジネスプラン以上のIP許可リスト(CIDR)は、VPNや固定オフィスIPなどの既知の送信範囲にワークスペースへのアクセスを制限します。BigQueryエクスポートは、完全なクリックイベントと監査ログストリームを、所有するBigQueryデータセットにスケジュール通りまたはトリガーで送信します。SnowflakeやS3もサポートされています。データを特定のインフラ内に留める必要がある規制対象のワークロードには、セルフホスト用Helmチャートを使用して、独自のVPC内でリダイレクト層を実行し、独自の分析ストアにクリックイベントを保存できます。ビジネスプラン以上ではHIPAA BAAを利用可能です。暗号化、監査トレイル、アクセス制御、侵害通知などの技術的保護策は既に組み込まれており、BAAはそれらを法的に包摂するものです。

ベンダーデューデリジェンス
05

パッケージ化されたコンプライアンス証拠:SOC 2、ISO 27001、DPA、サブプロセッサー

Elidoは、長引くメールのやり取りなしに調達時の質問を解決します。DPAは事前に署名されており、/legal/dpaからダウンロード可能です。サブプロセッサーリストは/legal/subprocessorsで公開されています(5社。すべてEU居住、またはオプトアウト可能)。ISO 27001は取得済み、SOC 2 Type IIは2026年後半の完了を目指しています。Type IIレポートが公開される前に証拠が必要な顧客には、NDAに基づきType Iの証拠を共有します。/trustのトラストセンターでは、現在の認証ステータスとインシデント履歴の最新情報を追跡できます。脆弱性の開示はHackerOne(プライベートプログラム)経由で行われ、security.txtは既知のパスに配置されています。これらはロードマップではなく、既に存在しているものです。監査期間が終了するまでSOC 2 Type IIを主張することはありません。2026年後半を予定しています。

利用するスタック

  • SSO (SAML / OIDC)
  • SCIM プロビジョニング
  • カスタムロール (RBAC)
  • IP 許可リスト
  • 監査ログ + SIEM ファイアホース
  • EU データ所在
  • HIPAA BAA

セキュリティチームの測定指標

サブプロセッサー数
5社 (EU 限定)
監査ログ保持期間
Business プランで7年
DSAR 対応時間
30日以内

これを活用しているエンタープライズITチーム

名称は現時点ではプレースホルダーです。事例が公開され次第、実際の顧客名が掲載されます。

Okta SCIM同期とIP許可リストにより、最初のレビューで調達チェックリストをクリアできました。Splunkへの監査ログストリーミングは、セキュリティチームがこれが単なるベンダーのチェックボックスではなく、本物であることを確信した詳細な機能でした。

I
ITセキュリティチーム、保険グループ、チューリッヒ
ITセキュリティマネージャー

Schrems II判決後、EU居住データと米国サブプロセッサーなしの環境が必要でした。Elidoは、「データはどこに保存されているか?」という問いに対して、具体的な都市名と10社未満のサブプロセッサー数で回答した最初の短縮URLサービスでした。

コーポレートIT、中堅製造業、デュッセルドルフ
ITガバナンス責任者

ビジネスプランのBAAとISO 27001により、米国製品チームのHIPAA対応が完了しました。SCIMプロビジョニングのおかげで、200人規模の買収統合中にElidoのオンボーディング作業を行う必要がありませんでした。

プラットフォームセキュリティチーム、フィンテック、ダブリン
プラットフォームセキュリティディレクター

エンタープライズITにおけるElido、Bitly Enterprise、Bl.inkの比較

Bitly EnterpriseとBl.inkは、どちらも長い実績を持つエンタープライズ級の選択肢です。以下の比較は、マーケティング上の主張ではなく、エンタープライズITチームが評価する機能に焦点を当てています。

機能ElidoBitly EnterpriseBl.ink
SSOプロトコルWorkOS経由のSAML 2.0 + OIDCエンタープライズ層でSAML 2.0エンタープライズ層でSAML 2.0
SCIMプロビジョニングビジネスプラン以上、WorkOS経由エンタープライズ層のみエンタープライズ層で利用可能
カスタムロール (RBAC)Cedarベースのポリシー式固定されたロール階層詳細かつドキュメント化されている
IP許可リストCIDR対応、ビジネスプラン+エンタープライズのみ利用可能
監査ログ → SIEMリアルタイムのWebhookファイアホース日次エクスポート、リアルタイムはエンタープライズのアドオンAPIベース、SIEM連携は手動
監査ログ保持期間ビジネスプランで7年間標準で1年間エンタープライズで設定可能
EUデータ居住性全プランでデフォルトエンタープライズでオプトイン利用可能(デフォルトではない)
BigQueryエクスポートスケジュール設定可能、ビジネスプラン+ドキュメントなしAPIベース、ネイティブなエクスポートなし

エンタープライズITに関するよくある質問

SSOはどのIdPをサポートしていますか?

Okta、Azure AD / Entra ID、Google Workspace、OneLogin、Ping、Ripplingなど、SAML 2.0またはOIDCをサポートするすべてのIdPをサポートしています。統合はWorkOSを介して行われ、プロトコルの違いを吸収します。IdPがSAMLまたはOIDCに対応していれば動作します。セットアップはWorkOSガイドに従い、IdPでSAMLアプリを設定し、メタデータURLをElidoに貼り付けるだけで完了します。

SCIMデプロビジョニングはどのように機能しますか?

WorkOSがSCIM 2.0エンドポイントを処理します。IdPの該当グループからユーザーが削除されると、WorkOSはElidoにDELETEイベントをプッシュします。Elidoは即座にユーザーのセッショントークンを無効化し、アカウントを非アクティブとしてマークします。そのユーザーに関連付けられたアクティブなAPIキーは自動的には取り消されませんが、これはSCIM設定で「デプロビジョニング時に取り消す」ように設定可能です(デフォルト)。デプロビジョニングアクションは、SCIM同期サイクル(通常5分未満)内に監査ログに表示されます。

IP許可リストは何をカバーしますか?

ダッシュボードへのログイン、APIリクエスト、およびWebhookの配信確認をカバーします。CIDR表記をサポートしており、複数の範囲をカンマ区切りで指定できます。許可リスト外からのリクエストは403を返し、監査イベントとして記録されます。IP許可リストは認証前ではなく認証後に評価されるため、許可リスト外からの認証失敗も記録されます。

HIPAAコンプライアンスのためのBAAを取得できますか?

はい、ビジネスプラン以上で可能です。BAAは、リンクのメタデータや分析を通じてPHIが通過する可能性のあるワークスペースにおいて、Elidoがビジネスアソシエイトとしての役割を果たすことをカバーします。技術的保護策(保存時および転送時の暗号化、監査トレイル、アクセス制御、侵害通知)は既に導入されています。BAAのテンプレートについては [email protected] までお問い合わせください。

SOC 2のステータスはどうなっていますか?

SOC 2 Type II監査が進行中で、2026年後半の完了を目指しています。ISO 27001は取得済みです。Type IIレポートが公開される前に証拠が必要な顧客には、NDAに基づきType Iの証拠を共有します。/trustのトラストセンターで現在の状況を確認できます。監査期間が終了するまでType IIを主張することはありません。

カスタムロールはどのように機能しますか?特定のドメインに対してチームを読み取り専用に制限できますか?

はい。カスタムロールは、権限を特定のドメイン、特定のフォルダ、または特定の操作(作成/読み取り/更新/削除)に限定できるCedarベースのポリシーを定義します。「特定のカスタムドメインでのみリンクを作成でき、分析データには読み取り専用でアクセスできる」ロールは有効なポリシーです。ロールはワークスペース単位であり、ユーザーはワークスペースごとに異なるロールを持つことができます。ポリシー評価はログイン時ではなく、リクエスト時に行われます。

ビジネスプランの顧客向けの専用エッジオプションはありますか?

ビジネス層はElidoの共有エッジPOP(EUリージョン、米国東部、アジア太平洋)を使用します。他のテナントからトラフィックが隔離された、独自の専用リダイレクトノード群である「専用エッジ」については、エンタープライズでの個別相談となります。[email protected] までお問い合わせください。あるいは、セルフホスト用Helmチャートを使用して独自VPC内でリダイレクト層を実行することも可能です。これは厳格なトラフィック隔離要件を持つエンタープライズ顧客に一般的なパターンです。

侵害通知のSLAはどうなっていますか?

個人データの侵害が確認された場合、顧客へは24時間以内、規制当局(GDPR第33条)へは72時間以内に通知します。通知はその時点で把握している内容をカバーし、完全なフォレンジック結果を待つことはありません。プロセスは /trust/incident-response に記載されています。

エンタープライズITのリーディングリスト

SCIM & SSO

WorkOS管理のSAML/OIDC、SCIM 2.0プロビジョニング解除、IdPガイド。

ホワイトラベル

ブランドポータルホスト名、トランザクションメール、サブプロセッサーパリティ。

トラストセンター

SOC 2ステータス、ISO 27001、サブプロセッサー、インシデント履歴。

DPA

事前署名済みGDPRデータ処理補足合意書、EU SCCs含む。

API & SDKs

OpenAPI 3.1、TypeScript / Go / PythonのSDK、ウェブフック。

セキュリティ

暗号化態勢、RBACモデル、監査ログ、IPアローリスト。

どの活用法が最適か迷われていますか?

多くのチームが1つのユースケースから始め、最終的に4つすべてを導入しています。弊社の営業チームが、20分で貴社の具体的なスタックに合わせたご提案をいたします。

営業に問い合わせるトラストセンター