For enterprise IT

The shortener your security team won’t reject.

コンプライアンス、インシデント対応、ベンダー調査票を管理。セキュリティチームが承認する短縮リンク基盤。

Talk to sales Read trust report

SAML SSO + SCIM via WorkOS or native — Okta, Entra ID, Google
eu-central-1 default with workspace-level region pin
SOC 2 Type II audit in progress (H2 2026 target)
ISO 27001 achieved; certificate available under NDA

Workspace residency

eu-central-1 · default

Default + EU residency

Opt-in (Business+, irreversible)

SAML + OIDC

SSOプロトコル

WorkOS

SSO/SCIMプロバイダー

7年間

監査ログ保持（ビジネスプラン）

ISO 27001

現在の認証

How SSO works

Okta or Entra ID → SAML → Elido. Twelve minutes from cold start.

SSO routes through WorkOS, which normalises the protocol differences between SAML 2.0 and OIDC and the per-IdP quirks that no one wants to maintain themselves. Your team configures the SAML app once in their IdP; Elido picks up users by email domain → connection mapping.

Step 1
User signs in
okta.com / login.microsoftonline.com
IdP authenticates against the corporate directory.
Step 2
SAML assertion
WorkOS connection · domain-routed
Email-domain → IdP connection mapping, no per-user setup.
Step 3
Elido session
edge auth · 200 OK
Session token issued, scope derived from group claims.
Step 4
Workspace landing
app.elido.app/w/your-org
Role + IP allowlist evaluated; audit row written.

SCIM provisioning

Add a user in Okta. They’re in Elido in five minutes.

SCIM 2.0 directory sync provisions and deprovisions users automatically. Group-claim mapping converts IdP groups into Elido workspace roles, so a promotion in HR’s system rolls into Elido without a ticket. Departing employees are deprovisioned within the SCIM sync cycle, with active sessions revoked and the action logged.

Auto-provision on group add
IdP group membership → workspace invitation, no manual step
Group-claim role mapping
engineering-eu → editor, finance → viewer, configurable
Deprovision = session revoke
DELETE event invalidates tokens; API keys revoked by policy
Every SCIM event is audited
Append-only log with actor, before/after, source IP

SCIM & SSO deep-dive →

SCIM directory sync

workspace · acme-eu

Live · WorkOS

1
User added in Okta
Joins the elido-eu-engineering directory group as part of HR onboarding.
okta.comPOST /scim/v2/Users
T+75s
2
WorkOS pushes to Elido
SCIM sync cycle picks up the create event; no manual invite needed.
workos.com → elido.appscim.create user@org
T+150s
3
Elido provisions the user
Account created, workspace invitation surfaced in pending state.
api-coreuser.id = usr_01HK…
T+225s
4
Group claim → role
engineering → editor; billing-admins → admin. Mapping is configurable.
policyrole: editor (workspace.eu)
T+300s
Deprovision is the same flow in reverse — DELETE event revokes sessions and rotates affected API keys per policy.

Authorization model

Cedar-based RBAC, not a fixed three-tier hierarchy.

The matrix below is the out-of-the-box view. Custom roles let you express things like “create links on this domain only” or “read-only on analytics, no billing access” as Cedar policies. Roles are scoped per workspace, so different business units can run different role structures.

Built-in role permissions

Cedar policies · custom roles override

Permission	Owner	Admin	Member	Read-only	API key
Create / edit links
Manage custom domains
View analytics
Manage billing
Invite & manage members
Rotate API keys

Allowed

Scoped — set via Cedar policy

Denied

Policy eval at request time, not at loginaudit · every change

See security model →Custom roles guide → docs

What enterprise IT actually gets

SAML SSO + SCIM via WorkOS or native — Okta, Entra ID, Google
eu-central-1 default with workspace-level region pin
SOC 2 Type II audit in progress (H2 2026 target)
ISO 27001 achieved; certificate available under NDA
BAA on Business+ for HIPAA-adjacent workloads
Dedicated edge POPs available for Enterprise contracts

エンタープライズITが短縮URLサービスに真に求めるもの

シャドーIT化した短縮URLサービスは、「誰がアクセスしたか」「データはどこにあるか」「監査可能か」という3つの問いで調達に失敗します。以下の機能は、それらのギャップを埋めるものです。

アイデンティティとプロビジョニング

WorkOS経由のSAML SSOとSCIMユーザープロビジョニング

SSOはWorkOSを経由し、Okta、Azure AD / Entra ID、Google Workspace、OneLogin、Pingなどの主要なIdPに対してSAML 2.0およびOIDCをサポートします。メールドメインから接続へのマッピングにより、ユーザー側での設定なしに適切なIdPへルーティングされます。SCIMディレクトリ同期は、ユーザーのプロビジョニングとデプロビジョニングを自動化します。IdPの該当グループに追加された新しい従業員には数分以内にElidoワークスペースへの招待が送られ、退職した従業員はSCIM同期サイクル内に手動のオフボーディングなしでデプロビジョニングされます。IdPのグループはElidoワークスペースのロールにマップされ、一度設定すればIdPでのロール変更が自動的に反映されます。これはWorkOSが管理する統合であり、IdPごとのコネクタを維持する必要はなく、Elidoは単一のSCIMエンドポイントを消費します。

認可モデル

CedarベースのRBACによるカスタムロール — オーナー/管理者/メンバーを超えて

ElidoのロールモデルはCedarベースであり、権限は固定された3階層ではなく、リクエスト時に評価されるポリシー式として定義されます。標準でオーナー、管理者、メンバー、閲覧者が用意されています。カスタムロールを使用すると、「特定のドメインでリンクを作成できるが、ルーティングルールの削除や変更はできない」や「分析データへの読み取り専用アクセスはできるが、請求設定にはアクセスできない」といったポリシーを定義できます。ロールはグローバルではなくワークスペース単位で割り当てられ、複数のワークスペースを持つエンタープライズではビジネスユニットごとに異なるロール構造を持つことができます。IP許可リスト（CIDR範囲）はロールチェックと並行して評価され、適切なロールを持っていても許可されたIP範囲外のユーザーは拒否されます。これは、契約社員が正社員とは異なるサブセットにアクセスするハイブリッドチームに関連します。

監査とSIEM

SIEMへリアルタイムにストリーミングされる追記型監査ログ

リンクの作成・更新・削除、設定変更、メンバーの招待とロール変更、APIキーの発行とローテーション、カスタムドメインの申請、エクスポートなど、すべてのワークスペースアクションは、実行者、タイムスタンプ、ソースIP、変更前後の差分、構造化されたイベントタイプとともに追記型監査ログに記録されます。ログはプロプランで90日間、ビジネスプランで7年間保持されます。SIEMファイアホースは、HMAC-SHA256署名付きのWebhookを介して、Splunk、Datadog、ELK、または任意のHTTPレシーバーにイベントをリアルタイムでストリーミングします。ログはダッシュボードで照会可能ですが、編集はできません。追記型制約はデータベースレイヤーで強制されます。コンプライアンス面では、監査ログはアクセス制御レビュー、変更管理、インシデント対応の主要な証拠となります。古いエントリが期限切れになると「保持期間パージ」メタイベントがログに記録されるため、そのギャップ自体も監査可能です。

データガバナンス

データガバナンス要件に対応するEU居住性、IP許可リスト、BigQueryエクスポート

ワークスペースのデータはデフォルトでEU（フランクフルト）に固定され、管理者がワークスペース作成時にアッシュバーンまたはシンガポールを明示的に設定しない限り、そのリージョンから出ることはありません（設定後の変更は不可）。ホットデータのクロスリージョンレプリケーションはありません。ビジネスプラン以上のIP許可リスト（CIDR）は、VPNや固定オフィスIPなどの既知の送信範囲にワークスペースへのアクセスを制限します。BigQueryエクスポートは、完全なクリックイベントと監査ログストリームを、所有するBigQueryデータセットにスケジュール通りまたはトリガーで送信します。SnowflakeやS3もサポートされています。データを特定のインフラ内に留める必要がある規制対象のワークロードには、セルフホスト用Helmチャートを使用して、独自のVPC内でリダイレクト層を実行し、独自のClickHouseにクリックイベントを保存できます。ビジネスプラン以上ではHIPAA BAAを利用可能です。暗号化、監査トレイル、アクセス制御、侵害通知などの技術的保護策は既に組み込まれており、BAAはそれらを法的に包摂するものです。

ベンダーデューデリジェンス

パッケージ化されたコンプライアンス証拠：SOC 2、ISO 27001、DPA、サブプロセッサー

Elidoは、長引くメールのやり取りなしに調達時の質問を解決します。DPAは事前に署名されており、/legal/dpaからダウンロード可能です。サブプロセッサーリストは/legal/subprocessorsで公開されています（5社。すべてEU居住、またはオプトアウト可能）。ISO 27001は取得済み、SOC 2 Type IIは2026年後半の完了を目指しています。Type IIレポートが公開される前に証拠が必要な顧客には、NDAに基づきType Iの証拠を共有します。/trustのトラストセンターでは、現在の認証ステータスとインシデント履歴の最新情報を追跡できます。脆弱性の開示はHackerOne（プライベートプログラム）経由で行われ、security.txtは既知のパスに配置されています。これらはロードマップではなく、既に存在しているものです。監査期間が終了するまでSOC 2 Type IIを主張することはありません。2026年後半を予定しています。

Stack you’ll touch

SSO (SAML / OIDC)
SCIM プロビジョニング
カスタムロール (RBAC)
IP 許可リスト
監査ログ + SIEM ファイアホース
EU データ所在
HIPAA BAA

セキュリティチームの測定指標

サブプロセッサー数: 5社 (EU 限定)
監査ログ保持期間: Business プランで7年
DSAR 対応時間: 30日以内

これを活用しているエンタープライズITチーム

名称は現時点ではプレースホルダーです。事例が公開され次第、実際の顧客名が掲載されます。

“Okta SCIM同期とIP許可リストにより、最初のレビューで調達チェックリストをクリアできました。Splunkへの監査ログストリーミングは、セキュリティチームがこれが単なるベンダーのチェックボックスではなく、本物であることを確信した詳細な機能でした。”

ITセキュリティチーム、保険グループ、チューリッヒ

ITセキュリティマネージャー

“Schrems II判決後、EU居住データと米国サブプロセッサーなしの環境が必要でした。Elidoは、「データはどこに保存されているか？」という問いに対して、具体的な都市名と10社未満のサブプロセッサー数で回答した最初の短縮URLサービスでした。”

コ

コーポレートIT、中堅製造業、デュッセルドルフ

ITガバナンス責任者

“ビジネスプランのBAAとISO 27001により、米国製品チームのHIPAA対応が完了しました。SCIMプロビジョニングのおかげで、200人規模の買収統合中にElidoのオンボーディング作業を行う必要がありませんでした。”

プ

プラットフォームセキュリティチーム、フィンテック、ダブリン

プラットフォームセキュリティディレクター

エンタープライズITにおけるElido、Bitly Enterprise、Bl.inkの比較

Bitly EnterpriseとBl.inkは、どちらも長い実績を持つエンタープライズ級の選択肢です。以下の比較は、マーケティング上の主張ではなく、エンタープライズITチームが評価する機能に焦点を当てています。

Capability	Elido	Bitly Enterprise	Bl.ink
SSOプロトコル	WorkOS経由のSAML 2.0 + OIDC	エンタープライズ層でSAML 2.0	エンタープライズ層でSAML 2.0
SCIMプロビジョニング	ビジネスプラン以上、WorkOS経由	エンタープライズ層のみ	エンタープライズ層で利用可能
カスタムロール (RBAC)	Cedarベースのポリシー式	固定されたロール階層	詳細かつドキュメント化されている
IP許可リスト	CIDR対応、ビジネスプラン+	エンタープライズのみ	利用可能
監査ログ → SIEM	リアルタイムのWebhookファイアホース	日次エクスポート、リアルタイムはエンタープライズのアドオン	APIベース、SIEM連携は手動
監査ログ保持期間	ビジネスプランで7年間	標準で1年間	エンタープライズで設定可能
EUデータ居住性	全プランでデフォルト	エンタープライズでオプトイン	利用可能（デフォルトではない）
BigQueryエクスポート	スケジュール設定可能、ビジネスプラン+	ドキュメントなし	APIベース、ネイティブなエクスポートなし

エンタープライズITに関するよくある質問

SSOはどのIdPをサポートしていますか？

Okta、Azure AD / Entra ID、Google Workspace、OneLogin、Ping、Ripplingなど、SAML 2.0またはOIDCをサポートするすべてのIdPをサポートしています。統合はWorkOSを介して行われ、プロトコルの違いを吸収します。IdPがSAMLまたはOIDCに対応していれば動作します。セットアップはWorkOSガイドに従い、IdPでSAMLアプリを設定し、メタデータURLをElidoに貼り付けるだけで完了します。

SCIMデプロビジョニングはどのように機能しますか？

WorkOSがSCIM 2.0エンドポイントを処理します。IdPの該当グループからユーザーが削除されると、WorkOSはElidoにDELETEイベントをプッシュします。Elidoは即座にユーザーのセッショントークンを無効化し、アカウントを非アクティブとしてマークします。そのユーザーに関連付けられたアクティブなAPIキーは自動的には取り消されませんが、これはSCIM設定で「デプロビジョニング時に取り消す」ように設定可能です（デフォルト）。デプロビジョニングアクションは、SCIM同期サイクル（通常5分未満）内に監査ログに表示されます。

IP許可リストは何をカバーしますか？

ダッシュボードへのログイン、APIリクエスト、およびWebhookの配信確認をカバーします。CIDR表記をサポートしており、複数の範囲をカンマ区切りで指定できます。許可リスト外からのリクエストは403を返し、監査イベントとして記録されます。IP許可リストは認証前ではなく認証後に評価されるため、許可リスト外からの認証失敗も記録されます。

HIPAAコンプライアンスのためのBAAを取得できますか？

はい、ビジネスプラン以上で可能です。BAAは、リンクのメタデータや分析を通じてPHIが通過する可能性のあるワークスペースにおいて、Elidoがビジネスアソシエイトとしての役割を果たすことをカバーします。技術的保護策（保存時および転送時の暗号化、監査トレイル、アクセス制御、侵害通知）は既に導入されています。BAAのテンプレートについては compliance@elido.app までお問い合わせください。

SOC 2のステータスはどうなっていますか？

SOC 2 Type II監査が進行中で、2026年後半の完了を目指しています。ISO 27001は取得済みです。Type IIレポートが公開される前に証拠が必要な顧客には、NDAに基づきType Iの証拠を共有します。/trustのトラストセンターで現在の状況を確認できます。監査期間が終了するまでType IIを主張することはありません。

カスタムロールはどのように機能しますか？特定のドメインに対してチームを読み取り専用に制限できますか？

はい。カスタムロールは、権限を特定のドメイン、特定のフォルダ、または特定の操作（作成/読み取り/更新/削除）に限定できるCedarベースのポリシーを定義します。「特定のカスタムドメインでのみリンクを作成でき、分析データには読み取り専用でアクセスできる」ロールは有効なポリシーです。ロールはワークスペース単位であり、ユーザーはワークスペースごとに異なるロールを持つことができます。ポリシー評価はログイン時ではなく、リクエスト時に行われます。

ビジネスプランの顧客向けの専用エッジオプションはありますか？

ビジネス層はElidoの共有エッジPOP（フランクフルト、アッシュバーン、シンガポール）を使用します。他のテナントからトラフィックが隔離された、独自の専用リダイレクトノード群である「専用エッジ」については、エンタープライズでの個別相談となります。sales@elido.app までお問い合わせください。あるいは、セルフホスト用Helmチャートを使用して独自VPC内でリダイレクト層を実行することも可能です。これは厳格なトラフィック隔離要件を持つエンタープライズ顧客に一般的なパターンです。

侵害通知のSLAはどうなっていますか？

個人データの侵害が確認された場合、顧客へは24時間以内、規制当局（GDPR第33条）へは72時間以内に通知します。通知はその時点で把握している内容をカバーし、完全なフォレンジック結果を待つことはありません。プロセスは /trust/incident-response に記載されています。