SSO & SCIM. Enterprise-identiteit, zonder frictie.
SAML / OIDC-inlog tegen elke grote IdP. SCIM-directorysync provisioneert en deprovisioneert gebruikers automatisch. Webhook secrets roteren zonder status te verliezen.
- SAML / OIDC tegen 20+ identity providers
- SCIM-directorysync - automatisch provisioneren en deprovisioneren
- Webhook secret-rotatie zonder downtime
- Volledige audittrail voor compliance
SCIM-directorysync
Provisioneer en deprovisioneer binnen 60 seconden
Koppel je IdP-directory eenmalig. Elke aanname, overplaatsing en vertrek wordt automatisch doorgevoerd naar Elido - geen IT-ticket, geen handmatige uitnodiging, geen vergeten offboarding-gat.
- Auto-provisioningSCIM CREATE vanuit Okta of Entra → Elido-account binnen 60s
- Group-to-role-mappingIdP-groepen mappen naar Elido-rollen; wijzigingen worden bij de volgende sync doorgevoerd
- Directe deprovisioningSCIM DELETE of active: false → sessies direct ingetrokken
- Opschorten van API-keysAlle API-keys van de gebruiker geschorst bij offboarding - geen access-after-departure-gat
- AAna KovačAdmin
- BBen CarterMember
- CCarla MoraMember
- DDmitri VolkovViewer
- EErika SaloMember
- AAna KovačAdmin
- BBen CarterMember
- CCarla MoraMember
- DDmitri VolkovViewer
- EErika Salogedeprovisioneerd
Identity providers
Werkt met elke grote IdP
Elido gebruikt WorkOS als SSO- en SCIM-broker - 20+ connections standaard, plus Generic SAML voor elke SP-initiated flow. Configureer de Elido-applicatie eenmalig in je IdP; Elido genereert de SAML-metadata-XML of OIDC-credentials.
Elke SAML 2.0-conforme IdP werkt via Generic SAML. Bekijk de setupgids →
- Gebruiker geprovisioneerd via SCIMokta-scim-svc10.0.1.409:12:04
- SSO-inlog - Okta[email protected]91.223.4.1709:14:31
- SSO-inlog - Azure AD[email protected]185.46.9.209:17:08
- Webhook secret geroteerd[email protected]77.123.11.510:05:22
- Gebruiker gedeprovisioneerd via SCIMokta-scim-svc10.0.1.414:33:51
- Rol gewijzigd: Member → Admin[email protected]77.123.11.515:01:09
Audittrail
Onveranderlijk identiteits-eventlog
Elke SSO-inlog, SCIM-provisioning, rolwijziging en secret-rotatie wordt append-only gelogd. Geen admin kan vermeldingen verwijderen. Exporteer naar CSV of stream naar je SIEM via de API.
- Tijdstempel, actor, actie, target en IdP-connection per event
- 12 maanden retentie op Business; langer beschikbaar op verzoek
- API-export voor SOC 2-, ISO 27001-, DORA- en NIS2-bewijs
- Mislukte SSO-pogingen gelogd met redencode
- IP-gebaseerde alerting voor SSO-probingdrempel
- Secret-rotaties verwijzen naar het overlapvenster in het log
Wat je kunt doen
- Okta, Azure AD / Entra, Google Workspace
- E-maildomein → connection-mapping
- SCIM user create / update / delete
- Webhook-signatureverificatie (HMAC-SHA256)
Wat enterprise SSO en SCIM-provisioning in productie echt vereisen
SAML-redirect is een basisvereiste. De details hieronder behandelen provisioning-latentie, rolmapping, secret-rotatie en de faalmodi die belangrijk zijn voor securityteams.
SAML 2.0- en OIDC-inlog via WorkOS - e-maildomeinroutering naar de juiste IdP-connection
Elido gebruikt WorkOS als SSO-broker, die 20+ IdP-connections ondersteunt, waaronder Okta, Azure AD / Entra ID, Google Workspace, OneLogin, PingFederate en elke SAML 2.0-conforme IdP. Je IT-team configureert de Elido-applicatie eenmalig in je IdP; Elido genereert SAML-metadata-XML of OIDC-clientcredentials voor de setupwizard van de IdP. E-maildomeinroutering koppelt e-maildomeinen van gebruikers aan de juiste IdP-connection - gebruikers met @jouwbedrijf.com worden automatisch naar je Okta-connection geleid zonder deze te moeten selecteren. Meerdere e-maildomeinen kunnen naar één connection worden gekoppeld (voor bedrijven met samengevoegde entiteiten of meerdere e-maildomeinen). JIT-provisioning maakt het Elido-account aan bij de eerste SSO-inlog als SCIM niet wordt gebruikt; is SCIM actief, dan is JIT uitgeschakeld en moet het account via SCIM worden geprovisioneerd vóór de eerste inlog.
SCIM 2.0-directorysync: automatische provisioning, deprovisioning en group-to-role-mapping
SCIM 2.0 synchroniseert de gebruikersdirectory van je identity provider met Elido. Wanneer een gebruiker wordt toegevoegd aan de Elido-applicatiegroep in Okta of Entra, ontvangt Elido een SCIM CREATE-event en provisioneert het gebruikersaccount - geen IT-ticket, geen handmatige uitnodiging. Updates aan het gebruikersprofiel (naam, e-mail) worden automatisch doorgevoerd. Wanneer een gebruiker uit de groep wordt verwijderd of gedeactiveerd in de IdP, ontvangt Elido een SCIM DELETE- of PATCH-event (active: false) en trekt de toegang direct in - actieve sessies worden ongeldig gemaakt, API-keys van de gebruiker worden opgeschort. Group-to-role-mapping laat je je IdP-groepen (bijvoorbeeld 'Elido Admins', 'Elido Viewers') koppelen aan Elido-rollen (Admin, Member, Viewer). Rol-toewijzingen worden automatisch bijgewerkt wanneer het groepslidmaatschap in de IdP verandert. De provisioning-latentie van IdP-event tot aanmaak van het Elido-account is doorgaans minder dan 60 seconden.
Webhook signing secrets roteren zonder in-flight events te verliezen - zero-downtime rotatieprocedure
De SCIM-webhookontvanger en het uitgaande webhooksysteem van Elido gebruiken HMAC-SHA256-signatures om de authenticiteit van events te verifiëren. Secrets verlopen en moeten worden geroteerd - op een schema (aanbevolen: 90 dagen) of na een vermoedelijke compromittering. Zero-downtime-rotatie werkt als volgt: genereer een nieuw secret in het dashboard (het oude secret blijft 15 minuten geldig tijdens het overlapvenster), implementeer het nieuwe secret in je systemen, controleer of een binnenkomend SCIM-event met het nieuwe secret wordt geverifieerd, en trigger vervolgens de directe verlopen-status van het oude secret. Het overlapvenster van 15 minuten zorgt ervoor dat in-flight events die met het oude secret zijn ondertekend, tijdens het implementatievenster nog worden verwerkt. Secret-rotatie wordt gelogd in de audittrail met tijdstempel, actor (de admin die roteerde) en bevestiging van het verlopen van het overlapvenster.
Volledig identiteits-eventlog: SSO-inlogs, provisioning-events, rolwijzigingen en secret-rotaties
Elke SSO-inlog, SCIM-provisioning/deprovisioning, wijziging van roltoewijzing en secret-rotatie wordt gelogd in de workspace-audittrail (Business). Elke vermelding bevat: tijdstempel, actor (gebruiker of SCIM-service), actietype, target (de betrokken gebruiker of resource), gebruikte IdP-connection en workspace-ID. De audittrail is append-only en onveranderlijk - geen admin kan vermeldingen verwijderen. Exporteer naar CSV of query via de API voor SIEM-ingestie. Als jouw compliance-framework bewijs van toegangscontrole-events vereist (SOC 2 Type II, ISO 27001, DORA, NIS2), is de audittrail het artefact. Retentie is 12 maanden op Business; langere retentie is op verzoek beschikbaar voor gereguleerde sectoren.
Geforceerd verlopen van sessies via SCIM - toegang ingetrokken binnen 60 seconden bij IdP-deactivering
Wanneer SCIM aangeeft dat een gebruiker is gedeactiveerd (offboarding van werknemer, einde contractperiode), maakt Elido direct alle actieve sessies van die gebruiker ongeldig en schorst hun API-keys. Dit is niet afhankelijk van de TTL van de sessiecookie - Elido slaat een intrekkingsvlag per gebruikers-ID op en controleert deze bij elk geauthenticeerd verzoek. De tijd tussen IdP-deactivering en toegangsintrekking in Elido is de afleverlatentie van het SCIM-event: doorgaans minder dan 30 seconden voor Okta, minder dan 60 seconden voor Azure Entra. Voor high-security-offboarding (bijvoorbeeld een vertrekkende admin) kan een Elido-workspace-admin ook handmatig de sessies van een specifieke gebruiker intrekken in het dashboard, voordat het SCIM-event binnenkomt. Handmatig ingetrokken sessies en door SCIM getriggerde intrekkingen verschijnen beide in de audittrail.
Enterprise-securityteams die Elido SSO & SCIM gebruiken
Namen zijn placeholders - echte klantcasestudy's komen hier zodra ze gepubliceerd zijn.
“SCIM-offboarding was vanaf dag één de vereiste van ons securityteam. Wanneer een werknemer wordt gedeactiveerd in Entra, is de toegang tot Elido binnen een minuut weg - geen handmatig deprovisioning-ticket, geen 'vergeten in te trekken'-gat. We hebben de logs na drie maanden geaudit en nul access-after-offboarding-events gevonden.”
“We hebben vijf bedrijfs-e-maildomeinen van twee overnames. De e-maildomein → IdP-routering in Elido regelt alle vijf, wijzend naar dezelfde Okta-connection. Gebruikers van elk domein komen in de juiste SSO-flow terecht zonder uit een lijst te moeten kiezen.”
“Secret-rotatie zonder downtime was het detail dat ons over de streep trok. We roteren webhook secrets als beleid elk kwartaal; door het overlapvenster van 15 minuten kunnen we tijdens werkuren roteren zonder incidentrisico. Elke rotatie wordt gelogd, geaudit en aangehaald in ons SOC 2-bewijspakket.”
Elido SSO & SCIM vs Bitly vs Rebrandly
SSO is beschikbaar op Bitly's enterprise-tier en Rebrandly's Business-tier. SCIM-provisioning is bij beide beperkter. Deze vergelijking behandelt wat elk daadwerkelijk levert.
| Feature | Elido | Bitly Enterprise | Rebrandly Business |
|---|---|---|---|
| SAML 2.0 SSO | Ja - WorkOS-broker, 20+ IdP-connections | Ja - enterprise-tier | Ja - Business-tier |
| OIDC SSO | Ja - naast SAML via WorkOS | Alleen SAML | Alleen SAML |
| SCIM 2.0-provisioning | Volledig create / update / delete + group-to-role-mapping | Beperkt - alleen user create, geen group-to-role | Niet beschikbaar |
| Auto-deprovisioning bij offboarding | Ja - SCIM DELETE, sessie ingetrokken binnen 60s | Alleen handmatig | Alleen handmatig |
| E-maildomein IdP-routering | Ja - meerdere domeinen per connection | Eén domein per connection | Niet gedocumenteerd |
| Audittrail voor identiteitsevents | Ja - onveranderlijk, 12 maanden, API-export | Beperkt auditlog | Beperkt auditlog |
| Webhook secret-rotatie (zero downtime) | Ja - overlapvenster van 15 minuten | Niet van toepassing | Niet van toepassing |
Vragen over SSO & SCIM
Welke identity providers worden ondersteund?
Elido gebruikt WorkOS als SSO- en SCIM-broker, die Okta, Azure AD / Entra ID, Google Workspace, OneLogin, PingFederate, Shibboleth, ADFS, JumpCloud en elke SAML 2.0-conforme IdP ondersteunt. OIDC-connections worden ook ondersteund voor providers zoals Google Workspace en Azure. Staat jouw IdP niet op de standaardlijst van WorkOS, dan werkt het 'Generic SAML'-connectionstype van WorkOS met elke SAML 2.0 SP-initiated flow. Neem contact met ons op als je een specifieke IdP-connection nodig hebt die niet vermeld staat.
Wat is het verschil tussen JIT-provisioning en SCIM-provisioning?
JIT (Just-in-Time) provisioning maakt bij de eerste SSO-inlog een gebruikersaccount in Elido aan - geen voorafgaande provisioning nodig. Het is eenvoudiger op te zetten, maar geeft geen controle over wie kan inloggen (iedereen met een geldige SSO-assertion krijgt een account). SCIM-provisioning geeft je IdP de controle: alleen gebruikers in de geprovisioneerde groep kunnen inloggen, en accounts worden aangemaakt vóór de eerste inlog. Voor enterprise-omgevingen waar toegang vooraf moet worden goedgekeurd, is SCIM vereist. Als SCIM actief is, wordt JIT-provisioning uitgeschakeld.
Hoe werken SCIM group-to-role-mappings?
In de SSO-instellingen van de workspace koppel je je IdP-groepen aan Elido-rollen: bijvoorbeeld 'Okta-groep: Elido Admins' → 'Elido-rol: Admin', 'Okta-groep: Elido Members' → 'Elido-rol: Member'. De rol van een gebruiker in Elido volgt zijn IdP-groepslidmaatschap - als iemand van de groep Admins naar de groep Members in Okta wordt verplaatst, wordt zijn Elido-rol bij de volgende SCIM-sync afgewaardeerd (doorgaans binnen 60 seconden). Een gebruiker in meerdere groepen krijgt de rol met de hoogste rechten uit de bijpassende mappings.
Kan SSO worden verplicht voor alle gebruikers, of is het optioneel?
SSO kan worden ingesteld op verplicht (alle gebruikers moeten via SSO inloggen - inloggen met wachtwoord is uitgeschakeld) of optioneel (gebruikers kunnen kiezen tussen SSO of e-mail+wachtwoord). Op Business wordt handhaving geconfigureerd in de SSO-instellingen van de workspace. Zodra handhaving actief is, worden gebruikers zonder actieve SSO-identiteit buitengesloten - zorg dat SCIM-provisioning of JIT accounts heeft aangemaakt vóórdat je handhaving inschakelt. Admin-accounts kunnen als break-glass-mechanisme worden uitgesloten van SSO-handhaving; dit is configureerbaar.
Wat gebeurt er met API-keys wanneer een gebruiker via SCIM wordt offboard?
Wanneer SCIM een gebruiker deactiveert, schorst Elido alle API-keys die door die gebruiker zijn aangemaakt. Geschorste keys geven HTTP 401 bij authenticatie. Keys worden niet verwijderd - ze blijven zichtbaar voor workspace-admins voor auditdoeleinden, met een statuslabel 'geschorst - offboarded gebruiker'. Gebruikte een service-account een persoonlijke API-key (geen workspace service key), dan breekt de schorsing die integratie - dit is bewust zo. Gebruik voor productie-integraties workspace-brede service keys in plaats van persoonlijke API-keys.
Is SSO beschikbaar op Pro, of alleen op Business?
SSO en SCIM zijn Business-only functies. Pro-workspaces gebruiken de ingebouwde authenticatie van Elido (e-mail + wachtwoord via onze authenticatielaag, optioneel Google/GitHub OAuth). Als SSO een harde vereiste is voor je inkoopgoedkeuring, is het Business-plan het startpunt.
Hoe regel ik SSO voor een workspace met meerdere merken of suborganisaties?
Elke Elido-workspace heeft zijn eigen SSO-configuratie - draai je meerdere workspaces (bijvoorbeeld per merk, per business unit), dan krijgt elke workspace zijn eigen IdP-connection en SCIM-provisioning afzonderlijk. Gebruikers kunnen lid zijn van meerdere workspaces met verschillende rollen in elk; hun IdP-identiteit is dezelfde, maar group-to-role-mappings worden per workspace geëvalueerd. Een gedeelde Okta-groep kan in de ene workspace naar Admin mappen en in een andere naar Member.
Is er een audittrail voor mislukte SSO-pogingen?
Ja. Mislukte SSO-pogingen (ongeldige SAML-assertion, verlopen sessie, ontbrekend SCIM-account terwijl JIT is uitgeschakeld) worden gelogd in de workspace-audittrail met de redencode. Dit is nuttig om te diagnosticeren waarom een specifieke gebruiker niet kan inloggen en om brute-force SSO-probing te detecteren. Mislukte pogingen vanaf IP-adressen die een drempel overschrijden, triggeren een workspace-alert (configureerbaar in de securityinstellingen van de workspace).
Verder lezen
White-label portal SSO - je klanten loggen in op jouw gebrande dashboard via hun IdP.
HMAC-getekende uitgaande webhooks - hetzelfde secret-rotatiepatroon geldt voor uitgaande webhook-signatures.
Workspace service keys voor productie-API-integraties - gebonden aan de workspace, niet aan individuele gebruikers.
SOC 2, ISO 27001, EU-residency en dedicated edge - de volledige enterprise-featurestack.
Klaar om het te proberen?
Begin met het gratis plan, upgrade wanneer je een custom domain nodig hebt.