De shortener die jouw securityteam niet zal afwijzen.
Jij meet compliancehouding, incident-responstijd en het aantal leveranciersvragenlijsten dat je kunt doorstaan. Elido is de shortener die je securityteam niet zal afwijzen.
- SAML SSO + SCIM via onze SSO-provider of native - Okta, Entra ID, Google
- EU-regio standaard, met region pin op workspace-niveau
- SOC 2 Type II-audit in uitvoering (streefdatum H2 2026)
- ISO 27001 behaald; certificaat beschikbaar onder NDA
Hoe SSO werkt
Okta of Entra ID → SAML → Elido. Twaalf minuten vanaf koude start.
SSO loopt via WorkOS, dat de protocolverschillen tussen SAML 2.0 en OIDC normaliseert, net als de eigenaardigheden per IdP die niemand zelf wil onderhouden. Jouw team configureert de SAML-app eenmalig in hun IdP; Elido herkent gebruikers via e-maildomein → connection-mapping.
- Step 1
User signs in
okta.com / login.microsoftonline.comIdP authenticates against the corporate directory.
- Step 2
SAML assertion
WorkOS connection · domain-routedEmail-domain → IdP connection mapping, no per-user setup.
- Step 3
Elido session
edge auth · 200 OKSession token issued, scope derived from group claims.
- Step 4
Workspace landing
app.elido.app/w/your-orgRole + IP allowlist evaluated; audit row written.
SCIM-provisioning
Voeg een gebruiker toe in Okta. Binnen vijf minuten zit die in Elido.
SCIM 2.0-directorysynchronisatie voorziet en deprovisioneert gebruikers automatisch. Group-claim-mapping zet IdP-groepen om naar Elido-workspacerollen, zodat een promotie in het HR-systeem zonder ticket doorwerkt in Elido. Vertrekkende medewerkers worden binnen de SCIM-synchronisatiecyclus gedeprovisioneerd, waarbij actieve sessies worden ingetrokken en de actie wordt gelogd.
- Auto-provisioning bij groepstoevoegingIdP-groepslidmaatschap → workspace-uitnodiging, geen handmatige stap
- Group-claim-rolmappingengineering-eu → editor, finance → viewer, configureerbaar
- Deprovisioning = sessie intrekkenDELETE-event maakt tokens ongeldig; API-keys worden op basis van policy ingetrokken
- Elk SCIM-event wordt geauditAppend-only log met actor, before/after, bron-IP
- 1User added in Okta
Joins the elido-eu-engineering directory group as part of HR onboarding.
okta.comPOST /scim/v2/UsersT+75s - 2WorkOS pushes to Elido
SCIM sync cycle picks up the create event; no manual invite needed.
workos.com → elido.appscim.create user@orgT+150s - 3Elido provisions the user
Account created, workspace invitation surfaced in pending state.
api-coreuser.id = usr_01HK…T+225s - 4Group claim → role
engineering → editor; billing-admins → admin. Mapping is configurable.
policyrole: editor (workspace.eu)T+300s - Deprovision is the same flow in reverse - DELETE event revokes sessions and rotates affected API keys per policy.
Autorisatiemodel
Cedar-based RBAC, geen vaste driedelige hiërarchie.
De matrix hieronder is de out-of-the-box weergave. Met custom roles kun je zaken uitdrukken als "alleen links aanmaken op dit domein" of "alleen-lezen op analytics, geen toegang tot facturering" als Cedar-policies. Rollen zijn per workspace afgebakend, zodat verschillende business units verschillende rolstructuren kunnen hanteren.
| Permission | Owner | Admin | Member | Read-only | API key |
|---|---|---|---|---|---|
Create / edit links | |||||
Manage custom domains | |||||
View analytics | |||||
Manage billing | |||||
Invite & manage members | |||||
Rotate API keys |
Wat enterprise IT écht krijgt
- SAML SSO + SCIM via onze SSO-provider of native - Okta, Entra ID, Google
- EU-regio standaard, met region pin op workspace-niveau
- SOC 2 Type II-audit in uitvoering (streefdatum H2 2026)
- ISO 27001 behaald; certificaat beschikbaar onder NDA
- BAA bij Business+ voor HIPAA-aanverwante workloads
- Dedicated edge-POP's beschikbaar bij Enterprise-contracten
Wat enterprise IT echt nodig heeft van een shortener
Shadow-IT-shorteners struikelen bij inkoop op drie vragen: wie heeft toegang, waar staat de data, en kunnen we het auditen? De onderstaande features dichten precies die gaten.
SAML SSO via WorkOS met SCIM-gebruikersprovisioning
SSO verloopt via WorkOS, dat SAML 2.0 en OIDC ondersteunt tegen elke grote IdP: Okta, Azure AD / Entra ID, Google Workspace, OneLogin, Ping en anderen. E-maildomein → connection-mapping betekent dat gebruikers naar de juiste IdP worden gerouteerd zonder enige configuratie aan de kant van de gebruiker. SCIM-directorysynchronisatie voorziet en deprovisioneert gebruikers automatisch: nieuwe medewerkers die aan de relevante IdP-groep worden toegevoegd, krijgen binnen enkele minuten een Elido-workspace-uitnodiging; vertrekkende medewerkers worden binnen de SCIM-synchronisatiecyclus gedeprovisioneerd, zonder handmatig offboarding-ticket. Groepen uit de IdP worden gekoppeld aan Elido-workspacerollen; je configureert die koppeling eenmalig. Rolwijzigingen in de IdP worden automatisch doorgevoerd. Dit is een door WorkOS beheerde integratie - wij onderhouden geen connector per IdP; WorkOS normaliseert de protocollen en Elido spreekt één enkel SCIM-endpoint aan.
Custom roles met Cedar-achtige RBAC - verder dan owner/admin/member
Het rollenmodel van Elido is Cedar-based, wat betekent dat rechten policy-expressies zijn die op het moment van het verzoek worden geëvalueerd, in plaats van een vaste driedelige hiërarchie. Standaard krijg je Owner, Admin, Member en Viewer. Met custom roles kun je policies definiëren zoals 'kan links aanmaken op dit domein maar kan routeringsregels niet verwijderen of wijzigen' of 'alleen-lezentoegang tot analytics maar geen toegang tot factureringsinstellingen'. Rollen worden per workspace toegewezen, niet globaal - een onderneming met meerdere workspaces kan per business unit een andere rolstructuur hanteren. IP-allowlist (CIDR-bereiken) wordt samen met rolcontroles geëvalueerd: een gebruiker met de juiste rol maar buiten het toegestane IP-bereik wordt geweigerd. Dit is relevant voor hybride teams waarbij contractors toegang hebben tot een andere subset dan vaste medewerkers.
Append-only auditlog die in realtime naar jouw SIEM wordt gestreamd
Elke workspace-actie - link aanmaken, wijzigen, verwijderen; instellingen wijzigen; lid uitnodigen en rol wijzigen; API-key uitgeven en roteren; custom domain claimen; exporteren - komt terecht in een append-only auditlog met actor, tijdstempel, bron-IP, before/after-diff en een gestructureerd eventtype. Logs worden 90 dagen bewaard bij Pro en 7 jaar bij Business. De SIEM-firehose streamt events via webhook (HMAC-SHA256-ondertekend) in realtime naar Splunk, Datadog, ELK of elke andere HTTP-ontvanger. De log is bevraagbaar in het dashboard maar niet bewerkbaar; de append-only-beperking wordt afgedwongen op databaseniveau. Compliancehouding: de auditlog is het primaire bewijs voor toegangscontrolebeoordelingen, changemanagement en incident response. Een 'retention purge'-meta-event wordt gelogd wanneer oude items verlopen, zodat het gat zelf ook auditeerbaar is.
EU-residentie, IP-allowlist en BigQuery-export voor datagovernance-vereisten
Workspacedata wordt standaard vastgezet in de EU-regio en verlaat die regio nooit, tenzij een beheerder bij het aanmaken van de workspace expliciet US East of Asia-Pacific instelt - een onomkeerbare keuze. Er is geen cross-region-replicatie voor hot data. IP-allowlist (CIDR) bij Business beperkt workspace-toegang tot bekende egress-bereiken - handig voor teams op een VPN of met vaste kantoor-IP's. BigQuery-export stuurt de volledige click-event- en auditlogstream naar een BigQuery-dataset die jij bezit, op schema of getriggerd. Snowflake en S3 worden ook ondersteund. Voor gereguleerde workloads die vereisen dat data in een specifieke infrastructuur blijft: met het self-host Helm-chart kun je de redirectlaag in je eigen VPC draaien en click-events in je eigen analytics store opslaan. HIPAA BAA is beschikbaar bij Business+ - de technische waarborgen (encryptie, audit trail, toegangscontroles, breach-notificatie) zijn aanwezig; de BAA is een juridische omslag daaromheen.
Kant-en-klaar compliancebewijs: SOC 2, ISO 27001, DPA, sub-processors
Inkoopvragen die Elido afsluit zonder eindeloze e-mailthreads: de DPA is vooraf ondertekend en downloadbaar via /legal/dpa; de sub-processorlijst is openbaar op /legal/subprocessors (5 leveranciers, allemaal in de EU gevestigd of met opt-out mogelijkheid); ISO 27001 is behaald; SOC 2 Type II is in uitvoering met H2 2026 als streefdatum. We delen Type 1-bewijs onder NDA voor klanten die dat nodig hebben voordat het Type 2-rapport openbaar is. Het Trust Center op /trust houdt de actuele certificeringsstatus en updates over incidentgeschiedenis bij. Kwetsbaarheidsmeldingen verlopen via HackerOne (privéprogramma); security.txt staat op het well-known path. Dit zijn zaken die al bestaan, geen roadmap. We claimen geen SOC 2 Type II totdat de auditperiode is afgesloten - verwacht H2 2026.
Stack waarmee je te maken krijgt
- SSO (SAML / OIDC)
- SCIM-provisioning
- Custom roles (RBAC)
- IP-allowlist
- Auditlog + SIEM-firehose
- EU-dataresidentie
- HIPAA BAA
Wat jouw securityteam meet
- Aantal sub-processors
- 5, alleen EU
- Bewaartermijn auditlog
- 7 jaar bij Business
- DSAR-responstijd
- Binnen 30 dagen
Enterprise-IT-teams die hierop draaien
Namen zijn voorlopig placeholders - echte klantnamen komen hier zodra case studies gepubliceerd worden.
“Okta SCIM-synchronisatie en de IP-allowlist sloten onze inkoopchecklist al bij de eerste beoordeling. De auditlog die naar Splunk streamde was het detail dat het securityteam gerust stelde - ze konden zien dat het echt was, geen vinkje voor de leveranciersvragenlijst.”
“We hadden EU-resident data nodig en geen Amerikaanse sub-processors na Schrems II. Elido was de eerste shortener die de vraag 'waar wordt de data opgeslagen?' beantwoordde met een specifieke stad en minder dan 10 sub-processors.”
“BAA bij Business plus ISO 27001 sloot de HIPAA-hoek voor ons Amerikaanse productteam. Dankzij SCIM-provisioning hoefden we tijdens een overname-integratie van 200 personen niet met de hand aan de Elido-onboarding te komen.”
Elido versus Bitly Enterprise versus Bl.ink voor enterprise IT
Bitly Enterprise en Bl.ink zijn beide enterprise-grade opties met een lange installatiegeschiedenis. De onderstaande vergelijking richt zich op de features die enterprise-IT-teams beoordelen, niet op marketingclaims.
| Mogelijkheid | Elido | Bitly Enterprise | Bl.ink |
|---|---|---|---|
| SSO-protocol | SAML 2.0 + OIDC via WorkOS | SAML 2.0 bij Enterprise-tier | SAML 2.0 bij Enterprise |
| SCIM-provisioning | Business en hoger, via WorkOS | Alleen Enterprise-tier | Beschikbaar bij Enterprise |
| Custom roles (RBAC) | Cedar-based policy-expressies | Vaste roltiers | Granulair, gedocumenteerd |
| IP-allowlist | CIDR, Business+ | Alleen Enterprise | Beschikbaar |
| Auditlog → SIEM | Realtime webhook-firehose | Dagelijkse export; realtime als Enterprise-add-on | API-gebaseerd; SIEM-koppeling handmatig |
| Bewaartermijn auditlog | 7 jaar bij Business | 1 jaar standaard | Configureerbaar bij Enterprise |
| EU-dataresidentie | Standaard bij alle plannen | Opt-in bij Enterprise | Beschikbaar; niet standaard |
| BigQuery-export | Gepland, Business+ | Niet gedocumenteerd | API-gebaseerd; geen native export |
Vragen van enterprise IT
Welke IdP's ondersteunt SSO?
Elke IdP die SAML 2.0 of OIDC ondersteunt - Okta, Azure AD / Entra ID, Google Workspace, OneLogin, Ping, Rippling en anderen. De integratie verloopt via WorkOS, dat protocolverschillen normaliseert. Als jouw IdP SAML of OIDC spreekt, werkt het. De setup is een door WorkOS begeleide flow: configureer de SAML-app in je IdP, plak de metadata-URL in Elido, klaar.
Hoe werkt SCIM-deprovisioning?
WorkOS beheert het SCIM 2.0-endpoint. Wanneer een gebruiker uit de relevante groep in jouw IdP wordt verwijderd, stuurt WorkOS een DELETE-event naar Elido. Elido trekt onmiddellijk de sessietokens van de gebruiker in en markeert het account als inactief. Actieve API-keys die aan die gebruiker gekoppeld zijn, worden niet automatisch ingetrokken - dat is een aparte stap die je instelt in de SCIM-instellingen, standaard ingesteld op intrekken-bij-deprovisioning. De deprovisioning-actie verschijnt binnen de SCIM-synchronisatiecyclus (doorgaans binnen 5 minuten) in de auditlog.
Wat dekt de IP-allowlist?
Dashboardlogin, API-verzoeken en bevestiging van webhook-aflevering. CIDR-notatie wordt ondersteund; meerdere bereiken worden gescheiden door komma's. Verzoeken van buiten de allowlist krijgen een 403 met een gelogd audit-event - geen stille drops. De IP-allowlist wordt geëvalueerd na authenticatie, niet ervoor, dus mislukte authenticatie van buiten de allowlist wordt alsnog gelogd.
Kunnen we een BAA krijgen voor HIPAA-compliance?
Ja, bij Business+. De BAA dekt de rol van Elido als business associate voor workspaces waar PHI mogelijk via linkmetadata of analytics passeert. De technische waarborgen (encryptie in rust en tijdens transport, audit trail, toegangscontroles, breach-notificatie) zijn al aanwezig. Neem contact op met [email protected] voor het BAA-template.
Wat is de SOC 2-status?
De SOC 2 Type II-audit loopt, met H2 2026 als streefdatum. ISO 27001 is behaald. We delen Type 1-bewijs onder NDA voor klanten die dat nodig hebben voordat het Type 2-rapport wordt gepubliceerd. Het Trust Center op /trust houdt de actuele status bij. We claimen geen Type II totdat de auditperiode is afgesloten.
Hoe werken custom roles - kan ik een team beperken tot alleen-lezen op een specifiek domein?
Ja. Custom roles definiëren Cedar-based policies die rechten kunnen afbakenen tot specifieke domeinen, specifieke mappen of specifieke handelingen (create/read/update/delete). Een rol die alleen linkcreatie op een specifiek custom domain toestaat en alleen-lezentoegang tot analytics geeft, is een geldige policy. Rollen zijn per workspace; een gebruiker kan in verschillende workspaces verschillende rollen hebben. Policy-evaluatie gebeurt op het moment van het verzoek, niet bij het inloggen.
Is er een dedicated-edge-optie voor Business-klanten?
Het Business-tier gebruikt de gedeelde edge-POP's van Elido (EU-regio, US East, Asia-Pacific). Een dedicated edge - je eigen fleet van redirectnodes, traffic-geïsoleerd van andere tenants - is een gesprek voor Enterprise. Neem contact op met [email protected]. Als alternatief kun je met het self-host Helm-chart de redirectlaag in je eigen VPC draaien, wat een gangbaar patroon is voor Enterprise-klanten met strikte eisen rond traffic-isolatie.
Wat is de SLA voor breach-notificatie?
24 uur voor klantnotificatie bij bevestigde inbreuken op persoonsgegevens; 72 uur voor melding aan de toezichthouder (GDPR art. 33). De notificatie omvat wat we op dat moment weten - we wachten niet op volledig forensisch onderzoek. Het proces staat op /trust/incident-response.
Leeslijst voor enterprise IT
Door WorkOS beheerde SAML/OIDC, SCIM 2.0-deprovisioning, IdP-handleidingen.
Branded portal-hostname, transactionele e-mails, sub-processorpariteit.
SOC 2-status, ISO 27001, sub-processors, incidentgeschiedenis.
Vooraf ondertekende GDPR Data Processing Addendum, inclusief EU-modelcontractbepalingen (SCC's).
OpenAPI 3.1, SDK's in TypeScript / Go / Python, webhooks.
Encryptiehouding, RBAC-model, auditlog, IP-allowlist.
Niet zeker welke invalshoek past?
De meeste teams beginnen met één invalshoek en groeien naar alle vier. Ons salesteam neemt in 20 minuten je specifieke stack met je door.