Konto w Elido można założyć w około cztery sekundy bez wymyślania kolejnego hasła. Kliknij „Kontynuuj przez GitHub", zatwierdź monit i jesteś w środku. Elido obsługuje ośmiu dostawców social login, a żaden z nich nie przekazuje nam Twojego hasła, bo po prostu nie ma czego przekazywać.
Social login w skracaczu URL polega na użyciu istniejącej tożsamości - konta Google, GitHub lub Slack - do logowania zamiast rejestrowania nowej pary e-mail i hasło. Dostawca poświadcza, kim jesteś; Elido tworzy lub otwiera Twój obszar roboczy na tej podstawie. To ten sam jednokliknięciowy przepływ, z którego korzystasz w dziesiątkach aplikacji, zastosowany do zarządzania linkami. Ten post opisuje ośmiu obsługiwanych dostawców, jak faktycznie działa proces uwierzytelniania, gdzie kończy się social login, a zaczyna firmowy SSO, oraz pytanie, które zawsze zadają europejskie zespoły: czy logowanie przez dostawcę z USA przenosi Twoje dane za ocean?
Ośmiu dostawców pogrupowanych według użytkowników#
Elido obsługuje Google, Microsoft, GitHub, GitLab, Slack, Discord, Facebook i X. Ta lista nie jest przypadkowa. Każdy z nich odpowiada sposobowi, w jaki ludzie już organizują swoją pracę.
Deweloperzy sięgają najpierw po GitHub lub GitLab. Jeśli skracasz linki wewnątrz pipeline'u CI lub w procesie tworzenia release notes, logowanie tym samym kontem, które zawiera Twoje repozytoria, utrzymuje spójny model mentalny. Zespoły marketingowe i operacyjne zwykle żyją w Google Workspace lub Microsoft 365, więc „Kontynuuj przez Google" lub „Kontynuuj przez Microsoft" kieruje je do Elido z tożsamością, którą cała firma już używa.
Jest też strona społecznościowa i twórcza. Logowanie przez Slack i Discord pasuje do zespołów, które cały dzień koordynują pracę w tych narzędziach. Menedżer społeczności prowadzący serwer Discord i chcący mieć brandowane krótkie linki do wydarzeń może zarejestrować się z tą samą tożsamością Discord. Facebook i X uzupełniają zestaw dla twórców i marketerów społecznościowych, których główna obecność jest w tych sieciach.
Wybierasz jednego, żeby się zarejestrować. Później możesz podłączyć pozostałych do tego samego konta z ustawień bezpieczeństwa, więc marketer, który dołączył przez Google, i deweloper z zespołu, który dołączył przez GitHub, trafiają do tego samego obszaru roboczego.
Jak to działa bez przechowywania hasła#
Pod maską wszystkie osiem działają na OAuth 2.0 i OpenID Connect - tej samej rodzinie protokołów, która napędza „Zaloguj się przez Google" wszędzie indziej. Warstwa tożsamości Elido jest zbudowana na Ory Kratos i Hydra, więc przepływ opiera się na standardach, a nie na czymś, co sami skleciliśmy.
Oto faktyczna sekwencja. Klikasz przycisk dostawcy. Elido przekierowuje Cię na własną stronę logowania tego dostawcy, w domenie dostawcy, gdzie się uwierzytelniasz. Jeśli masz tam skonfigurowany klucz dostępu lub klucz sprzętowy, używasz go właśnie tam. Następnie dostawca wysyła Elido krótkotrwały token oraz minimalny profil: Twój e-mail, imię i nazwisko, stabilny identyfikator użytkownika. Wymieniamy ten token, tworzymy lub dopasowujemy Twoje konto i uruchamiamy sesję. W żadnym momencie Twoje hasło u dostawcy nie trafia na serwery Elido. Nie możemy ujawnić tego, czego nigdy nie otrzymaliśmy.
Ten ostatni punkt to historia bezpieczeństwa w jednym zdaniu. Klasyczna rejestracja przez e-mail i hasło oznacza, że każda aplikacja, do której dołączasz, staje się kolejnym miejscem, gdzie Twoje hasło może zostać naruszone. Social login to eliminuje. Uwierzytelniasz się raz, u dostawcy z zespołem bezpieczeństwa większym niż większość firm, i dziedziczysz jego uwierzytelnianie wieloskładnikowe i wykrywanie anomalii za darmo.
Uczciwy kompromis to koncentracja. Jedna tożsamość otwiera teraz więcej drzwi, więc chroń ją. Włącz MFA u swojego dostawcy, a matematyka zdecydowanie przemawia na korzyść social login.
Chcesz podpiąć tworzenie linków bezpośrednio do własnych systemów zamiast klikać przyciski? Po zalogowaniu API i zestawy SDK pozwalają tworzyć krótkie linki z kodu w pięciu językach. Social login wprowadza człowieka; API obsługuje maszyny.
Social login to nie SSO i ta różnica ma znaczenie#
Ludzie ciągle je mylą, więc rozdzielmy je wyraźnie.
Social login jest dla osób indywidualnych. Ty, osobiście, decydujesz się zalogować swoim kontem Google. Korporacyjny SSO przez SAML lub OIDC jest dla organizacji, która chce centralnej kontroli: zarządzać pracownikami przez Okta lub Entra ID, wymuszać, żeby wszyscy uwierzytelniali się przez firmowego dostawcę tożsamości, i cofać dostęp w momencie, gdy ktoś odchodzi. Obok tego siedzi SCIM provisioning, synchronizujący Twój katalog tak, żeby konta pojawiały się i znikały automatycznie.
Rosnący zespół zwykle potrzebuje obu rozwiązań, na różnych etapach. Na początku trzech założycieli loguje się przez Google i działa. Później IT mówi, że każde narzędzie musi przechodzić przez Entra ID, i włączasz SSO dla obszaru roboczego, jednocześnie zostawiając social login dla wykonawców, których nie ma w firmowym katalogu. Opisaliśmy stronę zakupową tego procesu, pytania, które faktycznie zadaje korporacyjny dział IT, w artykule SCIM i SSO dla narzędzi marketingowych.
Krótka wersja: nie płać za kontrakt SSO, gdy potrzebujesz tylko rejestracji jednym kliknięciem, i nie próbuj rozciągać social login jako substytutu kontroli dostępu zarządzanej przez katalog. To różne narzędzia do problemów różnej skali.
Kwestia rezydencji danych w UE#
To jest temat, który pojawia się na każdej europejskiej rozmowie sprzedażowej, więc oto bezpośrednia odpowiedź.
Proces uwierzytelnienia OAuth przebiega przez dostawcę. Gdy logujesz się przez Google lub Microsoft, ten krok uwierzytelniania trafia na ich infrastrukturę, która może znajdować się poza UE. To prawda w przypadku social login w każdym produkcie, nie tylko naszym. Co nie następuje, to przenoszenie Twoich danych z Elido. Twoje linki, zdarzenia kliknięć, dane analityczne, obszar roboczy Twojego zespołu - wszystko to pozostaje przypięte do regionu UE wybranego podczas tworzenia konta.
Uwierzytelnianie i rezydencja danych to osobne warstwy. Logowanie przez dostawcę tożsamości z USA to chwilowa wymiana tokenów - nie tam żyją Twoje dane biznesowe. Jeśli Twoje wymagania dotyczące zgodności zabraniają nawet kroku uwierzytelniania przechodzącego przez dostawcę z USA, użyj GitLab lub europejskiej opcji tożsamości, albo wymuś SSO przez dostawcę tożsamości z siedzibą w UE. Pełny obraz tego, co pozostaje w UE i co Twój inspektor ochrony danych będzie chciał udokumentować, znajdziesz w artykule RODO dla skracaczy URL, a mechanizmy rezydencji opisuje rezydencja danych w UE dla analityki marketingowej.
Włączanie funkcji#
Jako użytkownik prawie niczego nie musisz konfigurować. Na ekranie rejestracji przyciski dostawców są już widoczne. Wybierz jednego, zatwierdź monit o zgodę i gotowe.
Kilka rzeczy wartych zrobienia po zalogowaniu:
- Połącz drugiego dostawcę lub dodaj hasło w ustawieniach bezpieczeństwa. Dwie metody wejścia oznaczają, że awaria jednego dostawcy nigdy Cię nie zablokuje.
- Włącz MFA u dostawcy, z którego korzystasz. Tam leży prawdziwa ochrona.
- Jeśli jesteś właścicielem obszaru roboczego, traktuj metodę logowania jak poświadczenie produkcyjne. Nie zostawiaj go powiązanego z osobistym kontem, do którego możesz stracić dostęp.
Ten ostatni punkt zaskakuje ludzi. Freelancer, który rejestruje się prywatnym Gmailem, buduje linki kampanii klienta, potem zmienia pracę i traci Gmaila, ma przed sobą trudne popołudnie. Powiąż metodę zapasową wcześnie.
Social login usuwa hasło, ale nie usuwa Twojej odpowiedzialności za konto, które za nim stoi. Skonfiguruj drugą metodę, włącz MFA, a rejestracja w cztery sekundy pozostanie rejestracją w cztery sekundy - bez dramatów z blokowaniem konta w późniejszym czasie.