Elido
Wszystko, co robi Elido
Business

SSO i SCIM. Tożsamość firmowa, bez tarcia.

Logowanie SAML / OIDC z dowolnym głównym IdP. Synchronizacja katalogów SCIM automatycznie provisionuje i deprovisionuje użytkowników. Sekrety webhooków rotują bez utraty stanu.

Zacznij za darmoPrzeczytaj przewodnik po SCIM i SSO
  • SAML / OIDC z ponad 20 dostawcami tożsamości
  • Synchronizacja katalogu SCIM - automatyczne tworzenie i usuwanie kont
  • Rotacja sekretów webhooków bez przestoju
  • Pełny dziennik audytu na potrzeby zgodności
Przepływ logowania SSO
SAML 2.0
Użytkownikklika zalogujIdPOOktaSAML 2.0 · SCIM 2.0AAzure ADEntra ID · OIDCGoogle WSSAML · OIDCSAMLWorkOSbroker SSOrelay SCIMElidopanelsesja ✓
Domena e-mail → routing IdP20+ połączeń IdP
20+
Połączenia IdP przez WorkOS
<60s
Opóźnienie aprowizacji użytkowników SCIM
Zero-touch
Offboarding - dezaktywacja w IdP = odebranie dostępu w Elido
HMAC-SHA256
Podpisywanie sekretów webhooków

Synchronizacja katalogu SCIM

Tworzenie i usuwanie kont w mniej niż 60 sekund

Podłącz swój katalog IdP raz. Każde zatrudnienie, przeniesienie i odejście jest automatycznie propagowane do Elido - bez zgłoszeń do IT, bez ręcznych zaproszeń, bez zapomnianych luk w offboardingu.

  • Automatyczne provisionowanie
    SCIM CREATE z Okta lub Entra → konto w Elido w mniej niż 60 s
  • Mapowanie grup na role
    Grupy IdP są mapowane na role Elido; zmiany są propagowane przy następnej synchronizacji
  • Natychmiastowe deprovisionowanie
    SCIM DELETE lub active: false → sesje są natychmiast unieważniane
  • Zawieszanie kluczy API
    Wszystkie klucze API użytkownika są zawieszane przy offboardingu - bez dostępu po odejściu
Synchronizacja katalogu
SCIM 2.0
Katalog Okta
  • A
    Ana Kovač
    Admin
  • B
    Ben Carter
    Member
  • C
    Carla Mora
    Member
  • D
    Dmitri Volkov
    Viewer
  • E
    Erika Salo
    Member
SCIM
Workspace Elido
  • A
    Ana Kovač
    Admin
  • B
    Ben Carter
    Member
  • C
    Carla Mora
    Member
  • D
    Dmitri Volkov
    Viewer
  • E
    Erika Salo
    deprovisionowany
Synchronizacja live aktywna< 60 s opóźnienia synchronizacji

Dostawcy tożsamości

Działa z każdym dużym IdP

Elido używa WorkOS jako brokera SSO i SCIM - ponad 20 gotowych połączeń oraz Generic SAML dla dowolnego przepływu inicjowanego przez SP. Skonfiguruj aplikację Elido w swoim IdP raz; Elido wygeneruje SAML metadata XML lub poświadczenia OIDC.

20+ IdP-ów przez WorkOS
Ok
Okta
SAML · SCIM
Az
Azure AD
SAML · OIDC
G
Google WS
SAML · OIDC
OL
OneLogin
SAML · SCIM
JC
JumpCloud
SAML · SCIM
Pi
PingIdentity
SAML 2.0
A0
Auth0
OIDC
SP
Generic SAML
SAML 2.0

Dowolny IdP zgodny z SAML 2.0 działa przez Generic SAML. Zobacz przewodnik konfiguracji →

Dziennik audytu
WszystkieZdarzenia SSOZdarzenia SCIM
ZdarzenieAktorIPCzas
  • Użytkownik provisionowany przez SCIMokta-scim-svc10.0.1.409:12:04
  • Logowanie SSO - Okta[email protected]91.223.4.1709:14:31
  • Logowanie SSO - Azure AD[email protected]185.46.9.209:17:08
  • Sekret webhooka rotowany[email protected]77.123.11.510:05:22
  • Użytkownik deprovisionowany przez SCIMokta-scim-svc10.0.1.414:33:51
  • Rola zmieniona: Member → Admin[email protected]77.123.11.515:01:09
Pokazano 6 zdarzeń · log append-onlyEksport CSV

Dziennik audytu

Niezmienne logi zdarzeń tożsamości

Każde logowanie SSO, provisioning SCIM, zmiana roli i rotacja sekretu są rejestrowane w trybie append-only. Żaden administrator nie może usunąć wpisów. Eksportuj do CSV lub strumieniuj do swojego SIEM przez API.

  • Znacznik czasu, aktor, akcja, cel i połączenie IdP dla każdego zdarzenia
  • 12 miesięcy retencji na planie Business; dłużej na życzenie
  • Eksport przez API dla dowodów SOC 2, ISO 27001, DORA i NIS2
  • Nieudane próby SSO są logowane z kodem przyczyny
  • Alerty oparte na IP po przekroczeniu progu sondowania SSO
  • Rotacje sekretów odwołują się w logu do okna nakładania się
Dezaktywacja w IdP → dostęp odebrany w Elido w mniej niż 60 sekund

Co możesz zrobić

  • Okta, Azure AD / Entra, Google Workspace
  • Mapowanie domena e-mail → połączenie
  • Tworzenie / aktualizowanie / usuwanie użytkowników SCIM
  • Weryfikacja sygnatur webhooków (HMAC-SHA256)

Czego w rzeczywistości wymaga produkcyjne wdrożenie SSO i SCIM w przedsiębiorstwie

Przekierowanie SAML to podstawa. Szczegóły poniżej obejmują opóźnienia aprowizacji, mapowanie ról, rotację sekretów i scenariusze awaryjne kluczowe dla zespołów bezpieczeństwa.

Logowanie SSO
01

Logowanie SAML 2.0 i OIDC przez WorkOS - routing domen e-mail do właściwego połączenia IdP

Elido wykorzystuje WorkOS jako brokera SSO, co zapewnia obsługę ponad 20 połączeń IdP, w tym Okta, Azure AD / Entra ID, Google Workspace, OneLogin, PingFederate oraz dowolnego IdP zgodnego z SAML 2.0. Twój zespół IT konfiguruje aplikację Elido w IdP tylko raz; Elido generuje plik XML z metadanymi SAML lub poświadczenia klienta OIDC dla kreatora konfiguracji IdP. Routing domen e-mail mapuje domeny użytkowników na odpowiednie połączenie IdP - użytkownicy z domeny @twojafirma.pl są automatycznie kierowani do połączenia z Okta bez konieczności jego wybierania. Wiele domen e-mail może być zmapowanych na jedno połączenie (dla firm po fuzjach lub z wieloma domenami). Aprowizacja JIT tworzy konto Elido przy pierwszym logowaniu przez SSO, jeśli SCIM nie jest używany; jeśli SCIM jest aktywny, JIT zostaje wyłączony, a konto musi zostać zaprowiantowane przez SCIM przed pierwszym logowaniem.

Aprowizacja SCIM
02

Synchronizacja katalogów SCIM 2.0: automatyczna aprowizacja, deprovisioning i mapowanie grup na role

SCIM 2.0 synchronizuje katalog użytkowników Twojego dostawcy tożsamości z Elido. Gdy użytkownik zostanie dodany do grupy aplikacji Elido w Okta lub Entra, Elido otrzymuje zdarzenie SCIM CREATE i tworzy konto użytkownika - bez zgłoszeń IT, bez ręcznych zaproszeń. Aktualizacje profili użytkowników (imię, nazwisko, e-mail) są propagowane automatycznie. Gdy użytkownik zostanie usunięty z grupy lub dezaktywowany w IdP, Elido otrzymuje zdarzenie SCIM DELETE lub PATCH (active: false) i natychmiast odbiera dostęp - aktywne sesje są unieważniane, a klucze API należące do użytkownika zawieszane. Mapowanie grup na role pozwala przypisać grupy IdP (np. 'Administratorzy Elido', 'Obserwatorzy Elido') do ról w Elido (Admin, Member, Viewer). Przypisania ról aktualizują się automatycznie przy zmianie członkostwa w grupach IdP. Opóźnienie aprowizacji od zdarzenia w IdP do utworzenia konta w Elido wynosi zazwyczaj poniżej 60 sekund.

Rotacja sekretów
03

Rotacja sekretów podpisywania webhooków bez utraty zdarzeń w toku - procedura rotacji bez przestojów

Odbiornik webhooków SCIM i system wychodzących webhooków Elido używają sygnatur HMAC-SHA256 do weryfikacji autentyczności zdarzeń. Sekrety wygasają i wymagają rotacji - według harmonogramu (zalecane: co 90 dni) lub po podejrzewanym naruszeniu. Rotacja bez przestojów działa następująco: wygeneruj nowy sekret w panelu (stary sekret pozostaje ważny przez 15 minut), wdróż nowy sekret w swoich systemach, zweryfikuj przychodzące zdarzenie SCIM nowym sekretem, a następnie wymuś natychmiastowe wygaśnięcie starego sekretu. 15-minutowe okno nakładania się zapewnia, że zdarzenia w toku podpisane starym sekretem są nadal przetwarzane podczas wdrażania. Rotacja sekretów jest rejestrowana w dzienniku audytu z czasem, aktorem (administratorem, który dokonał rotacji) i potwierdzeniem wygaśnięcia.

Dziennik audytu
04

Pełny dziennik zdarzeń tożsamości: logowania SSO, zdarzenia aprowizacji, zmiany ról i rotacje sekretów

Każde logowanie SSO, aprowizacja/deprovisioning SCIM, zmiana przypisania roli i rotacja sekretu są rejestrowane w dzienniku audytu obszaru roboczego (Business). Każdy wpis zawiera: znacznik czasu, aktora (użytkownika lub usługę SCIM), typ akcji, cel (użytkownik lub zasób, którego dotyczy zmiana), użyte połączenie IdP oraz ID obszaru roboczego. Dziennik audytu jest tylko do odczytu i niezmienny - żaden administrator nie może usuwać wpisów. Eksportuj do CSV lub pobieraj przez API na potrzeby SIEM. Jeśli Twoje ramy zgodności wymagają dowodów na zdarzenia kontroli dostępu (SOC 2 Type II, ISO 27001, DORA, NIS2), dziennik audytu jest tym artefaktem. Retencja wynosi 12 miesięcy w planie Business; dłuższa retencja jest dostępna na życzenie dla branż regulowanych.

Zarządzanie sesjami
05

Wymuszone wygasanie sesji przez SCIM - dostęp odebrany w mniej niż 60 sekund po dezaktywacji w IdP

Gdy SCIM zasygnalizuje, że użytkownik został dezaktywowany (offboarding pracownika, koniec kontraktu wykonawcy), Elido natychmiast unieważnia wszystkie aktywne sesje tego użytkownika i zawiesza jego klucze API. Nie zależy to od TTL pliku cookie sesji - Elido przechowuje flagę unieważnienia dla każdego ID użytkownika i sprawdza ją przy każdym uwierzytelnionym żądaniu. Czas od dezaktywacji w IdP do odebrania dostępu w Elido to opóźnienie dostarczenia zdarzenia SCIM: zazwyczaj poniżej 30 sekund dla Okta, poniżej 60 sekund dla Azure Entra. W przypadku offboardingu o wysokim rygorze bezpieczeństwa (np. odchodzący administrator), administrator obszaru roboczego Elido może również ręcznie unieważnić sesje konkretnego użytkownika w panelu, zanim nadejdzie zdarzenie SCIM. Zarówno ręcznie unieważnione sesje, jak i te wywołane przez SCIM pojawiają się w dzienniku audytu.

Zespoły ds. bezpieczeństwa w przedsiębiorstwach korzystające z Elido SSO i SCIM

Nazwy są tymczasowe - prawdziwe studia przypadków zostaną tu opublikowane wkrótce.

Offboarding SCIM był wymaganiem naszego zespołu bezpieczeństwa od pierwszego dnia. Gdy pracownik zostaje dezaktywowany w Entra, dostęp do Elido znika w mniej niż minutę - bez ręcznych zgłoszeń, bez luki typu 'zapomniano odebrać dostęp'. Po trzech miesiącach sprawdziliśmy logi i nie znaleźliśmy ani jednego przypadku dostępu po odejściu pracownika.

I
IT security, firma logistyczna, 1200 pracowników, Hamburg
Menedżer ds. bezpieczeństwa IT

Mamy pięć firmowych domen e-mail z dwóch przejęć. Routing domen e-mail na IdP w Elido obsługuje wszystkie pięć, kierując je do tego samego połączenia Okta. Użytkownicy z dowolnej domeny trafiają na właściwy przepływ SSO bez konieczności wybierania go z listy.

E
Enterprise IT, dynamicznie rozwijający się SaaS, 400 pracowników, Amsterdam
Starszy inżynier IT

Rotacja sekretów bez przestojów to szczegół, który nas przekonał. Zgodnie z polityką rotujemy sekrety webhooków co kwartał; 15-minutowe okno nakładania się oznacza, że możemy to robić w godzinach pracy bez ryzyka incydentu. Każda rotacja jest rejestrowana, audytowana i stanowi część naszego pakietu dowodów SOC 2.

I
Inżynieria bezpieczeństwa, fintech, Dublin
Inżynier ds. bezpieczeństwa

Elido SSO i SCIM vs Bitly vs Rebrandly

SSO jest dostępne w planie enterprise Bitly i planie Business Rebrandly. Aprowizacja SCIM jest w obu przypadkach bardziej ograniczona. Porównanie obejmuje faktycznie dostarczane funkcje.

FeatureElidoBitly EnterpriseRebrandly Business
SSO SAML 2.0Tak - broker WorkOS, ponad 20 połączeń IdPTak - plan enterpriseTak - plan Business
SSO OIDCTak - obok SAML przez WorkOSTylko SAMLTylko SAML
Aprowizacja SCIM 2.0Pełne tworzenie / aktualizacja / usuwanie + mapowanie grup na roleOgraniczone - tylko tworzenie użytkowników, brak mapowania rólNiedostępne
Automatyczny deprovisioning przy offboardinguTak - SCIM DELETE, unieważnienie sesji poniżej 60sTylko ręcznieTylko ręcznie
Routing IdP na podstawie domeny e-mailTak - wiele domen na połączenieJedna domena na połączenieBrak dokumentacji
Dziennik audytu dla zdarzeń tożsamościTak - niezmienny, 12 miesięcy, eksport APIOgraniczony dziennik audytuOgraniczony dziennik audytu
Rotacja sekretów webhooków (bez przestojów)Tak - 15-minutowe okno nakładania sięNie dotyczyNie dotyczy

Pytania o SSO i SCIM

Którzy dostawcy tożsamości są obsługiwani?

Elido wykorzystuje WorkOS jako brokera SSO i SCIM, co zapewnia obsługę Okta, Azure AD / Entra ID, Google Workspace, OneLogin, PingFederate, Shibboleth, ADFS, JumpCloud oraz dowolnego IdP zgodnego z SAML 2.0. Obsługiwane są również połączenia OIDC dla dostawców takich jak Google Workspace i Azure. Jeśli Twojego IdP nie ma na liście standardowej WorkOS, typ połączenia 'Generic SAML' działa z dowolnym przepływem SAML 2.0 zainicjowanym przez dostawcę usług (SP-initiated). Skontaktuj się z nami, jeśli potrzebujesz konkretnego połączenia IdP, którego nie wymieniono.

Czym różni się aprowizacja JIT od aprowizacji SCIM?

Aprowizacja JIT (Just-in-Time) tworzy konto użytkownika w Elido przy jego pierwszym logowaniu przez SSO - nie wymaga wstępnej konfiguracji. Jest prostsza w konfiguracji, ale nie daje kontroli nad tym, kto może się zalogować (każdy z poprawnym poświadczeniem SSO otrzymuje konto). Aprowizacja SCIM daje kontrolę Twojemu IdP: tylko użytkownicy w zaprowiantowanej grupie mogą się logować, a konta są tworzone przed pierwszym logowaniem. W środowiskach korporacyjnych, gdzie dostęp musi być wcześniej zatwierdzony, SCIM jest wymagany. Gdy SCIM jest aktywny, aprowizacja JIT zostaje wyłączona.

Jak działa mapowanie grup na role w SCIM?

W ustawieniach SSO obszaru roboczego mapujesz grupy IdP na role w Elido: np. 'Grupa Okta: Administratorzy Elido' → 'Rola Elido: Admin', 'Grupa Okta: Członkowie Elido' → 'Rola Elido: Member'. Rola użytkownika w Elido zależy od jego przynależności do grup IdP - jeśli zostanie przeniesiony z grupy Administratorów do grupy Członków w Okta, jego rola w Elido zostanie obniżona przy następnej synchronizacji SCIM (zazwyczaj poniżej 60 sekund). Użytkownik należący do wielu grup otrzymuje najwyższą rolę z pasujących mapowań.

Czy SSO może być wymagane dla wszystkich użytkowników, czy jest opcjonalne?

SSO można ustawić jako wymuszane (wszyscy użytkownicy muszą logować się przez SSO - logowanie hasłem jest wyłączone) lub opcjonalne (użytkownicy mogą wybrać SSO lub e-mail + hasło). W planie Business wymuszanie konfiguruje się w ustawieniach SSO obszaru roboczego. Po wymuszeniu użytkownicy bez aktywnej tożsamości SSO tracą dostęp - przed włączeniem należy upewnić się, że konta zostały zaprowiantowane przez SCIM lub JIT. Konta administratorów mogą być zwolnione z wymogu SSO jako mechanizm 'break-glass'; jest to konfigurowalne.

Co dzieje się z kluczami API, gdy użytkownik przechodzi offboarding przez SCIM?

Gdy SCIM dezaktywuje użytkownika, Elido zawiesza wszystkie klucze API utworzone przez tego użytkownika. Zawieszone klucze zwracają błąd HTTP 401 przy uwierzytelnianiu. Klucze nie są usuwane - pozostają widoczne dla administratorów obszaru roboczego w celach audytowych z etykietą statusu 'zawieszony - użytkownik po offboardingu'. Jeśli konto usługowe korzystało z osobistego klucza API (zamiast klucza usługowego obszaru roboczego), zawieszenie klucza przerwie tę integrację - jest to zamierzone działanie. Dla integracji produkcyjnych należy używać kluczy usługowych na poziomie obszaru roboczego, a nie kluczy API użytkowników.

Czy SSO jest dostępne w planie Pro, czy tylko Business?

SSO i SCIM to funkcje dostępne wyłącznie w planie Business. Obszary robocze Pro korzystają z wbudowanego uwierzytelniania Elido (e-mail + hasło przez naszą warstwę uwierzytelniania, opcjonalnie Google/GitHub OAuth). Jeśli SSO jest twardym wymogiem w procesie zakupowym, plan Business jest punktem wyjścia. Skontaktuj się z działem sprzedaży w sprawie okresu próbnego Business, jeśli chcesz przetestować SSO przed zakupem.

Jak zarządzać SSO dla obszaru roboczego z wieloma markami lub podorganizacjami?

Każdy obszar roboczy Elido ma własną konfigurację SSO - jeśli prowadzisz wiele obszarów (np. dla każdej marki lub jednostki biznesowej), każdy z nich otrzymuje oddzielne połączenie IdP i aprowizację SCIM. Użytkownicy mogą należeć do wielu obszarów z różnymi rolami w każdym z nich; ich tożsamość w IdP jest taka sama, ale mapowania grup na role są oceniane dla każdego obszaru z osobna. Wspólna grupa w Okta może być zmapowana na Admina w jednym obszarze i Membera w innym.

Czy istnieje dziennik audytu dla nieudanych prób logowania SSO?

Tak. Nieudane próby logowania SSO (nieprawidłowa asercja SAML, wygasła sesja, brak konta SCIM przy wyłączonym JIT) są rejestrowane w dzienniku audytu obszaru roboczego wraz z kodem przyczyny. Jest to przydatne do diagnozowania, dlaczego dany użytkownik nie może się zalogować, oraz do wykrywania prób siłowego sondowania SSO. Nieudane próby z adresów IP przekraczających próg wyzwalają alert obszaru roboczego (konfigurowalny w ustawieniach bezpieczeństwa).

Czytaj dalej

White-label

SSO dla portalu white-label - Twoi klienci logują się do Twojego markowego panelu przez własne IdP.

Webhooki

Wychodzące webhooki podpisane HMAC - ten sam wzorzec rotacji sekretów dotyczy sygnatur wychodzących webhooków.

API i SDK

Klucze usługowe obszaru roboczego dla produkcyjnych integracji API - ograniczone do obszaru roboczego, a nie poszczególnych użytkowników.

Dla przedsiębiorstw

SOC 2, ISO 27001, rezydencja danych w UE i dedykowany edge - pełny stos funkcji enterprise.

Gotowy, aby wypróbować?

Zacznij od planu darmowego, uaktualnij, gdy będziesz potrzebować niestandardowej domeny.

Rozpocznij za darmoZobacz cennik