← Wybierz perspektywę, która pasuje do Twojego zespołu

For enterprise IT

The shortener your security team won’t reject.

Mierzysz zgodność, czas reakcji na incydenty i liczbę ankiet dostawców, które możesz przetrwać. Elido to skracacz, którego Twój zespół bezpieczeństwa nie odrzuci.

Talk to sales Read trust report

SAML SSO + SCIM via WorkOS or native — Okta, Entra ID, Google
eu-central-1 default with workspace-level region pin
SOC 2 Type II audit in progress (H2 2026 target)
ISO 27001 achieved; certificate available under NDA

Workspace residency

eu-central-1 · default

Default + EU residency

Opt-in (Business+, irreversible)

SAML + OIDC

Protokół SSO

WorkOS

Dostawca SSO/SCIM

7 lat

Retencja audytu (Business)

ISO 27001

Aktualna certyfikacja

How SSO works

Okta or Entra ID → SAML → Elido. Twelve minutes from cold start.

SSO routes through WorkOS, which normalises the protocol differences between SAML 2.0 and OIDC and the per-IdP quirks that no one wants to maintain themselves. Your team configures the SAML app once in their IdP; Elido picks up users by email domain → connection mapping.

Step 1
User signs in
okta.com / login.microsoftonline.com
IdP authenticates against the corporate directory.
Step 2
SAML assertion
WorkOS connection · domain-routed
Email-domain → IdP connection mapping, no per-user setup.
Step 3
Elido session
edge auth · 200 OK
Session token issued, scope derived from group claims.
Step 4
Workspace landing
app.elido.app/w/your-org
Role + IP allowlist evaluated; audit row written.

SCIM provisioning

Add a user in Okta. They’re in Elido in five minutes.

SCIM 2.0 directory sync provisions and deprovisions users automatically. Group-claim mapping converts IdP groups into Elido workspace roles, so a promotion in HR’s system rolls into Elido without a ticket. Departing employees are deprovisioned within the SCIM sync cycle, with active sessions revoked and the action logged.

Auto-provision on group add
IdP group membership → workspace invitation, no manual step
Group-claim role mapping
engineering-eu → editor, finance → viewer, configurable
Deprovision = session revoke
DELETE event invalidates tokens; API keys revoked by policy
Every SCIM event is audited
Append-only log with actor, before/after, source IP

SCIM & SSO deep-dive →

SCIM directory sync

workspace · acme-eu

Live · WorkOS

1
User added in Okta
Joins the elido-eu-engineering directory group as part of HR onboarding.
okta.comPOST /scim/v2/Users
T+75s
2
WorkOS pushes to Elido
SCIM sync cycle picks up the create event; no manual invite needed.
workos.com → elido.appscim.create user@org
T+150s
3
Elido provisions the user
Account created, workspace invitation surfaced in pending state.
api-coreuser.id = usr_01HK…
T+225s
4
Group claim → role
engineering → editor; billing-admins → admin. Mapping is configurable.
policyrole: editor (workspace.eu)
T+300s
Deprovision is the same flow in reverse — DELETE event revokes sessions and rotates affected API keys per policy.

Authorization model

Cedar-based RBAC, not a fixed three-tier hierarchy.

The matrix below is the out-of-the-box view. Custom roles let you express things like “create links on this domain only” or “read-only on analytics, no billing access” as Cedar policies. Roles are scoped per workspace, so different business units can run different role structures.

Built-in role permissions

Cedar policies · custom roles override

Permission	Owner	Admin	Member	Read-only	API key
Create / edit links
Manage custom domains
View analytics
Manage billing
Invite & manage members
Rotate API keys

Allowed

Scoped — set via Cedar policy

Denied

Policy eval at request time, not at loginaudit · every change

See security model →Custom roles guide → docs

What enterprise IT actually gets

SAML SSO + SCIM via WorkOS or native — Okta, Entra ID, Google
eu-central-1 default with workspace-level region pin
SOC 2 Type II audit in progress (H2 2026 target)
ISO 27001 achieved; certificate available under NDA
BAA on Business+ for HIPAA-adjacent workloads
Dedicated edge POPs available for Enterprise contracts

Czego działy IT w korporacjach naprawdę potrzebują od skracacza

Skracacze typu Shadow-IT nie przechodzą weryfikacji działów zakupów w trzech kwestiach: kto ma dostęp, gdzie są dane i czy możemy to audytować. Poniższe funkcje wypełniają te luki.

Tożsamość i provisioning

SAML SSO via WorkOS z automatycznym provisioningiem użytkowników SCIM

SSO odbywa się za pośrednictwem WorkOS, który wspiera SAML 2.0 i OIDC dla każdego głównego IdP: Okta, Azure AD / Entra ID, Google Workspace, OneLogin, Ping i innych. Mapowanie domena e-mail → połączenie oznacza, że użytkownicy są kierowani do właściwego IdP bez żadnej konfiguracji po ich stronie. Synchronizacja katalogu SCIM automatycznie dodaje i usuwa użytkowników: nowi pracownicy dodani do odpowiedniej grupy IdP otrzymują zaproszenie do obszaru roboczego Elido w ciągu kilku minut; odchodzący pracownicy są usuwani w cyklu synchronizacji SCIM bez konieczności ręcznego zgłoszenia. Grupy z IdP mapują się na role w Elido; konfigurujesz mapowanie raz, a zmiany ról w IdP propagują się automatycznie. Jest to integracja zarządzana przez WorkOS — nie utrzymujemy oddzielnych konektorów dla każdego IdP; WorkOS normalizuje protokoły, a Elido korzysta z jednego punktu końcowego SCIM.

Model autoryzacji

Niestandardowe role z RBAC w stylu Cedar — więcej niż właściciel/administrator/członek

Model ról Elido opiera się na Cedar, co oznacza, że uprawnienia są wyrażeniami polityki ocenianymi w czasie rzeczywistym, a nie stałą trójpoziomową hierarchią. Standardowo otrzymujesz role: Owner, Admin, Member i Viewer. Niestandardowe role pozwalają definiować polityki typu 'może tworzyć linki w tej domenie, ale nie może usuwać ani zmieniać reguł routingu' lub 'dostęp tylko do odczytu analityki, ale bez dostępu do ustawień rozliczeń'. Role są przypisywane per obszar roboczy, a nie globalnie — korporacja z wieloma obszarami może mieć różne struktury ról dla każdej jednostki biznesowej. Allowlista IP (zakresy CIDR) jest oceniana wraz ze sprawdzeniem ról: użytkownik z odpowiednią rolą, ale spoza dozwolonego zakresu IP, otrzyma odmowę dostępu. Jest to kluczowe dla zespołów hybrydowych, gdzie kontrahenci mają dostęp do innego podzbioru danych niż etatowi pracownicy.

Audyt i SIEM

Log audytowy typu append-only przesyłany do Twojego SIEM w czasie rzeczywistym

Każda akcja w obszarze roboczym — utworzenie, aktualizacja, usunięcie linku; zmiana ustawień; zaproszenie członka i zmiana roli; wystawienie i rotacja klucza API; przejęcie domeny; eksport — trafia do logu audytowego typu append-only z informacją o aktorze, sygnaturą czasową, adresem IP źródła, różnicą przed/po i ustrukturyzowanym typem zdarzenia. Logi są przechowywane przez 90 dni w planie Pro i 7 lat w planie Business. Strumień SIEM przesyła zdarzenia via webhook (podpisany HMAC-SHA256) do Splunk, Datadog, ELK lub dowolnego odbiorcy HTTP w czasie rzeczywistym. Log można przeszukiwać w panelu, ale nie można go edytować; ograniczenie append-only jest wymuszane na poziomie bazy danych. Zgodność z przepisami: log audytowy jest głównym dowodem w przeglądach kontroli dostępu, zarządzaniu zmianami i reagowaniu na incydenty. Meta-zdarzenie 'retention purge' jest logowane, gdy stare wpisy wygasają, więc sama luka w logach jest audytowalna.

Zarządzanie danymi (Data governance)

Rezydencja danych w EU, allowlista IP i eksport do BigQuery dla wymagań governance

Dane obszaru roboczego są domyślnie przypisane do EU (Frankfurt) i nigdy nie opuszczają tego regionu, chyba że administrator wyraźnie wybierze Ashburn lub Singapur podczas tworzenia obszaru — wybór ten jest nieodwołalny. Nie stosujemy międzyregionalnej replikacji dla aktywnych danych. Allowlista IP (CIDR) w planie Business ogranicza dostęp do obszaru roboczego do znanych zakresów wyjściowych — przydatne dla zespołów korzystających z VPN lub stałych adresów IP biura. Eksport do BigQuery wysyła pełny strumień zdarzeń kliknięć i logów audytowych do Twojego zbioru danych BigQuery, zgodnie z harmonogramem lub wyzwalaczem. Wspieramy również Snowflake i S3. Dla regulowanych obciążeń wymagających danych w specyficznej infrastrukturze: wykres Helm do samodzielnego hostowania pozwala uruchomić warstwę przekierowań we własnym VPC, przechowując zdarzenia kliknięć we własnym ClickHouse. BAA dla HIPAA jest dostępna w planie Business+ — techniczne zabezpieczenia (szyfrowanie, ścieżka audytu, kontrole dostępu, powiadamianie o naruszeniach) są gotowe; BAA to prawna osłona dla nich.

Due diligence dostawcy

Gotowy pakiet dowodów zgodności: SOC 2, ISO 27001, DPA, subprocesorzy

Elido odpowiada na pytania działów zakupów bez długich wątków e-mail: DPA jest wstępnie podpisana i dostępna do pobrania z /legal/dpa; lista subprocesorów jest publiczna pod adresem /legal/subprocessors (5 dostawców, wszyscy z siedzibą w EU lub z opcją rezygnacji); certyfikacja ISO 27001 jest uzyskana; SOC 2 Type II jest w toku z celem na H2 2026. Udostępniamy dowody Type 1 na podstawie NDA dla klientów potrzebujących ich przed publikacją raportu Type 2. Centrum Zaufania (Trust Center) pod adresem /trust śledzi aktualny stan certyfikacji i historię incydentów. Zgłaszanie luk odbywa się poprzez HackerOne (prywatny program); plik security.txt znajduje się w standardowej ścieżce. To są rzeczy, które już istnieją, a nie plany. Nie będziemy deklarować SOC 2 Type II, dopóki okres audytu nie zostanie zamknięty — spodziewaj się H2 2026.

Stack you’ll touch

SSO (SAML / OIDC)
Provisioning SCIM
Niestandardowe role (RBAC)
Lista dozwolonych adresów IP
Dziennik audytu + strumień SIEM
Rezydenacja danych w UE
HIPAA BAA

Co mierzy Twój zespół bezpieczeństwa

Liczba podprzetwarzających: 5, tylko z UE
Retencja dziennika audytu: 7 lat na poziomie Business
Czas odpowiedzi DSAR: Poniżej 30 dni

Zespoły IT w korporacjach, które nam zaufały

Nazwy są obecnie zastępcze — prawdziwe nazwy klientów pojawią się tutaj po opublikowaniu studiów przypadku.

“Synchronizacja Okta SCIM i allowlista IP zamknęły naszą listę kontrolną zakupów już przy pierwszej recenzji. Strumieniowanie logów audytowych do Splunk było detalem, który przekonał zespół bezpieczeństwa — zobaczyli, że to realne rozwiązanie, a nie tylko marketingowy checkbox.”

Zespół IT security, grupa ubezpieczeniowa, Zurych

IT Security Manager

“Potrzebowaliśmy rezydencji danych w EU i braku subprocesorów z USA po wyroku Schrems II. Elido było pierwszym skracaczem, który na pytanie 'gdzie są przechowywane dane?' odpowiedział konkretnym miastem i liczbą subprocesorów poniżej 10.”

Corporate IT, średniej wielkości produkcja, Düsseldorf

Head of IT Governance

“BAA w planie Business oraz ISO 27001 rozwiązały kwestię HIPAA dla naszego zespołu produktowego w USA. Provisioning SCIM sprawił, że nie musieliśmy dotykać onboardingu w Elido podczas integracji po akwizycji 200 osób.”

Platform security team, fintech, Dublin

Director of Platform Security

Elido vs Bitly Enterprise vs Bl.ink dla korporacyjnego IT

Bitly Enterprise i Bl.ink to opcje klasy korporacyjnej z dużym stażem. Poniższe porównanie skupia się na funkcjach, które faktycznie oceniają zespoły IT, a nie na hasłach marketingowych.

Capability	Elido	Bitly Enterprise	Bl.ink
Protokół SSO	SAML 2.0 + OIDC via WorkOS	SAML 2.0 w planie Enterprise	SAML 2.0 w planie Enterprise
Provisioning SCIM	Business i wyższe, via WorkOS	Tylko plan Enterprise	Dostępny w Enterprise
Niestandardowe role (RBAC)	Wyrażenia polityki oparte na Cedar	Sztywne poziomy ról	Granularne, udokumentowane
Allowlista IP	CIDR, Business+	Tylko Enterprise	Dostępna
Log audytowy → SIEM	Strumień webhook w czasie rzeczywistym	Codzienny eksport; opcja Enterprise RT	Oparty na API; ręczna konfiguracja SIEM
Retencja logów audytowych	7 lat w planie Business	Standardowo 1 rok	Konfigurowalna w Enterprise
Rezydencja danych w EU	Domyślna dla wszystkich planów	Opcjonalna w Enterprise	Dostępna; nie jest domyślna
Eksport do BigQuery	Zaplanowany, Business+	Brak dokumentacji	Oparty na API; brak natywnego eksportu

Pytania korporacyjnego IT

Które IdP wspiera SSO?

Każde IdP wspierające SAML 2.0 lub OIDC — Okta, Azure AD / Entra ID, Google Workspace, OneLogin, Ping, Rippling i inne. Integracja odbywa się przez WorkOS, który normalizuje różnice w protokołach. Jeśli Twoje IdP obsługuje SAML lub OIDC, będzie działać. Konfiguracja to proces prowadzony przez WorkOS: konfigurujesz aplikację SAML w swoim IdP, wklejasz URL metadanych do Elido i gotowe.

Jak działa deprovisioning SCIM?

WorkOS obsługuje punkt końcowy SCIP 2.0. Gdy użytkownik zostaje usunięty z odpowiedniej grupy w Twoim IdP, WorkOS wysyła zdarzenie DELETE do Elido. Elido natychmiast unieważnia tokeny sesji użytkownika i oznacza konto jako nieaktywne. Aktywne klucze API powiązane z tym użytkownikiem nie są automatycznie unieważniane — jest to osobny krok konfigurowany w ustawieniach SCIM, domyślnie ustawiony na 'unieważnij przy deprovisioningu'. Akcja usunięcia pojawia się w logu audytowym w cyklu synchronizacji SCIM (zazwyczaj poniżej 5 minut).

Co obejmuje allowlista IP?

Logowanie do panelu, żądania API i potwierdzenia dostarczenia webhooków. Obsługiwana jest notacja CIDR; wiele zakresów oddziela się przecinkami. Żądania spoza allowlisty zwracają kod 403 z zarejestrowanym zdarzeniem audytowym — nie ma cichych odrzuceń. Allowlista IP jest oceniana po uwierzytelnieniu, a nie przed, więc nieudana próba autoryzacji spoza listy i tak jest logowana.

Czy możemy otrzymać BAA dla zgodności z HIPAA?

Tak, w planie Business+. BAA obejmuje rolę Elido jako partnera biznesowego (business associate) dla obszarów roboczych, w których dane PHI mogą przechodzić przez metadane linków lub analitykę. Techniczne zabezpieczenia (szyfrowanie w spoczynku i w transmisji, ścieżka audytu, kontrole dostępu, powiadamianie o naruszeniach) są już wdrożone. Skontaktuj się z compliance@elido.app w celu uzyskania szablonu BAA.

Jaki jest status SOC 2?

Audyt SOC 2 Type II jest w toku z celem na H2 2026. Certyfikat ISO 27001 został uzyskany. Udostępniamy dowody Type 1 na podstawie NDA dla klientów potrzebujących ich przed publikacją raportu Type 2. Centrum Zaufania pod adresem /trust śledzi aktualny stan. Nie zadeklarujemy Type II, dopóki okres audytu nie zostanie zakończony.

Jak działają niestandardowe role — czy mogę ograniczyć zespół do trybu tylko do odczytu w konkretnej domenie?

Tak. Niestandardowe role definiują polityki oparte na Cedar, które mogą ograniczać uprawnienia do konkretnych domen, folderów lub operacji (tworzenie/odczyt/aktualizacja/usuwanie). Rola pozwalająca na tworzenie linków tylko w określonej domenie niestandardowej i dostęp tylko do odczytu do analityki jest prawidłową polityką. Role są przypisane do obszaru roboczego; użytkownik może mieć różne role w różnych obszarach. Ocena polityki następuje w momencie żądania, a nie podczas logowania.

Czy dla klientów Business dostępna jest dedykowana opcja edge?

Plan Business korzysta z współdzielonych punktów obecności (POP) edge Elido (Frankfurt, Ashburn, Singapur). Dedykowany edge — własna flota węzłów przekierowujących, odizolowana od ruchu innych najemców — to temat na rozmowę o planie Enterprise. Skontaktuj się z sales@elido.app. Alternatywnie, wykres Helm do samodzielnego hostowania pozwala uruchomić warstwę przekierowań we własnym VPC, co jest częstym wzorcem dla klientów Enterprise z rygorystycznymi wymaganiami dotyczącymi izolacji ruchu.

Jakie jest SLA dla powiadamiania o naruszeniach?

24 godziny na powiadomienie klienta o potwierdzonych naruszeniach danych osobowych; 72 godziny na powiadomienie organu nadzorczego (RODO Art. 33 / GDPR Art. 33). Powiadomienie obejmuje to, co wiemy w danym momencie — nie czekamy na pełną analizę śledczą. Proces opisany jest na /trust/incident-response.