← Wybierz perspektywę, która pasuje do Twojego zespołu

Dla przedsiębiorstw IT

Skracacz, którego zespół ds. bezpieczeństwa nie odrzuci.

Mierzysz zgodność, czas reakcji na incydenty i liczbę ankiet dostawców, które możesz przetrwać. Elido to skracacz, którego Twój zespół bezpieczeństwa nie odrzuci.

Kontakt ze sprzedażą Przeczytaj raport zaufania

SAML SSO + SCIM przez naszego dostawcę SSO lub natywnie - Okta, Entra ID, Google
Domyślny region UE z przypięciem regionu na poziomie obszaru roboczego
Audyt SOC 2 Type II w toku (cel: H2 2026)
Certyfikat ISO 27001 uzyskany; dostępny na NDA

Workspace residency

EU region · default

Default + EU residency

Opt-in (Business+, irreversible)

SAML + OIDC

Protokół SSO

WorkOS

Dostawca SSO/SCIM

7 lat

Retencja audytu (Business)

ISO 27001

Aktualna certyfikacja

Jak działa SSO

Okta lub Entra ID → SAML → Elido. Dwanaście minut od startu.

SSO jest routowane przez WorkOS, który normalizuje różnice protokołów między SAML 2.0 a OIDC oraz specyficzne dla każdego dostawcy tożsamości niuanse, których nikt nie chce samodzielnie utrzymywać. Twój zespół konfiguruje aplikację SAML raz w swoim dostawcy tożsamości; Elido mapuje użytkowników po domenie e-mail → połączeniu.

Step 1
User signs in
okta.com / login.microsoftonline.com
IdP authenticates against the corporate directory.
Step 2
SAML assertion
WorkOS connection · domain-routed
Email-domain → IdP connection mapping, no per-user setup.
Step 3
Elido session
edge auth · 200 OK
Session token issued, scope derived from group claims.
Step 4
Workspace landing
app.elido.app/w/your-org
Role + IP allowlist evaluated; audit row written.

Prowizja SCIM

Dodaj użytkownika w Okta. Jest w Elido w ciągu pięciu minut.

Synchronizacja katalogów SCIM 2.0 automatycznie prowizjonuje i deprowizjonuje użytkowników. Mapowanie grup z dostawcy tożsamości konwertuje grupy na role obszaru roboczego Elido, więc awans w systemie HR przenosi się do Elido bez zgłoszenia serwisowego. Odchodzący pracownicy są deprowizjonowani w cyklu synchronizacji SCIM, z unieważnionymi aktywnymi sesjami i zalogowanym działaniem.

Automatyczna prowizja przy dodaniu do grupy
Przynależność do grupy dostawcy tożsamości → zaproszenie do obszaru roboczego, bez ręcznego kroku
Mapowanie ról z grup
engineering-eu → edytor, finance → przeglądający, konfigurowalne
Deprowizja = unieważnienie sesji
Zdarzenie DELETE unieważnia tokeny; klucze API unieważniane przez politykę
Każde zdarzenie SCIM jest audytowane
Log tylko do dołączania z aktorem, stanem przed/po, źródłowym IP

Szczegółowe omówienie SCIM i SSO →

SCIM directory sync

workspace · acme-eu

Live · WorkOS

1
User added in Okta
Joins the elido-eu-engineering directory group as part of HR onboarding.
okta.comPOST /scim/v2/Users
T+75s
2
WorkOS pushes to Elido
SCIM sync cycle picks up the create event; no manual invite needed.
workos.com → elido.appscim.create user@org
T+150s
3
Elido provisions the user
Account created, workspace invitation surfaced in pending state.
api-coreuser.id = usr_01HK…
T+225s
4
Group claim → role
engineering → editor; billing-admins → admin. Mapping is configurable.
policyrole: editor (workspace.eu)
T+300s
Deprovision is the same flow in reverse - DELETE event revokes sessions and rotates affected API keys per policy.

Model autoryzacji

RBAC oparty na Cedar, nie sztywna hierarchia trójpoziomowa.

Poniższa macierz to widok domyślny. Niestandardowe role pozwalają wyrazić rzeczy takie jak 'tworzenie linków tylko w tej domenie' lub 'tylko do odczytu w analityce, bez dostępu do płatności' jako polityki Cedar. Role są ograniczone per obszar roboczy, więc różne jednostki biznesowe mogą stosować różne struktury ról.

Built-in role permissions

Cedar policies · custom roles override

Permission	Owner	Admin	Member	Read-only	API key
Create / edit links
Manage custom domains
View analytics
Manage billing
Invite & manage members
Rotate API keys

Allowed

Scoped - set via Cedar policy

Denied

Policy eval at request time, not at loginaudit · every change

Zobacz model bezpieczeństwa →Przewodnik po niestandardowych rolach → dokumentacja

Co faktycznie dostaje przedsiębiorstwo IT

SAML SSO + SCIM przez naszego dostawcę SSO lub natywnie - Okta, Entra ID, Google
Domyślny region UE z przypięciem regionu na poziomie obszaru roboczego
Audyt SOC 2 Type II w toku (cel: H2 2026)
Certyfikat ISO 27001 uzyskany; dostępny na NDA
BAA w Business+ dla obciążeń sąsiadujących z HIPAA
Dedykowane POP krawędziowe dostępne w kontraktach Enterprise

Czego działy IT w korporacjach naprawdę potrzebują od skracacza

Skracacze typu Shadow-IT nie przechodzą weryfikacji działów zakupów w trzech kwestiach: kto ma dostęp, gdzie są dane i czy możemy to audytować. Poniższe funkcje wypełniają te luki.

Tożsamość i provisioning

SAML SSO via WorkOS z automatycznym provisioningiem użytkowników SCIM

SSO odbywa się za pośrednictwem WorkOS, który wspiera SAML 2.0 i OIDC dla każdego głównego IdP: Okta, Azure AD / Entra ID, Google Workspace, OneLogin, Ping i innych. Mapowanie domena e-mail → połączenie oznacza, że użytkownicy są kierowani do właściwego IdP bez żadnej konfiguracji po ich stronie. Synchronizacja katalogu SCIM automatycznie dodaje i usuwa użytkowników: nowi pracownicy dodani do odpowiedniej grupy IdP otrzymują zaproszenie do obszaru roboczego Elido w ciągu kilku minut; odchodzący pracownicy są usuwani w cyklu synchronizacji SCIM bez konieczności ręcznego zgłoszenia. Grupy z IdP mapują się na role w Elido; konfigurujesz mapowanie raz, a zmiany ról w IdP propagują się automatycznie. Jest to integracja zarządzana przez WorkOS - nie utrzymujemy oddzielnych konektorów dla każdego IdP; WorkOS normalizuje protokoły, a Elido korzysta z jednego punktu końcowego SCIM.

Model autoryzacji

Niestandardowe role z RBAC w stylu Cedar - więcej niż właściciel/administrator/członek

Model ról Elido opiera się na Cedar, co oznacza, że uprawnienia są wyrażeniami polityki ocenianymi w czasie rzeczywistym, a nie stałą trójpoziomową hierarchią. Standardowo otrzymujesz role: Owner, Admin, Member i Viewer. Niestandardowe role pozwalają definiować polityki typu 'może tworzyć linki w tej domenie, ale nie może usuwać ani zmieniać reguł routingu' lub 'dostęp tylko do odczytu analityki, ale bez dostępu do ustawień rozliczeń'. Role są przypisywane per obszar roboczy, a nie globalnie - korporacja z wieloma obszarami może mieć różne struktury ról dla każdej jednostki biznesowej. Allowlista IP (zakresy CIDR) jest oceniana wraz ze sprawdzeniem ról: użytkownik z odpowiednią rolą, ale spoza dozwolonego zakresu IP, otrzyma odmowę dostępu. Jest to kluczowe dla zespołów hybrydowych, gdzie kontrahenci mają dostęp do innego podzbioru danych niż etatowi pracownicy.

Audyt i SIEM

Log audytowy typu append-only przesyłany do Twojego SIEM w czasie rzeczywistym

Każda akcja w obszarze roboczym - utworzenie, aktualizacja, usunięcie linku; zmiana ustawień; zaproszenie członka i zmiana roli; wystawienie i rotacja klucza API; przejęcie domeny; eksport - trafia do logu audytowego typu append-only z informacją o aktorze, sygnaturą czasową, adresem IP źródła, różnicą przed/po i ustrukturyzowanym typem zdarzenia. Logi są przechowywane przez 90 dni w planie Pro i 7 lat w planie Business. Strumień SIEM przesyła zdarzenia via webhook (podpisany HMAC-SHA256) do Splunk, Datadog, ELK lub dowolnego odbiorcy HTTP w czasie rzeczywistym. Log można przeszukiwać w panelu, ale nie można go edytować; ograniczenie append-only jest wymuszane na poziomie bazy danych. Zgodność z przepisami: log audytowy jest głównym dowodem w przeglądach kontroli dostępu, zarządzaniu zmianami i reagowaniu na incydenty. Meta-zdarzenie 'retention purge' jest logowane, gdy stare wpisy wygasają, więc sama luka w logach jest audytowalna.

Zarządzanie danymi (Data governance)

Rezydencja danych w EU, allowlista IP i eksport do BigQuery dla wymagań governance

Dane obszaru roboczego są domyślnie przypisane do regionu UE i nigdy nie opuszczają tego regionu, chyba że administrator wyraźnie wybierze USA Wschód lub Azja-Pacyfik podczas tworzenia obszaru - wybór ten jest nieodwołalny. Nie stosujemy międzyregionalnej replikacji dla aktywnych danych. Allowlista IP (CIDR) w planie Business ogranicza dostęp do obszaru roboczego do znanych zakresów wyjściowych - przydatne dla zespołów korzystających z VPN lub stałych adresów IP biura. Eksport do BigQuery wysyła pełny strumień zdarzeń kliknięć i logów audytowych do Twojego zbioru danych BigQuery, zgodnie z harmonogramem lub wyzwalaczem. Wspieramy również Snowflake i S3. Dla regulowanych obciążeń wymagających danych w specyficznej infrastrukturze: wykres Helm do samodzielnego hostowania pozwala uruchomić warstwę przekierowań we własnym VPC, przechowując zdarzenia kliknięć we własnym magazynie analitycznym. BAA dla HIPAA jest dostępna w planie Business+ - techniczne zabezpieczenia (szyfrowanie, ścieżka audytu, kontrole dostępu, powiadamianie o naruszeniach) są gotowe; BAA to prawna osłona dla nich.

Due diligence dostawcy

Gotowy pakiet dowodów zgodności: SOC 2, ISO 27001, DPA, subprocesorzy

Elido odpowiada na pytania działów zakupów bez długich wątków e-mail: DPA jest wstępnie podpisana i dostępna do pobrania z /legal/dpa; lista subprocesorów jest publiczna pod adresem /legal/subprocessors (5 dostawców, wszyscy z siedzibą w EU lub z opcją rezygnacji); certyfikacja ISO 27001 jest uzyskana; SOC 2 Type II jest w toku z celem na H2 2026. Udostępniamy dowody Type 1 na podstawie NDA dla klientów potrzebujących ich przed publikacją raportu Type 2. Centrum Zaufania (Trust Center) pod adresem /trust śledzi aktualny stan certyfikacji i historię incydentów. Zgłaszanie luk odbywa się poprzez HackerOne (prywatny program); plik security.txt znajduje się w standardowej ścieżce. To są rzeczy, które już istnieją, a nie plany. Nie będziemy deklarować SOC 2 Type II, dopóki okres audytu nie zostanie zamknięty - spodziewaj się H2 2026.

Stos, z którym będziesz pracować

SSO (SAML / OIDC)
Provisioning SCIM
Niestandardowe role (RBAC)
Lista dozwolonych adresów IP
Dziennik audytu + strumień SIEM
Rezydenacja danych w UE
HIPAA BAA

Co mierzy Twój zespół bezpieczeństwa

Liczba podprzetwarzających: 5, tylko z UE
Retencja dziennika audytu: 7 lat na poziomie Business
Czas odpowiedzi DSAR: Poniżej 30 dni

Zespoły IT w korporacjach, które nam zaufały

Nazwy są obecnie zastępcze - prawdziwe nazwy klientów pojawią się tutaj po opublikowaniu studiów przypadku.

“Synchronizacja Okta SCIM i allowlista IP zamknęły naszą listę kontrolną zakupów już przy pierwszej recenzji. Strumieniowanie logów audytowych do Splunk było detalem, który przekonał zespół bezpieczeństwa - zobaczyli, że to realne rozwiązanie, a nie tylko marketingowy checkbox.”

Zespół IT security, grupa ubezpieczeniowa, Zurych

IT Security Manager

“Potrzebowaliśmy rezydencji danych w EU i braku subprocesorów z USA po wyroku Schrems II. Elido było pierwszym skracaczem, który na pytanie 'gdzie są przechowywane dane?' odpowiedział konkretnym miastem i liczbą subprocesorów poniżej 10.”

Corporate IT, średniej wielkości produkcja, Düsseldorf

Head of IT Governance

“BAA w planie Business oraz ISO 27001 rozwiązały kwestię HIPAA dla naszego zespołu produktowego w USA. Provisioning SCIM sprawił, że nie musieliśmy dotykać onboardingu w Elido podczas integracji po akwizycji 200 osób.”

Zespół bezpieczeństwa platformy, fintech, Dublin

Director of Platform Security

Elido vs Bitly Enterprise vs Bl.ink dla korporacyjnego IT

Bitly Enterprise i Bl.ink to opcje klasy korporacyjnej z dużym stażem. Poniższe porównanie skupia się na funkcjach, które faktycznie oceniają zespoły IT, a nie na hasłach marketingowych.

Możliwość	Elido	Bitly Enterprise	Bl.ink
Protokół SSO	SAML 2.0 + OIDC via WorkOS	SAML 2.0 w planie Enterprise	SAML 2.0 w planie Enterprise
Provisioning SCIM	Business i wyższe, via WorkOS	Tylko plan Enterprise	Dostępny w Enterprise
Niestandardowe role (RBAC)	Wyrażenia polityki oparte na Cedar	Sztywne poziomy ról	Granularne, udokumentowane
Allowlista IP	CIDR, Business+	Tylko Enterprise	Dostępna
Log audytowy → SIEM	Strumień webhook w czasie rzeczywistym	Codzienny eksport; opcja Enterprise RT	Oparty na API; ręczna konfiguracja SIEM
Retencja logów audytowych	7 lat w planie Business	Standardowo 1 rok	Konfigurowalna w Enterprise
Rezydencja danych w EU	Domyślna dla wszystkich planów	Opcjonalna w Enterprise	Dostępna; nie jest domyślna
Eksport do BigQuery	Zaplanowany, Business+	Brak dokumentacji	Oparty na API; brak natywnego eksportu

Pytania korporacyjnego IT

Które IdP wspiera SSO?

Każde IdP wspierające SAML 2.0 lub OIDC - Okta, Azure AD / Entra ID, Google Workspace, OneLogin, Ping, Rippling i inne. Integracja odbywa się przez WorkOS, który normalizuje różnice w protokołach. Jeśli Twoje IdP obsługuje SAML lub OIDC, będzie działać. Konfiguracja to proces prowadzony przez WorkOS: konfigurujesz aplikację SAML w swoim IdP, wklejasz URL metadanych do Elido i gotowe.

Jak działa deprovisioning SCIM?

WorkOS obsługuje punkt końcowy SCIP 2.0. Gdy użytkownik zostaje usunięty z odpowiedniej grupy w Twoim IdP, WorkOS wysyła zdarzenie DELETE do Elido. Elido natychmiast unieważnia tokeny sesji użytkownika i oznacza konto jako nieaktywne. Aktywne klucze API powiązane z tym użytkownikiem nie są automatycznie unieważniane - jest to osobny krok konfigurowany w ustawieniach SCIM, domyślnie ustawiony na 'unieważnij przy deprovisioningu'. Akcja usunięcia pojawia się w logu audytowym w cyklu synchronizacji SCIM (zazwyczaj poniżej 5 minut).

Co obejmuje allowlista IP?

Logowanie do panelu, żądania API i potwierdzenia dostarczenia webhooków. Obsługiwana jest notacja CIDR; wiele zakresów oddziela się przecinkami. Żądania spoza allowlisty zwracają kod 403 z zarejestrowanym zdarzeniem audytowym - nie ma cichych odrzuceń. Allowlista IP jest oceniana po uwierzytelnieniu, a nie przed, więc nieudana próba autoryzacji spoza listy i tak jest logowana.

Czy możemy otrzymać BAA dla zgodności z HIPAA?

Tak, w planie Business+. BAA obejmuje rolę Elido jako partnera biznesowego (business associate) dla obszarów roboczych, w których dane PHI mogą przechodzić przez metadane linków lub analitykę. Techniczne zabezpieczenia (szyfrowanie w spoczynku i w transmisji, ścieżka audytu, kontrole dostępu, powiadamianie o naruszeniach) są już wdrożone. Skontaktuj się z [email protected] w celu uzyskania szablonu BAA.

Jaki jest status SOC 2?

Audyt SOC 2 Type II jest w toku z celem na H2 2026. Certyfikat ISO 27001 został uzyskany. Udostępniamy dowody Type 1 na podstawie NDA dla klientów potrzebujących ich przed publikacją raportu Type 2. Centrum Zaufania pod adresem /trust śledzi aktualny stan. Nie zadeklarujemy Type II, dopóki okres audytu nie zostanie zakończony.

Jak działają niestandardowe role - czy mogę ograniczyć zespół do trybu tylko do odczytu w konkretnej domenie?

Tak. Niestandardowe role definiują polityki oparte na Cedar, które mogą ograniczać uprawnienia do konkretnych domen, folderów lub operacji (tworzenie/odczyt/aktualizacja/usuwanie). Rola pozwalająca na tworzenie linków tylko w określonej domenie niestandardowej i dostęp tylko do odczytu do analityki jest prawidłową polityką. Role są przypisane do obszaru roboczego; użytkownik może mieć różne role w różnych obszarach. Ocena polityki następuje w momencie żądania, a nie podczas logowania.

Czy dla klientów Business dostępna jest dedykowana opcja edge?

Plan Business korzysta z współdzielonych punktów obecności (POP) edge Elido (region UE, USA Wschód, Azja-Pacyfik). Dedykowany edge - własna flota węzłów przekierowujących, odizolowana od ruchu innych najemców - to temat na rozmowę o planie Enterprise. Skontaktuj się z [email protected]. Alternatywnie, wykres Helm do samodzielnego hostowania pozwala uruchomić warstwę przekierowań we własnym VPC, co jest częstym wzorcem dla klientów Enterprise z rygorystycznymi wymaganiami dotyczącymi izolacji ruchu.

Jakie jest SLA dla powiadamiania o naruszeniach?

24 godziny na powiadomienie klienta o potwierdzonych naruszeniach danych osobowych; 72 godziny na powiadomienie organu nadzorczego (RODO Art. 33 / GDPR Art. 33). Powiadomienie obejmuje to, co wiemy w danym momencie - nie czekamy na pełną analizę śledczą. Proces opisany jest na /trust/incident-response.