Elido
Tudo o que o Elido faz
Business

SSO & SCIM. Identidade corporativa, sem atrito.

Login SAML / OIDC em qualquer IdP importante. O diretório SCIM sincroniza o provisionamento e desprovisionamento de usuários automaticamente. Os segredos dos webhooks rotacionam sem perder o estado.

Começar grátisLeia o guia de SCIM & SSO
  • SAML / OIDC com mais de 20 provedores de identidade
  • Sincronização de diretório SCIM - provisionamento e desprovisionamento automáticos
  • Rotação de segredos de webhook sem downtime
  • Trilha de auditoria completa para compliance
Fluxo de login SSO
SAML 2.0
Usuárioclica em entrarIdPOOktaSAML 2.0 · SCIM 2.0AAzure ADEntra ID · OIDCGoogle WSSAML · OIDCSAMLWorkOSbroker SSOrelay SCIMElidopainelsessão ✓
Domínio de e-mail → roteamento do IdP20+ conexões de IdP
20+
Conexões IdP via WorkOS
<60s
Latência de provisionamento de usuário SCIM
Zero-touch
Offboarding - desativado no IdP = revogado no Elido
HMAC-SHA256
Assinatura de segredo de webhook

Sincronização de diretório SCIM

Provisionar e desprovisionar em menos de 60 segundos

Conecte seu diretório de IdP uma vez. Cada contratação, transferência e desligamento é propagado automaticamente para o Elido - sem ticket de TI, sem convite manual, sem brechas de offboarding esquecidas.

  • Provisionamento automático
    SCIM CREATE do Okta ou Entra → conta no Elido em menos de 60 s
  • Mapeamento de grupos para papéis
    Grupos do IdP são mapeados para papéis do Elido; mudanças se propagam na próxima sincronização
  • Desprovisionamento instantâneo
    SCIM DELETE ou active: false → sessões são revogadas imediatamente
  • Suspensão de chaves de API
    Todas as chaves de API do usuário são suspensas no offboarding - sem brecha de acesso após a saída
Sincronização de diretório
SCIM 2.0
Diretório Okta
  • A
    Ana Kovač
    Admin
  • B
    Ben Carter
    Member
  • C
    Carla Mora
    Member
  • D
    Dmitri Volkov
    Viewer
  • E
    Erika Salo
    Member
SCIM
Workspace Elido
  • A
    Ana Kovač
    Admin
  • B
    Ben Carter
    Member
  • C
    Carla Mora
    Member
  • D
    Dmitri Volkov
    Viewer
  • E
    Erika Salo
    desprovisionado
Sincronização ao vivo ativa< 60 s de latência de sync

Provedores de identidade

Funciona com qualquer IdP relevante

O Elido usa o WorkOS como broker de SSO e SCIM - mais de 20 conexões prontas, além de Generic SAML para qualquer fluxo iniciado por SP. Configure o aplicativo Elido no seu IdP uma vez; o Elido gera o XML de metadados SAML ou as credenciais OIDC.

Mais de 20 IdPs via WorkOS
Ok
Okta
SAML · SCIM
Az
Azure AD
SAML · OIDC
G
Google WS
SAML · OIDC
OL
OneLogin
SAML · SCIM
JC
JumpCloud
SAML · SCIM
Pi
PingIdentity
SAML 2.0
A0
Auth0
OIDC
SP
Generic SAML
SAML 2.0

Qualquer IdP compatível com SAML 2.0 funciona via Generic SAML. Ver o guia de configuração →

Trilha de auditoria
TodosEventos SSOEventos SCIM
EventoAtorIPHora
  • Usuário provisionado via SCIMokta-scim-svc10.0.1.409:12:04
  • Login SSO - Okta[email protected]91.223.4.1709:14:31
  • Login SSO - Azure AD[email protected]185.46.9.209:17:08
  • Segredo de webhook rotacionado[email protected]77.123.11.510:05:22
  • Usuário desprovisionado via SCIMokta-scim-svc10.0.1.414:33:51
  • Papel alterado: Member → Admin[email protected]77.123.11.515:01:09
6 eventos exibidos · log append-onlyExportar CSV

Trilha de auditoria

Log imutável de eventos de identidade

Cada login SSO, provisionamento SCIM, mudança de papel e rotação de segredo é registrado em modo append-only. Nenhum administrador pode apagar entradas. Exporte para CSV ou envie para o seu SIEM via API.

  • Timestamp, ator, ação, alvo e conexão de IdP por evento
  • Retenção de 12 meses no Business; mais longa sob solicitação
  • Exportação por API para evidências de SOC 2, ISO 27001, DORA e NIS2
  • Tentativas de SSO com falha são registradas com código de motivo
  • Alertas por IP ao atingir limite de sondagem SSO
  • Rotações de segredos referenciam a janela de sobreposição no log
Desativação no IdP → acesso revogado no Elido em menos de 60 segundos

O que você pode fazer

  • Okta, Azure AD / Entra, Google Workspace
  • Mapeamento de domínio de e-mail → conexão
  • Criação / atualização / exclusão de usuário SCIM
  • Verificação de assinatura de webhook (HMAC-SHA256)

O que o SSO empresarial e o provisionamento SCIM realmente exigem em produção

O redirecionamento SAML é o básico. Os detalhes abaixo cobrem latência de provisionamento, mapeamento de funções, rotação de segredos e os modos de falha que importam para as equipes de segurança.

SSO sign-in
01

Login SAML 2.0 e OIDC via WorkOS - roteamento de domínio de e-mail para a conexão IdP correta

O Elido utiliza o WorkOS como broker de SSO, que suporta mais de 20 conexões IdP, incluindo Okta, Azure AD / Entra ID, Google Workspace, OneLogin, PingFederate e qualquer IdP compatível com SAML 2.0. Sua equipe de TI configura o aplicativo Elido no seu IdP uma única vez; o Elido gera um XML de metadados SAML ou credenciais de cliente OIDC para o assistente de configuração do IdP. O roteamento de domínio de e-mail mapeia os domínios de e-mail do usuário para a conexão IdP correta - usuários com @suaempresa.com são roteados automaticamente para a sua conexão Okta sem precisar selecioná-la. Vários domínios de e-mail podem ser mapeados para uma única conexão (para empresas com entidades fundidas ou vários domínios de e-mail). O provisionamento JIT cria a conta Elido no primeiro login SSO se o SCIM não estiver em uso; se o SCIM estiver ativo, o JIT é desativado e a conta deve ser provisionada via SCIM antes do primeiro login.

Provisionamento SCIM
02

Sincronização de diretório SCIM 2.0: provisionamento automático, desprovisionamento e mapeamento de grupo para função

O SCIM 2.0 sincroniza o diretório de usuários do seu provedor de identidade com o Elido. Quando um usuário é adicionado ao grupo do aplicativo Elido no Okta ou Entra, o Elido recebe um evento CREATE do SCIM e provisiona a conta do usuário - sem chamado de TI, sem convite manual. As atualizações de perfil do usuário (nome, e-mail) se propagam automaticamente. Quando um usuário é removido do grupo ou desativado no IdP, o Elido recebe um evento DELETE ou PATCH (active: false) do SCIM e revoga imediatamente o acesso - as sessões ativas são invalidadas e as chaves de API pertencentes ao usuário são suspensas. O mapeamento de grupo para função permite mapear seus grupos de IdP (ex: 'Admins Elido', 'Visualizadores Elido') para funções do Elido (Admin, Membro, Visualizador). As atribuições de funções são atualizadas automaticamente quando a participação no grupo muda no IdP. A latência de provisionamento desde o evento no IdP até a criação da conta no Elido é tipicamente inferior a 60 segundos.

Rotação de segredos
03

Segredos de assinatura de webhook rotacionam sem perder eventos em trânsito - procedimento de rotação com tempo de inatividade zero

O receptor de webhooks SCIM do Elido e o sistema de webhooks de saída usam assinaturas HMAC-SHA256 para verificar a autenticidade dos eventos. Os segredos expiram e precisam de rotação - seja em um cronograma (recomendado: 90 dias) ou após uma suspeita de comprometimento. A rotação com tempo de inatividade zero funciona da seguinte forma: gere um novo segredo no painel (o segredo antigo permanece válido por 15 minutos durante a janela de sobreposição), implante o novo segredo em seus sistemas, verifique se um evento SCIM de entrada é verificado com o novo segredo e, em seguida, acione a expiração imediata do segredo antigo. A janela de sobreposição de 15 minutos garante que os eventos em trânsito assinados com o segredo antigo ainda sejam processados durante a janela de implantação. A rotação de segredos é registrada na trilha de auditoria com data e hora, o autor (o admin que rotacionou) e a confirmação da expiração da sobreposição.

Trilha de auditoria
04

Log completo de eventos de identidade: logins SSO, eventos de provisionamento, mudanças de função e rotações de segredos

Cada login SSO, provisionamento/desprovisionamento SCIM, alteração de atribuição de função e rotação de segredo é registrado na trilha de auditoria do workspace (Business). Cada entrada inclui: data e hora, autor (usuário ou serviço SCIM), tipo de ação, alvo (o usuário ou recurso afetado), conexão IdP usada e o ID do workspace. A trilha de auditoria é apenas para adição (append-only) e imutável - nenhum admin pode excluir entradas. Exporte para CSV ou consulte via API para ingestão em SIEM. Se a sua estrutura de conformidade exigir evidências de eventos de controle de acesso (SOC 2 Type II, ISO 27001, DORA, NIS2), a trilha de auditoria é o artefato. A retenção é de 12 meses no plano Business; retenções maiores estão disponíveis mediante solicitação para setores regulamentados.

Gerenciamento de sessão
05

Expiração forçada de sessão via SCIM - acesso revogado em menos de 60 segundos na desativação do IdP

Quando o SCIM sinaliza que um usuário foi desativado (offboarding de funcionário, término de contrato de prestador de serviço), o Elido invalida imediatamente todas as sessões ativas desse usuário e suspende suas chaves de API. Isso não depende do TTL do cookie de sessão - o Elido armazena uma flag de revogação por ID de usuário e a verifica em cada requisição autenticada. O tempo desde a desativação no IdP até a revogação do acesso no Elido é a latência de entrega do evento SCIM: normalmente menos de 30 segundos para Okta e menos de 60 segundos para Azure Entra. Para offboarding de alta segurança (ex: um admin saindo), um administrador do workspace do Elido também pode revogar manualmente as sessões de um usuário específico no painel antes que o evento SCIM chegasse. As sessões revogadas manualmente e as revogações acionadas por SCIM aparecem na trilha de auditoria.

Equipes de segurança empresarial usando SSO & SCIM do Elido

Nomes são espaços reservados - estudos de caso reais de clientes serão publicados aqui conforme forem lançados.

O offboarding via SCIM era o requisito que nossa equipe de segurança tinha desde o primeiro dia. Quando um funcionário é desativado no Entra, o acesso ao Elido desaparece em menos de um minuto - sem chamado manual de desprovisionamento, sem lacuna de 'esqueci de revogar'. Auditamos os logs após três meses e encontramos zero eventos de acesso após o desligamento.

S
Segurança de TI, empresa de logística, 1.200 funcionários, Hamburgo
Gerente de Segurança de TI

Temos cinco domínios de e-mail da empresa de duas aquisições. O roteamento de domínio de e-mail → IdP no Elido lida com todos os cinco apontando para a mesma conexão Okta. Usuários de qualquer domínio encontram o fluxo de SSO correto sem precisar escolher em uma lista.

T
TI Empresarial, SaaS em escala, 400 funcionários, Amsterdã
Engenheiro de TI Sênior

A rotação de segredos sem tempo de inatividade foi o detalhe que nos convenceu. Rotacionamos os segredos de webhook trimestralmente por política; a janela de sobreposição de 15 minutos significa que podemos rotacionar durante o horário comercial sem risco de incidentes. Cada rotação é registrada, auditada e referenciada em nosso pacote de evidências SOC 2.

E
Engenharia de segurança, fintech, Dublin
Engenheiro de Segurança

Elido SSO & SCIM vs Bitly vs Rebrandly

O SSO está disponível no plano Enterprise do Bitly e no plano Business do Rebrandly. O provisionamento SCIM é mais limitado em ambos. A comparação cobre o que cada um realmente entrega.

FeatureElidoBitly EnterpriseRebrandly Business
SAML 2.0 SSOSim - broker WorkOS, 20+ conexões IdPSim - plano EnterpriseSim - plano Business
OIDC SSOSim - junto ao SAML via WorkOSApenas SAMLApenas SAML
Provisionamento SCIM 2.0Criação / atualização / exclusão completa + mapeamento de grupo para funçãoLimitado - apenas criação de usuário, sem mapeamento de grupo para funçãoNão disponível
Auto-desprovisionamento no offboardingSim - SCIM DELETE, sessão revogada em menos de 60sApenas manualApenas manual
Roteamento de IdP por domínio de e-mailSim - vários domínios por conexãoÚnico domínio por conexãoNão documentado
Trilha de auditoria para eventos de identidadeSim - imutável, 12 meses, exportação via APILog de auditoria limitadoLog de auditoria limitado
Rotação de segredo de webhook (tempo de inatividade zero)Sim - janela de sobreposição de 15 minutosNão se aplicaNão se aplica

Perguntas sobre SSO & SCIM

Quais provedores de identidade são suportados?

O Elido utiliza o WorkOS como broker de SSO e SCIM, que suporta Okta, Azure AD / Entra ID, Google Workspace, OneLogin, PingFederate, Shibboleth, ADFS, JumpCloud e qualquer IdP compatível com SAML 2.0. Conexões OIDC também são suportadas para provedores como Google Workspace e Azure. Se o seu IdP não estiver na lista padrão do WorkOS, o tipo de conexão 'SAML Genérico' do WorkOS funciona com qualquer fluxo iniciado pelo provedor de serviço (SP-initiated) SAML 2.0. Entre em contato conosco se precisar de uma conexão IdP específica não listada.

O que é provisionamento JIT vs provisionamento SCIM?

O provisionamento JIT (Just-in-Time) cria uma conta de usuário no Elido em seu primeiro login via SSO - nenhum pré-provisionamento é necessário. É mais simples de configurar, mas não oferece controle sobre quem pode fazer login (qualquer pessoa com uma asserção SSO válida ganha uma conta). O provisionamento SCIM dá o controle ao seu IdP: apenas usuários no grupo provisionado podem fazer login, e as contas são criadas antes do primeiro login. Para ambientes empresariais onde o acesso deve ser pré-aprovado, o SCIM é obrigatório. Quando o SCIM está ativo, o provisionamento JIT é desativado.

Como funcionam os mapeamentos de grupo para função do SCIM?

Nas configurações de SSO do workspace, você mapeia seus grupos de IdP para funções do Elido: ex: 'Grupo Okta: Admins Elido' → 'Função Elido: Admin', 'Grupo Okta: Membros Elido' → 'Função Elido: Membro'. A função de um usuário no Elido segue sua participação no grupo do IdP - se ele for movido do grupo de Admins para o grupo de Membros no Okta, sua função no Elido é rebaixada na próxima sincronização SCIM (normalmente em menos de 60 segundos). Um usuário em vários grupos assume a função de maior privilégio dos mapeamentos correspondentes.

O SSO pode ser obrigatório para todos os usuários ou é opcional?

O SSO pode ser definido como obrigatório (todos os usuários devem fazer login via SSO - o login por senha é desativado) ou opcional (os usuários podem escolher entre SSO ou e-mail+senha). No plano Business, a obrigatoriedade é configurada nas configurações de SSO do workspace. Uma vez obrigatório, os usuários que não possuem uma identidade SSO ativa ficam bloqueados - certifique-se de que o provisionamento SCIM ou JIT tenha gerado as contas antes de habilitar a obrigatoriedade. As contas de administrador podem ser isentas da obrigatoriedade do SSO como um mecanismo de segurança emergencial; isso é configurável.

O que acontece com as chaves de API quando um usuário é desligado via SCIM?

Quando o SCIM desativa um usuário, o Elido suspende todas as chaves de API que foram criadas por esse usuário. Chaves suspensas retornam HTTP 401 na autenticação. As chaves não são excluídas - elas permanecem visíveis para os administradores do workspace para fins de auditoria, com um rótulo de status 'suspensa - usuário desligado'. Se uma conta de serviço estava usando uma chave de API pessoal (não uma chave de serviço do workspace), a suspensão da chave quebrará essa integração - isso é intencional. Para integrações de produção, use chaves de serviço de nível de workspace em vez de chaves de API de usuário.

O SSO está disponível no plano Pro ou apenas no Business?

SSO e SCIM são recursos exclusivos do plano Business. Workspaces Pro usam a autenticação nativa do Elido (e-mail + senha via a nossa camada de autenticação, OAuth opcional do Google/GitHub). Se o SSO for um requisito indispensável para a aprovação de compras, o plano Business é o ponto de partida. Entre em contato com vendas para um teste do plano Business se precisar avaliar o SSO antes de se comprometer.

Como lidar com o SSO para um workspace que possui várias marcas ou sub-organizações?

Cada workspace do Elido possui sua própria configuração de SSO - se você gerencia vários workspaces (ex: por marca, por unidade de negócio), cada um recebe sua própria conexão IdP e provisionamento SCIM separadamente. Os usuários podem ser membros de vários workspaces com funções diferentes em cada um; sua identidade no IdP é a mesma, mas os mapeamentos de grupo para função são avaliados por workspace. Um grupo compartilhado do Okta pode ser mapeado como Admin em um workspace e Membro em outro.

Existe uma trilha de auditoria para tentativas de SSO com falha?

Sim. Tentativas de SSO malsucedidas (asserção SAML inválida, sessão expirada, conta SCIM ausente quando o JIT está desativado) são registradas na trilha de auditoria do workspace com o código do motivo. Isso é útil para diagnosticar por que um usuário específico não consegue fazer login e para detectar sondagens de SSO por força bruta. Tentativas falhas de endereços IP que excedem um limite acionam um alerta do workspace (configurável nas configurações de segurança do workspace).

Continue lendo

White-label

SSO do portal white-label - seus clientes fazem login no seu painel personalizado via IdP deles.

Webhooks

Webhooks de saída assinados com HMAC - o mesmo padrão de rotação de segredo se aplica às assinaturas de webhooks de saída.

API & SDKs

Chaves de serviço de workspace para integrações de API de produção - com escopo no workspace, não em usuários individuais.

For enterprise

SOC 2, ISO 27001, residência na UE e edge dedicado - a pilha completa de recursos empresariais.

Pronto para experimentar?

Comece no plano gratuito, faça o upgrade quando precisar de um domínio personalizado.

Começar grátisVer preços