← Escolha a perspectiva ideal para o seu time

Para TI empresarial

O encurtador que a sua equipa de segurança não vai rejeitar.

Medes a postura de compliance, tempo de resposta a incidentes e o número de questionários de segurança que consegues superar. O Elido é o shortener que a tua equipa de segurança não vai rejeitar.

Falar com vendas Ler relatório de confiança

SAML SSO + SCIM via o nosso provedor de SSO ou nativo - Okta, Entra ID, Google
Região da UE por defeito com fixação de região ao nível do espaço de trabalho
Auditoria SOC 2 Type II em curso (objetivo H2 2026)
ISO 27001 obtida; certificado disponível sob NDA

Workspace residency

EU region · default

Default + EU residency

Opt-in (Business+, irreversible)

SAML + OIDC

Protocolo SSO

WorkOS

Provedor SSO/SCIM

7 anos

Retenção de auditoria (Business)

ISO 27001

Certificação atual

Como funciona o SSO

Okta ou Entra ID → SAML → Elido. Doze minutos desde o início.

O SSO é encaminhado através do WorkOS, que normaliza as diferenças de protocolo entre SAML 2.0 e OIDC e as particularidades por IdP que ninguém quer manter. A sua equipa configura a aplicação SAML uma única vez no IdP; o Elido selecciona utilizadores por mapeamento de domínio de e-mail → ligação.

Step 1
User signs in
okta.com / login.microsoftonline.com
IdP authenticates against the corporate directory.
Step 2
SAML assertion
WorkOS connection · domain-routed
Email-domain → IdP connection mapping, no per-user setup.
Step 3
Elido session
edge auth · 200 OK
Session token issued, scope derived from group claims.
Step 4
Workspace landing
app.elido.app/w/your-org
Role + IP allowlist evaluated; audit row written.

Provisionamento SCIM

Adicione um utilizador no Okta. Está no Elido em cinco minutos.

A sincronização de directório SCIM 2.0 provisiona e deprovisions utilizadores automaticamente. O mapeamento de claims de grupo converte grupos de IdP em funções de espaço de trabalho do Elido, pelo que uma promoção no sistema de RH reflecte-se no Elido sem um ticket. Os funcionários que saem são deprovisionados dentro do ciclo de sincronização SCIM, com sessões activas revogadas e a acção registada.

Provisionamento automático ao adicionar ao grupo
Membro do grupo IdP → convite ao espaço de trabalho, sem passo manual
Mapeamento de funções por claim de grupo
engineering-eu → editor, finance → viewer, configurável
Deprovisionamento = revogação de sessão
Evento DELETE invalida tokens; chaves de API revogadas por política
Cada evento SCIM é auditado
Registo de acréscimo com actor, antes/depois, IP de origem

Aprofundamento em SCIM e SSO →

SCIM directory sync

workspace · acme-eu

Live · WorkOS

1
User added in Okta
Joins the elido-eu-engineering directory group as part of HR onboarding.
okta.comPOST /scim/v2/Users
T+75s
2
WorkOS pushes to Elido
SCIM sync cycle picks up the create event; no manual invite needed.
workos.com → elido.appscim.create user@org
T+150s
3
Elido provisions the user
Account created, workspace invitation surfaced in pending state.
api-coreuser.id = usr_01HK…
T+225s
4
Group claim → role
engineering → editor; billing-admins → admin. Mapping is configurable.
policyrole: editor (workspace.eu)
T+300s
Deprovision is the same flow in reverse - DELETE event revokes sessions and rotates affected API keys per policy.

Modelo de autorização

RBAC baseado em Cedar, não uma hierarquia fixa de três níveis.

A matriz abaixo é a vista de origem. As funções personalizadas permitem expressar coisas como "criar links apenas neste domínio" ou "somente leitura em análises, sem acesso a faturação" como políticas Cedar. As funções têm âmbito por espaço de trabalho, pelo que diferentes unidades de negócio podem ter estruturas de funções diferentes.

Built-in role permissions

Cedar policies · custom roles override

Permission	Owner	Admin	Member	Read-only	API key
Create / edit links
Manage custom domains
View analytics
Manage billing
Invite & manage members
Rotate API keys

Allowed

Scoped - set via Cedar policy

Denied

Policy eval at request time, not at loginaudit · every change

Ver modelo de segurança →Guia de funções personalizadas → docs

O que o TI empresarial realmente obtém

SAML SSO + SCIM via o nosso provedor de SSO ou nativo - Okta, Entra ID, Google
Região da UE por defeito com fixação de região ao nível do espaço de trabalho
Auditoria SOC 2 Type II em curso (objetivo H2 2026)
ISO 27001 obtida; certificado disponível sob NDA
BAA no Business+ para cargas de trabalho adjacentes à HIPAA
POPs de edge dedicados disponíveis para contratos Enterprise

O que a TI corporativa realmente precisa de um encurtador

Encurtadores shadow-IT falham na análise de procurement em três perguntas: quem tem acesso, onde ficam os dados e é possível auditá-los. As funcionalidades abaixo são o que fecha essas lacunas.

Identidade e provisionamento

SSO SAML via WorkOS com provisionamento de usuários SCIM

O SSO é via WorkOS, que suporta SAML 2.0 e OIDC com qualquer grande IdP: Okta, Azure AD / Entra ID, Google Workspace, OneLogin, Ping e outros. O mapeamento de domínio de e-mail → conexão direciona os usuários ao IdP correto sem qualquer configuração do lado do usuário. A sincronização de diretório SCIM provisiona e desprovisiona usuários automaticamente: novos funcionários adicionados ao grupo relevante do IdP recebem um convite de workspace do Elido em minutos; funcionários desligados são desprovisionados dentro do ciclo de sincronização SCIM sem uma chamada de offboarding manual. Grupos do IdP são mapeados para funções de workspace do Elido; você configura o mapeamento uma vez. Mudanças de função no IdP são propagadas automaticamente. Esta é uma integração gerenciada pelo WorkOS - não mantemos um conector por IdP; o WorkOS normaliza os protocolos e o Elido consome um único endpoint SCIM.

Modelo de autorização

Funções personalizadas com RBAC estilo Cedar - além de owner/admin/member

O modelo de funções do Elido é baseado em Cedar, o que significa que as permissões são expressões de política avaliadas em tempo de requisição, não uma hierarquia fixa de três camadas. Disponíveis por padrão: Owner, Admin, Member e Viewer. Funções personalizadas permitem definir políticas como 'pode criar links neste domínio, mas não pode deletar ou alterar regras de roteamento' ou 'acesso somente leitura a analytics sem acesso às configurações de faturamento'. As funções são atribuídas por workspace, não globalmente - uma empresa com múltiplos workspaces pode ter estruturas de funções diferentes por unidade de negócio. A lista de permissão por IP (intervalos CIDR) é avaliada junto com as verificações de função: um usuário com a função correta mas fora do intervalo de IP permitido é negado. Isso é relevante para equipes híbridas onde contratados acessam um subconjunto diferente dos funcionários em tempo integral.

Auditoria e SIEM

Log de auditoria append-only transmitido ao seu SIEM em tempo real

Cada ação no workspace - criar, atualizar, deletar link; alteração de configuração; convite de membro e mudança de função; emissão e rotação de chave API; reivindicação de domínio personalizado; exportação - cai em um log de auditoria append-only com ator, timestamp, IP de origem, diff antes/depois e um tipo de evento estruturado. Os logs são retidos por 90 dias no Pro e por 7 anos no Business. O firehose SIEM transmite eventos via webhook (assinado com HMAC-SHA256) para Splunk, Datadog, ELK ou qualquer receptor HTTP em tempo real. O log é consultável no dashboard, mas não editável; a restrição append-only é aplicada na camada de banco de dados. Postura de conformidade: o log de auditoria é a principal evidência para revisões de controle de acesso, gerenciamento de mudanças e resposta a incidentes. Um meta-evento de 'exclusão por retenção' é registrado quando entradas antigas expiram, então a lacuna em si é auditável.

Governança de dados

Residência na UE, lista de permissão por IP e exportação BigQuery para requisitos de governança de dados

Os dados do workspace ficam fixados na região da UE por padrão e nunca saem dessa região a menos que um administrador defina explicitamente Leste dos EUA ou Ásia-Pacífico na criação do workspace - uma escolha irreversível. Não há replicação entre regiões para dados ativos. A lista de permissão por IP (CIDR) no Business restringe o acesso ao workspace a intervalos de saída conhecidos - útil para equipes em VPN ou IPs fixos de escritório. A exportação BigQuery envia o fluxo completo de eventos de clique e log de auditoria para um dataset BigQuery de sua propriedade, em um agendamento ou por gatilho. Snowflake e S3 também são suportados. Para cargas de trabalho reguladas que exigem que os dados permaneçam em uma infraestrutura específica: o Helm chart self-host permite executar a camada de redirecionamento no seu próprio VPC, armazenando eventos de clique no seu próprio armazenamento de análise. O BAA HIPAA está disponível no Business+ - as salvaguardas técnicas (criptografia, trilha de auditoria, controles de acesso, notificação de violação) estão implementadas; o BAA é um invólucro legal ao redor delas.

Due diligence de fornecedor

Evidências de conformidade pré-embaladas: SOC 2, ISO 27001, DPA, sub-processadores

Perguntas de procurement que o Elido fecha sem uma longa thread de e-mails: o DPA é pré-assinado e baixável em /legal/dpa; a lista de sub-processadores é pública em /legal/subprocessors (5 fornecedores, todos domiciliados na UE ou com opção de exclusão disponível); ISO 27001 é alcançado; SOC 2 Type II está em andamento com previsão para o 2º semestre de 2026. Compartilhamos evidências do Type 1 sob NDA para clientes que precisam antes que o relatório Type 2 seja público. O Trust Center em /trust acompanha o estado atual de certificação e atualizações sobre histórico de incidentes. A divulgação de vulnerabilidades é via HackerOne (programa privado); security.txt está no caminho bem conhecido. Essas coisas já existem, não são roadmap. Não vamos reivindicar SOC 2 Type II até que o período de auditoria seja encerrado - aguarde o 2º semestre de 2026.

Stack com que vai interagir

SSO (SAML / OIDC)
Provisionamento SCIM
Funções personalizadas (RBAC)
IP allowlist
Audit log + firehose SIEM
EU-residency
HIPAA BAA

O que a tua equipa de segurança mede

Contagem de sub-processors: 5, apenas EU
Retenção de audit log: 7 anos em Business
Tempo de resposta DSAR: Menos de 30 dias

Equipes de TI corporativa que usam isso

Os nomes são marcadores por enquanto - nomes reais de clientes aparecem aqui conforme os estudos de caso são publicados.

“A sincronização SCIM do Okta e a lista de permissão por IP fecharam nossa lista de verificação de procurement na primeira revisão. O streaming do log de auditoria para o Splunk foi o detalhe que deixou a equipe de segurança confortável - eles podiam ver que era real, não um checkbox de fornecedor.”

Equipe de segurança de TI, grupo de seguros, Zurique

Gerente de Segurança de TI

“Precisávamos de dados residentes na UE e sem sub-processadores nos EUA após o Schrems II. O Elido foi o primeiro encurtador que respondeu 'onde os dados são armazenados?' com uma cidade específica e uma contagem de sub-processadores abaixo de 10.”

TI corporativa, manufatura de médio porte, Düsseldorf

Head de Governança de TI

“O BAA no Business mais o ISO 27001 fecharam o aspecto HIPAA para nossa equipe de produto nos EUA. O provisionamento SCIM significa que não precisamos tocar no onboarding do Elido durante uma integração de aquisição de 200 pessoas.”

Equipe de segurança de plataforma, fintech, Dublin

Diretor de Segurança de Plataforma

Elido vs Bitly Enterprise vs Bl.ink para TI corporativa

Bitly Enterprise e Bl.ink são opções de nível corporativo com longas bases instaladas. A comparação abaixo foca nas funcionalidades que equipes de TI corporativa avaliam, não em alegações de marketing.

Capacidade	Elido	Bitly Enterprise	Bl.ink
Protocolo SSO	SAML 2.0 + OIDC via WorkOS	SAML 2.0 no tier Enterprise	SAML 2.0 no Enterprise
Provisionamento SCIM	Business e acima, via WorkOS	Somente tier Enterprise	Disponível no Enterprise
Funções personalizadas (RBAC)	Expressões de política baseadas em Cedar	Tiers de função fixos	Granular, documentado
Lista de permissão por IP	CIDR, Business+	Somente Enterprise	Disponível
Log de auditoria → SIEM	Webhook firehose em tempo real	Exportação diária; tempo real como add-on Enterprise	Baseado em API; integração SIEM manual
Retenção do log de auditoria	7 anos no Business	1 ano padrão	Configurável no Enterprise
Residência de dados na UE	Padrão para todos os planos	Opt-in no Enterprise	Disponível; não é padrão
Exportação BigQuery	Agendada, Business+	Não documentado	Baseado em API; sem exportação nativa

Perguntas de TI corporativa

Quais IdPs o SSO suporta?

Qualquer IdP que suporte SAML 2.0 ou OIDC - Okta, Azure AD / Entra ID, Google Workspace, OneLogin, Ping, Rippling e outros. A integração é via WorkOS, que normaliza as diferenças de protocolo. Se o seu IdP fala SAML ou OIDC, funciona. A configuração é um fluxo guiado pelo WorkOS: configure o app SAML no seu IdP, cole a URL de metadados no Elido, pronto.

Como funciona o desprovisionamento SCIM?

O WorkOS gerencia o endpoint SCIM 2.0. Quando um usuário é removido do grupo relevante no seu IdP, o WorkOS envia um evento DELETE para o Elido. O Elido revoga imediatamente os tokens de sessão do usuário e marca a conta como inativa. As chaves API ativas associadas a esse usuário não são revogadas automaticamente - essa é uma etapa separada que você configura nas configurações SCIM, com padrão de revogar no desprovisionamento. A ação de desprovisionamento aparece no log de auditoria dentro do ciclo de sincronização SCIM (normalmente em menos de 5 minutos).

O que a lista de permissão por IP cobre?

Login no dashboard, requisições de API e confirmação de entrega de webhook. Notação CIDR é suportada; múltiplos intervalos são separados por vírgula. Requisições de fora da lista de permissão retornam um 403 com um evento de auditoria registrado - sem drops silenciosos. A lista de permissão por IP é avaliada após a autenticação, não antes, então falhas de autenticação de fora da lista ainda registram a tentativa.

Podemos obter um BAA para conformidade com HIPAA?

Sim, no Business+. O BAA cobre o papel do Elido como associado de negócios para workspaces onde PHI pode passar por metadados de link ou analytics. As salvaguardas técnicas (criptografia em repouso e em trânsito, trilha de auditoria, controles de acesso, notificação de violação) já estão implementadas. Entre em contato com [email protected] para o modelo de BAA.

Qual é o status do SOC 2?

A auditoria SOC 2 Type II está em andamento com previsão para o 2º semestre de 2026. ISO 27001 foi alcançado. Compartilhamos evidências do Type 1 sob NDA para clientes que precisam antes que o relatório Type 2 seja publicado. O Trust Center em /trust acompanha o estado atual. Não reivindicaremos o Type II até que o período de auditoria seja encerrado.

Como funcionam as funções personalizadas - posso restringir uma equipe a somente leitura em um domínio específico?

Sim. As funções personalizadas definem políticas baseadas em Cedar que podem escopar permissões a domínios específicos, pastas específicas ou operações específicas (criar/ler/atualizar/deletar). Uma função que permite a criação de links somente em um domínio personalizado específico e acesso somente leitura a analytics é uma política válida. As funções são por workspace; um usuário pode ter funções diferentes em workspaces diferentes. A avaliação de política ocorre em tempo de requisição, não no login.

Existe uma opção de edge dedicado para clientes Business?

O tier Business usa os POPs de edge compartilhados do Elido (região da UE, Leste dos EUA, Ásia-Pacífico). Um edge dedicado - sua própria frota de nós de redirecionamento, com tráfego isolado de outros inquilinos - é uma conversa para Enterprise. Entre em contato com [email protected]. Alternativamente, o Helm chart self-host permite executar a camada de redirecionamento no seu próprio VPC, o que é um padrão comum para clientes Enterprise com requisitos rígidos de isolamento de tráfego.

Qual é o SLA de notificação de violação?

Notificação ao cliente em 24 horas para violações de dados pessoais confirmadas; notificação ao regulador em 72 horas (GDPR Art. 33). A notificação cobre o que sabemos naquele momento - não aguardamos a perícia forense completa. O processo está em /trust/incident-response.