← Escolha a perspectiva ideal para o seu time

For enterprise IT

The shortener your security team won’t reject.

Medes a postura de compliance, tempo de resposta a incidentes e o número de questionários de segurança que consegues superar. O Elido é o shortener que a tua equipa de segurança não vai rejeitar.

Talk to sales Read trust report

SAML SSO + SCIM via WorkOS or native — Okta, Entra ID, Google
eu-central-1 default with workspace-level region pin
SOC 2 Type II audit in progress (H2 2026 target)
ISO 27001 achieved; certificate available under NDA

Workspace residency

eu-central-1 · default

Default + EU residency

Opt-in (Business+, irreversible)

SAML + OIDC

Protocolo SSO

WorkOS

Provedor SSO/SCIM

7 anos

Retenção de auditoria (Business)

ISO 27001

Certificação atual

How SSO works

Okta or Entra ID → SAML → Elido. Twelve minutes from cold start.

SSO routes through WorkOS, which normalises the protocol differences between SAML 2.0 and OIDC and the per-IdP quirks that no one wants to maintain themselves. Your team configures the SAML app once in their IdP; Elido picks up users by email domain → connection mapping.

Step 1
User signs in
okta.com / login.microsoftonline.com
IdP authenticates against the corporate directory.
Step 2
SAML assertion
WorkOS connection · domain-routed
Email-domain → IdP connection mapping, no per-user setup.
Step 3
Elido session
edge auth · 200 OK
Session token issued, scope derived from group claims.
Step 4
Workspace landing
app.elido.app/w/your-org
Role + IP allowlist evaluated; audit row written.

SCIM provisioning

Add a user in Okta. They’re in Elido in five minutes.

SCIM 2.0 directory sync provisions and deprovisions users automatically. Group-claim mapping converts IdP groups into Elido workspace roles, so a promotion in HR’s system rolls into Elido without a ticket. Departing employees are deprovisioned within the SCIM sync cycle, with active sessions revoked and the action logged.

Auto-provision on group add
IdP group membership → workspace invitation, no manual step
Group-claim role mapping
engineering-eu → editor, finance → viewer, configurable
Deprovision = session revoke
DELETE event invalidates tokens; API keys revoked by policy
Every SCIM event is audited
Append-only log with actor, before/after, source IP

SCIM & SSO deep-dive →

SCIM directory sync

workspace · acme-eu

Live · WorkOS

1
User added in Okta
Joins the elido-eu-engineering directory group as part of HR onboarding.
okta.comPOST /scim/v2/Users
T+75s
2
WorkOS pushes to Elido
SCIM sync cycle picks up the create event; no manual invite needed.
workos.com → elido.appscim.create user@org
T+150s
3
Elido provisions the user
Account created, workspace invitation surfaced in pending state.
api-coreuser.id = usr_01HK…
T+225s
4
Group claim → role
engineering → editor; billing-admins → admin. Mapping is configurable.
policyrole: editor (workspace.eu)
T+300s
Deprovision is the same flow in reverse — DELETE event revokes sessions and rotates affected API keys per policy.

Authorization model

Cedar-based RBAC, not a fixed three-tier hierarchy.

The matrix below is the out-of-the-box view. Custom roles let you express things like “create links on this domain only” or “read-only on analytics, no billing access” as Cedar policies. Roles are scoped per workspace, so different business units can run different role structures.

Built-in role permissions

Cedar policies · custom roles override

Permission	Owner	Admin	Member	Read-only	API key
Create / edit links
Manage custom domains
View analytics
Manage billing
Invite & manage members
Rotate API keys

Allowed

Scoped — set via Cedar policy

Denied

Policy eval at request time, not at loginaudit · every change

See security model →Custom roles guide → docs

What enterprise IT actually gets

SAML SSO + SCIM via WorkOS or native — Okta, Entra ID, Google
eu-central-1 default with workspace-level region pin
SOC 2 Type II audit in progress (H2 2026 target)
ISO 27001 achieved; certificate available under NDA
BAA on Business+ for HIPAA-adjacent workloads
Dedicated edge POPs available for Enterprise contracts

O que a TI corporativa realmente precisa de um encurtador

Encurtadores shadow-IT falham na análise de procurement em três perguntas: quem tem acesso, onde ficam os dados e é possível auditá-los. As funcionalidades abaixo são o que fecha essas lacunas.

Identidade e provisionamento

SSO SAML via WorkOS com provisionamento de usuários SCIM

O SSO é via WorkOS, que suporta SAML 2.0 e OIDC com qualquer grande IdP: Okta, Azure AD / Entra ID, Google Workspace, OneLogin, Ping e outros. O mapeamento de domínio de e-mail → conexão direciona os usuários ao IdP correto sem qualquer configuração do lado do usuário. A sincronização de diretório SCIM provisiona e desprovisiona usuários automaticamente: novos funcionários adicionados ao grupo relevante do IdP recebem um convite de workspace do Elido em minutos; funcionários desligados são desprovisionados dentro do ciclo de sincronização SCIM sem uma chamada de offboarding manual. Grupos do IdP são mapeados para funções de workspace do Elido; você configura o mapeamento uma vez. Mudanças de função no IdP são propagadas automaticamente. Esta é uma integração gerenciada pelo WorkOS — não mantemos um conector por IdP; o WorkOS normaliza os protocolos e o Elido consome um único endpoint SCIM.

Modelo de autorização

Funções personalizadas com RBAC estilo Cedar — além de owner/admin/member

O modelo de funções do Elido é baseado em Cedar, o que significa que as permissões são expressões de política avaliadas em tempo de requisição, não uma hierarquia fixa de três camadas. Disponíveis por padrão: Owner, Admin, Member e Viewer. Funções personalizadas permitem definir políticas como 'pode criar links neste domínio, mas não pode deletar ou alterar regras de roteamento' ou 'acesso somente leitura a analytics sem acesso às configurações de faturamento'. As funções são atribuídas por workspace, não globalmente — uma empresa com múltiplos workspaces pode ter estruturas de funções diferentes por unidade de negócio. A lista de permissão por IP (intervalos CIDR) é avaliada junto com as verificações de função: um usuário com a função correta mas fora do intervalo de IP permitido é negado. Isso é relevante para equipes híbridas onde contratados acessam um subconjunto diferente dos funcionários em tempo integral.

Auditoria e SIEM

Log de auditoria append-only transmitido ao seu SIEM em tempo real

Cada ação no workspace — criar, atualizar, deletar link; alteração de configuração; convite de membro e mudança de função; emissão e rotação de chave API; reivindicação de domínio personalizado; exportação — cai em um log de auditoria append-only com ator, timestamp, IP de origem, diff antes/depois e um tipo de evento estruturado. Os logs são retidos por 90 dias no Pro e por 7 anos no Business. O firehose SIEM transmite eventos via webhook (assinado com HMAC-SHA256) para Splunk, Datadog, ELK ou qualquer receptor HTTP em tempo real. O log é consultável no dashboard, mas não editável; a restrição append-only é aplicada na camada de banco de dados. Postura de conformidade: o log de auditoria é a principal evidência para revisões de controle de acesso, gerenciamento de mudanças e resposta a incidentes. Um meta-evento de 'exclusão por retenção' é registrado quando entradas antigas expiram, então a lacuna em si é auditável.

Governança de dados

Residência na UE, lista de permissão por IP e exportação BigQuery para requisitos de governança de dados

Os dados do workspace ficam fixados na UE (Frankfurt) por padrão e nunca saem dessa região a menos que um administrador defina explicitamente Ashburn ou Cingapura na criação do workspace — uma escolha irreversível. Não há replicação entre regiões para dados ativos. A lista de permissão por IP (CIDR) no Business restringe o acesso ao workspace a intervalos de saída conhecidos — útil para equipes em VPN ou IPs fixos de escritório. A exportação BigQuery envia o fluxo completo de eventos de clique e log de auditoria para um dataset BigQuery de sua propriedade, em um agendamento ou por gatilho. Snowflake e S3 também são suportados. Para cargas de trabalho reguladas que exigem que os dados permaneçam em uma infraestrutura específica: o Helm chart self-host permite executar a camada de redirecionamento no seu próprio VPC, armazenando eventos de clique no seu próprio ClickHouse. O BAA HIPAA está disponível no Business+ — as salvaguardas técnicas (criptografia, trilha de auditoria, controles de acesso, notificação de violação) estão implementadas; o BAA é um invólucro legal ao redor delas.

Due diligence de fornecedor

Evidências de conformidade pré-embaladas: SOC 2, ISO 27001, DPA, sub-processadores

Perguntas de procurement que o Elido fecha sem uma longa thread de e-mails: o DPA é pré-assinado e baixável em /legal/dpa; a lista de sub-processadores é pública em /legal/subprocessors (5 fornecedores, todos domiciliados na UE ou com opção de exclusão disponível); ISO 27001 é alcançado; SOC 2 Type II está em andamento com previsão para o 2º semestre de 2026. Compartilhamos evidências do Type 1 sob NDA para clientes que precisam antes que o relatório Type 2 seja público. O Trust Center em /trust acompanha o estado atual de certificação e atualizações sobre histórico de incidentes. A divulgação de vulnerabilidades é via HackerOne (programa privado); security.txt está no caminho bem conhecido. Essas coisas já existem, não são roadmap. Não vamos reivindicar SOC 2 Type II até que o período de auditoria seja encerrado — aguarde o 2º semestre de 2026.

Stack you’ll touch

SSO (SAML / OIDC)
Provisionamento SCIM
Funções personalizadas (RBAC)
IP allowlist
Audit log + firehose SIEM
EU-residency
HIPAA BAA

O que a tua equipa de segurança mede

Contagem de sub-processors: 5, apenas EU
Retenção de audit log: 7 anos em Business
Tempo de resposta DSAR: Menos de 30 dias

Equipes de TI corporativa que usam isso

Os nomes são marcadores por enquanto — nomes reais de clientes aparecem aqui conforme os estudos de caso são publicados.

“A sincronização SCIM do Okta e a lista de permissão por IP fecharam nossa lista de verificação de procurement na primeira revisão. O streaming do log de auditoria para o Splunk foi o detalhe que deixou a equipe de segurança confortável — eles podiam ver que era real, não um checkbox de fornecedor.”

Equipe de segurança de TI, grupo de seguros, Zurique

Gerente de Segurança de TI

“Precisávamos de dados residentes na UE e sem sub-processadores nos EUA após o Schrems II. O Elido foi o primeiro encurtador que respondeu 'onde os dados são armazenados?' com uma cidade específica e uma contagem de sub-processadores abaixo de 10.”

TI corporativa, manufatura de médio porte, Düsseldorf

Head de Governança de TI

“O BAA no Business mais o ISO 27001 fecharam o aspecto HIPAA para nossa equipe de produto nos EUA. O provisionamento SCIM significa que não precisamos tocar no onboarding do Elido durante uma integração de aquisição de 200 pessoas.”

Equipe de segurança de plataforma, fintech, Dublin

Diretor de Segurança de Plataforma

Elido vs Bitly Enterprise vs Bl.ink para TI corporativa

Bitly Enterprise e Bl.ink são opções de nível corporativo com longas bases instaladas. A comparação abaixo foca nas funcionalidades que equipes de TI corporativa avaliam, não em alegações de marketing.

Capability	Elido	Bitly Enterprise	Bl.ink
Protocolo SSO	SAML 2.0 + OIDC via WorkOS	SAML 2.0 no tier Enterprise	SAML 2.0 no Enterprise
Provisionamento SCIM	Business e acima, via WorkOS	Somente tier Enterprise	Disponível no Enterprise
Funções personalizadas (RBAC)	Expressões de política baseadas em Cedar	Tiers de função fixos	Granular, documentado
Lista de permissão por IP	CIDR, Business+	Somente Enterprise	Disponível
Log de auditoria → SIEM	Webhook firehose em tempo real	Exportação diária; tempo real como add-on Enterprise	Baseado em API; integração SIEM manual
Retenção do log de auditoria	7 anos no Business	1 ano padrão	Configurável no Enterprise
Residência de dados na UE	Padrão para todos os planos	Opt-in no Enterprise	Disponível; não é padrão
Exportação BigQuery	Agendada, Business+	Não documentado	Baseado em API; sem exportação nativa

Perguntas de TI corporativa

Quais IdPs o SSO suporta?

Qualquer IdP que suporte SAML 2.0 ou OIDC — Okta, Azure AD / Entra ID, Google Workspace, OneLogin, Ping, Rippling e outros. A integração é via WorkOS, que normaliza as diferenças de protocolo. Se o seu IdP fala SAML ou OIDC, funciona. A configuração é um fluxo guiado pelo WorkOS: configure o app SAML no seu IdP, cole a URL de metadados no Elido, pronto.

Como funciona o desprovisionamento SCIM?

O WorkOS gerencia o endpoint SCIM 2.0. Quando um usuário é removido do grupo relevante no seu IdP, o WorkOS envia um evento DELETE para o Elido. O Elido revoga imediatamente os tokens de sessão do usuário e marca a conta como inativa. As chaves API ativas associadas a esse usuário não são revogadas automaticamente — essa é uma etapa separada que você configura nas configurações SCIM, com padrão de revogar no desprovisionamento. A ação de desprovisionamento aparece no log de auditoria dentro do ciclo de sincronização SCIM (normalmente em menos de 5 minutos).

O que a lista de permissão por IP cobre?

Login no dashboard, requisições de API e confirmação de entrega de webhook. Notação CIDR é suportada; múltiplos intervalos são separados por vírgula. Requisições de fora da lista de permissão retornam um 403 com um evento de auditoria registrado — sem drops silenciosos. A lista de permissão por IP é avaliada após a autenticação, não antes, então falhas de autenticação de fora da lista ainda registram a tentativa.

Podemos obter um BAA para conformidade com HIPAA?

Sim, no Business+. O BAA cobre o papel do Elido como associado de negócios para workspaces onde PHI pode passar por metadados de link ou analytics. As salvaguardas técnicas (criptografia em repouso e em trânsito, trilha de auditoria, controles de acesso, notificação de violação) já estão implementadas. Entre em contato com compliance@elido.app para o modelo de BAA.

Qual é o status do SOC 2?

A auditoria SOC 2 Type II está em andamento com previsão para o 2º semestre de 2026. ISO 27001 foi alcançado. Compartilhamos evidências do Type 1 sob NDA para clientes que precisam antes que o relatório Type 2 seja publicado. O Trust Center em /trust acompanha o estado atual. Não reivindicaremos o Type II até que o período de auditoria seja encerrado.

Como funcionam as funções personalizadas — posso restringir uma equipe a somente leitura em um domínio específico?

Sim. As funções personalizadas definem políticas baseadas em Cedar que podem escopar permissões a domínios específicos, pastas específicas ou operações específicas (criar/ler/atualizar/deletar). Uma função que permite a criação de links somente em um domínio personalizado específico e acesso somente leitura a analytics é uma política válida. As funções são por workspace; um usuário pode ter funções diferentes em workspaces diferentes. A avaliação de política ocorre em tempo de requisição, não no login.

Existe uma opção de edge dedicado para clientes Business?

O tier Business usa os POPs de edge compartilhados do Elido (Frankfurt, Ashburn, Cingapura). Um edge dedicado — sua própria frota de nós de redirecionamento, com tráfego isolado de outros inquilinos — é uma conversa para Enterprise. Entre em contato com sales@elido.app. Alternativamente, o Helm chart self-host permite executar a camada de redirecionamento no seu próprio VPC, o que é um padrão comum para clientes Enterprise com requisitos rígidos de isolamento de tráfego.

Qual é o SLA de notificação de violação?

Notificação ao cliente em 24 horas para violações de dados pessoais confirmadas; notificação ao regulador em 72 horas (GDPR Art. 33). A notificação cobre o que sabemos naquele momento — não aguardamos a perícia forense completa. O processo está em /trust/incident-response.