Alege unghiul potrivit pentru echipa ta
Pentru IT enterprise

Shortener-ul pe care echipa ta de securitate nu-l va respinge.

Măsori postura de conformitate, timpul de răspuns la incidente și numărul de chestionare de furnizor pe care le poți supraviețui. Elido este shortener-ul pe care echipa ta de securitate nu-l va respinge.

  • SSO SAML + SCIM prin furnizorul nostru SSO sau nativ - Okta, Entra ID, Google
  • Regiune UE implicită, cu fixare de regiune la nivel de workspace
  • Audit SOC 2 Type II în desfășurare (țintă H2 2026)
  • ISO 27001 obținut; certificat disponibil sub NDA
Workspace residency
EU region · default
EU NorthEU replicaEU regionprimary · defaultEU WestcomputeUS Eastopt-in · Business+Asia-Pacificopt-in · APAC
Default + EU residency
Opt-in (Business+, irreversible)
SAML + OIDC
Protocol SSO
WorkOS
Furnizor SSO/SCIM
7 ani
Retenția auditului (Business)
ISO 27001
Certificare actuală

Cum funcționează SSO

Okta sau Entra ID → SAML → Elido. Douăsprezece minute de la pornirea de la zero.

SSO trece prin WorkOS, care normalizează diferențele de protocol între SAML 2.0 și OIDC, precum și particularitățile per-IdP pe care nimeni nu vrea să le întrețină singur. Echipa ta configurează aplicația SAML o singură dată în IdP-ul lor; Elido preia utilizatorii prin maparea domeniu-email → conexiune.

  1. Step 1

    User signs in

    okta.com / login.microsoftonline.com

    IdP authenticates against the corporate directory.

  2. Step 2

    SAML assertion

    WorkOS connection · domain-routed

    Email-domain → IdP connection mapping, no per-user setup.

  3. Step 3

    Elido session

    edge auth · 200 OK

    Session token issued, scope derived from group claims.

  4. Step 4

    Workspace landing

    app.elido.app/w/your-org

    Role + IP allowlist evaluated; audit row written.

Aprovizionare SCIM

Adaugi un utilizator în Okta. Este în Elido în cinci minute.

Sincronizarea de director SCIM 2.0 aprovizionează și dezaprovizionează automat utilizatorii. Maparea de grup-claim convertește grupurile IdP în roluri de workspace Elido, astfel încât o promovare în sistemul HR se propagă în Elido fără un tichet. Angajații plecați sunt dezaprovizionați în cadrul ciclului de sincronizare SCIM, cu sesiunile active revocate și acțiunea înregistrată.

  • Auto-aprovizionare la adăugarea în grup
    Apartenența la grup IdP → invitație de workspace, fără pas manual
  • Mapare de rol pe baza claim-ului de grup
    engineering-eu → editor, finance → viewer, configurabil
  • Dezaprovizionare = revocarea sesiunii
    Evenimentul DELETE invalidează token-urile; cheile API sunt revocate conform politicii
  • Fiecare eveniment SCIM este auditat
    Jurnal doar-adăugare cu actor, înainte/după, IP sursă
Analiză detaliată SCIM & SSO →
SCIM directory sync
workspace · acme-eu
Live · WorkOS
  1. 1
    User added in Okta

    Joins the elido-eu-engineering directory group as part of HR onboarding.

    okta.comPOST /scim/v2/Users
    T+75s
  2. 2
    WorkOS pushes to Elido

    SCIM sync cycle picks up the create event; no manual invite needed.

    workos.com → elido.appscim.create user@org
    T+150s
  3. 3
    Elido provisions the user

    Account created, workspace invitation surfaced in pending state.

    api-coreuser.id = usr_01HK…
    T+225s
  4. 4
    Group claim → role

    engineering → editor; billing-admins → admin. Mapping is configurable.

    policyrole: editor (workspace.eu)
    T+300s
  5. Deprovision is the same flow in reverse - DELETE event revokes sessions and rotates affected API keys per policy.

Model de autorizare

RBAC bazat pe Cedar, nu o ierarhie fixă cu trei niveluri.

Matricea de mai jos este vizualizarea implicită. Rolurile personalizate îți permit să exprimi lucruri precum „creează linkuri doar pe acest domeniu” sau „doar-citire pe analiză, fără acces la facturare” ca politici Cedar. Rolurile sunt limitate per workspace, astfel încât diferite unități de business pot rula structuri de roluri diferite.

Built-in role permissions
Cedar policies · custom roles override
PermissionOwnerAdminMemberRead-onlyAPI key
Create / edit links
Manage custom domains
View analytics
Manage billing
Invite & manage members
Rotate API keys
Allowed
Scoped - set via Cedar policy
Denied
Policy eval at request time, not at loginaudit · every change

Ce primește, de fapt, IT-ul enterprise

  • SSO SAML + SCIM prin furnizorul nostru SSO sau nativ - Okta, Entra ID, Google
  • Regiune UE implicită, cu fixare de regiune la nivel de workspace
  • Audit SOC 2 Type II în desfășurare (țintă H2 2026)
  • ISO 27001 obținut; certificat disponibil sub NDA
  • BAA pe Business+ pentru sarcini de lucru adiacente HIPAA
  • POP-uri edge dedicate disponibile pentru contracte Enterprise

De ce are nevoie, de fapt, IT-ul enterprise de la un shortener

Shortener-ele de shadow-IT eșuează la achiziții din cauza a trei întrebări: cine are acces, unde sunt datele și dacă pot fi auditate. Funcționalitățile de mai jos sunt cele care închid aceste lacune.

Identitate și aprovizionare
01

SSO SAML prin WorkOS, cu aprovizionare de utilizatori SCIM

SSO se face prin WorkOS, care suportă SAML 2.0 și OIDC împotriva oricărui IdP major: Okta, Azure AD / Entra ID, Google Workspace, OneLogin, Ping și altele. Maparea domeniu-email → conexiune înseamnă că utilizatorii sunt rutați către IdP-ul potrivit fără nicio configurare din partea utilizatorului. Sincronizarea de director SCIM aprovizionează și dezaprovizionează automat utilizatorii: noii angajați adăugați în grupul IdP relevant primesc o invitație de workspace Elido în câteva minute; angajații plecați sunt dezaprovizionați în cadrul ciclului de sincronizare SCIM, fără un tichet manual de offboarding. Grupurile din IdP se mapează pe roluri de workspace Elido; configurezi maparea o singură dată. Modificările de rol din IdP se propagă automat. Aceasta este o integrare gestionată de WorkOS - nu întreținem un conector per IdP; WorkOS normalizează protocoalele, iar Elido consumă un singur endpoint SCIM.

Model de autorizare
02

Roluri personalizate cu RBAC în stil Cedar - dincolo de owner/admin/member

Modelul de roluri al Elido este bazat pe Cedar, ceea ce înseamnă că permisiunile sunt expresii de politică evaluate în momentul cererii, nu o ierarhie fixă cu trei niveluri. Din start primești Owner, Admin, Member și Viewer. Rolurile personalizate îți permit să definești politici precum „poate crea linkuri pe acest domeniu, dar nu poate șterge sau modifica regulile de rutare” sau „acces doar-citire la analiză, dar fără acces la setările de facturare”. Rolurile sunt atribuite per workspace, nu global - o companie enterprise cu mai multe workspace-uri poate avea structuri de roluri diferite per unitate de business. Lista albă de IP-uri (intervale CIDR) este evaluată alături de verificările de rol: un utilizator cu rolul potrivit, dar în afara intervalului de IP permis, este refuzat. Acest lucru este relevant pentru echipele hibride, unde contractorii accesează un subset diferit față de angajații cu normă întreagă.

Audit și SIEM
03

Jurnal de audit doar-adăugare, transmis către SIEM-ul tău în timp real

Fiecare acțiune de workspace - creare, actualizare, ștergere de link; modificare de setări; invitare membru și schimbare de rol; emiterea și rotirea cheii API; revendicare de domeniu personalizat; export - ajunge într-un jurnal de audit doar-adăugare, cu actor, marcă temporală, IP sursă, diferența înainte/după și un tip de eveniment structurat. Jurnalele se păstrează 90 de zile pe Pro și 7 ani pe Business. Firehose-ul SIEM transmite evenimentele prin webhook (semnat HMAC-SHA256) către Splunk, Datadog, ELK sau orice receptor HTTP, în timp real. Jurnalul poate fi interogat în dashboard, dar nu poate fi editat; constrângerea doar-adăugare este impusă la nivelul bazei de date. Poziție de conformitate: jurnalul de audit este dovada principală pentru revizuirile de control al accesului, managementul schimbărilor și răspunsul la incidente. Un meta-eveniment de „curățare prin retenție” este înregistrat când intrările vechi expiră, astfel încât golul în sine este auditabil.

Guvernanța datelor
04

Rezidență în UE, listă albă de IP-uri și export BigQuery pentru cerințele de guvernanță a datelor

Datele workspace-ului sunt fixate implicit în regiunea UE și nu părăsesc niciodată acea regiune, decât dacă un admin setează explicit US East sau Asia-Pacific la crearea workspace-ului - o alegere ireversibilă. Nu există replicare cross-regiune pentru datele active. Lista albă de IP-uri (CIDR) pe Business restricționează accesul la workspace la intervale de egress cunoscute - utilă pentru echipele conectate prin VPN sau cu IP-uri fixe de birou. Exportul BigQuery trimite întregul flux de evenimente de click și jurnal de audit către un set de date BigQuery pe care îl deții, programat sau declanșat. Snowflake și S3 sunt de asemenea suportate. Pentru sarcini de lucru reglementate care necesită ca datele să rămână într-o infrastructură specifică: Helm chart-ul pentru self-host îți permite să rulezi nivelul de redirecționare în propriul tău VPC, stocând evenimentele de click în propria ta stocare de analiză. BAA HIPAA este disponibil pe Business+ - garanțiile tehnice (criptare, jurnal de audit, controale de acces, notificare de breșă) sunt deja implementate; BAA-ul este un înveliș legal peste acestea.

Due diligence pentru furnizori
05

Dovezi de conformitate pre-ambalate: SOC 2, ISO 27001, DPA, sub-procesatori

Întrebări de achiziție pe care Elido le închide fără un fir lung de emailuri: DPA este pre-semnat și descărcabil de la /legal/dpa; lista de sub-procesatori este publică la /legal/subprocessors (5 furnizori, toți cu sediul în UE sau cu opțiune de renunțare disponibilă); ISO 27001 este obținut; SOC 2 Type II este în desfășurare, cu țintă H2 2026. Împărtășim dovezi Type 1 sub NDA pentru clienții care au nevoie de ele înainte ca raportul Type 2 să devină public. Trust Center-ul de la /trust urmărește starea actuală a certificării și actualizările privind istoricul incidentelor. Divulgarea vulnerabilităților se face prin HackerOne (program privat); security.txt se află la calea well-known. Acestea sunt lucruri care există deja, nu un roadmap. Nu vom afirma SOC 2 Type II până când perioada de audit nu se închide - estimat H2 2026.

Stack-ul cu care vei lucra

  • SSO (SAML / OIDC)
  • Aprovizionare SCIM
  • Roluri personalizate (RBAC)
  • Listă albă de IP-uri
  • Jurnal de audit + firehose SIEM
  • Rezidența datelor în UE
  • BAA HIPAA

Ce măsoară echipa ta de securitate

Numărul de sub-procesatori
5, doar UE
Retenția jurnalului de audit
7 ani pe Business
Timp de răspuns DSAR
Sub 30 de zile

Echipe IT enterprise care rulează pe această platformă

Numele sunt deocamdată substituenți - numele reale ale clienților vor apărea aici pe măsură ce studiile de caz sunt publicate.

Sincronizarea SCIM cu Okta și lista albă de IP-uri ne-au închis lista de verificare pentru achiziții din prima revizuire. Transmiterea jurnalului de audit către Splunk a fost detaliul care a liniștit echipa de securitate - au putut vedea că este real, nu doar o bifă de furnizor.

E
Echipă de securitate IT, grup de asigurări, Zürich
IT Security Manager

Aveam nevoie de date rezidente în UE și fără sub-procesatori din SUA după Schrems II. Elido a fost primul shortener care a răspuns la „unde sunt stocate datele?” cu un oraș specific și un număr de sub-procesatori sub 10.

I
IT corporativ, producție mid-market, Düsseldorf
Head of IT Governance

BAA pe Business plus ISO 27001 au închis unghiul HIPAA pentru echipa noastră de produs din SUA. Aprovizionarea SCIM înseamnă că nu a trebuit să atingem onboarding-ul Elido în timpul unei integrări de achiziție de 200 de persoane.

E
Echipă de securitate a platformei, fintech, Dublin
Director of Platform Security

Elido vs Bitly Enterprise vs Bl.ink pentru IT enterprise

Bitly Enterprise și Bl.ink sunt ambele opțiuni de nivel enterprise, cu baze de instalare vechi. Comparația de mai jos se concentrează pe funcționalitățile pe care echipele IT enterprise le evaluează, nu pe afirmațiile de marketing.

CapabilitateElidoBitly EnterpriseBl.ink
Protocol SSOSAML 2.0 + OIDC prin WorkOSSAML 2.0 pe planul EnterpriseSAML 2.0 pe Enterprise
Aprovizionare SCIMBusiness și peste, prin WorkOSDoar pe planul EnterpriseDisponibil pe Enterprise
Roluri personalizate (RBAC)Expresii de politică bazate pe CedarNiveluri de roluri fixeGranular, documentat
Listă albă de IP-uriCIDR, Business+Doar EnterpriseDisponibil
Jurnal de audit → SIEMFirehose webhook în timp realExport zilnic; supliment Enterprise pentru timp realBazat pe API; conectare SIEM manuală
Retenția jurnalului de audit7 ani pe Business1 an standardConfigurabil pe Enterprise
Rezidența datelor în UEImplicit pentru toate planurileOpțional pe EnterpriseDisponibil; nu implicit
Export BigQueryProgramat, Business+NedocumentatBazat pe API; fără export nativ

Întrebări din partea IT-ului enterprise

Ce IdP-uri suportă SSO?

Orice IdP care suportă SAML 2.0 sau OIDC - Okta, Azure AD / Entra ID, Google Workspace, OneLogin, Ping, Rippling și altele. Integrarea se face prin WorkOS, care normalizează diferențele de protocol. Dacă IdP-ul tău vorbește SAML sau OIDC, funcționează. Configurarea este un flux ghidat de WorkOS: configurezi aplicația SAML în IdP-ul tău, lipești URL-ul de metadate în Elido, gata.

Cum funcționează dezaprovizionarea SCIM?

WorkOS gestionează endpoint-ul SCIM 2.0. Când un utilizator este eliminat din grupul relevant din IdP-ul tău, WorkOS trimite un eveniment DELETE către Elido. Elido revocă imediat token-urile de sesiune ale utilizatorului și marchează contul ca inactiv. Cheile API active asociate acelui utilizator nu sunt revocate automat - acesta este un pas separat pe care îl configurezi în setările SCIM, implicit setat la revocare-la-dezaprovizionare. Acțiunea de dezaprovizionare apare în jurnalul de audit în cadrul ciclului de sincronizare SCIM (de obicei sub 5 minute).

Ce acoperă lista albă de IP-uri?

Login-ul în dashboard, cererile API și confirmarea livrării webhook-urilor. Notația CIDR este suportată; intervalele multiple sunt separate prin virgulă. Cererile din afara listei albe returnează un 403, cu un eveniment de audit înregistrat - fără respingeri silențioase. Lista albă de IP-uri este evaluată după autentificare, nu înainte, astfel încât autentificarea eșuată din afara listei albe tot înregistrează încercarea.

Putem obține un BAA pentru conformitate HIPAA?

Da, pe Business+. BAA-ul acoperă rolul Elido ca asociat de business pentru workspace-urile în care PHI ar putea trece prin metadatele linkurilor sau prin analiză. Garanțiile tehnice (criptare la repaus și în tranzit, jurnal de audit, controale de acces, notificare de breșă) sunt deja implementate. Contactează [email protected] pentru șablonul BAA.

Care este statusul SOC 2?

Auditul SOC 2 Type II este în desfășurare, cu țintă H2 2026. ISO 27001 este obținut. Împărtășim dovezi Type 1 sub NDA pentru clienții care au nevoie de ele înainte ca raportul Type 2 să fie publicat. Trust Center-ul de la /trust urmărește starea actuală. Nu vom afirma Type II până când perioada de audit nu se închide.

Cum funcționează rolurile personalizate - pot restricționa o echipă la doar-citire pe un domeniu specific?

Da. Rolurile personalizate definesc politici bazate pe Cedar care pot limita permisiunile la domenii specifice, foldere specifice sau operațiuni specifice (creare/citire/actualizare/ștergere). Un rol care permite crearea de linkuri doar pe un anumit domeniu personalizat și acces doar-citire la analiză este o politică validă. Rolurile sunt per workspace; un utilizator poate avea roluri diferite în workspace-uri diferite. Evaluarea politicii are loc în momentul cererii, nu la autentificare.

Există o opțiune de edge dedicat pentru clienții Business?

Planul Business folosește POP-urile edge partajate ale Elido (regiunea UE, US East, Asia-Pacific). Un edge dedicat - propria ta flotă de noduri de redirecționare, izolată de traficul altor chiriași - este o discuție de nivel Enterprise. Contactează [email protected]. Alternativ, Helm chart-ul pentru self-host îți permite să rulezi nivelul de redirecționare în propriul tău VPC, un tipar obișnuit pentru clienții Enterprise cu cerințe stricte de izolare a traficului.

Care este SLA-ul de notificare a breșelor?

24 de ore pentru notificarea clientului în cazul breșelor confirmate de date personale; 72 de ore pentru notificarea autorității de reglementare (GDPR Art. 33). Notificarea acoperă ce știm în acel moment - nu așteptăm o analiză criminalistică completă. Procesul este la /trust/incident-response.

Nu ești sigur ce unghi ți se potrivește?

Majoritatea echipelor încep dintr-un singur unghi și cresc spre toate cele patru. Echipa noastră de vânzări poate trece prin stack-ul tău specific în 20 de minute.