Elido
Все, что делает Elido
Business

SSO и SCIM. Enterprise identity, zero friction.

SAML / OIDC вход через любого крупного IdP. Синхронизация каталогов SCIM автоматически предоставляет и отзывает пользователей. Секреты вебхуков меняются без потери состояния.

Start freeПрочитать руководство по SCIM и SSO
  • SAML / OIDC against 20+ identity providers
  • SCIM directory sync — provision and deprovision automatically
  • Webhook secret rotation without downtime
  • Full audit trail for compliance
SSO sign-in flow
SAML 2.0
Userclicks sign inIdPOOktaSAML 2.0 · SCIM 2.0AAzure ADEntra ID · OIDCGoogle WSSAML · OIDCSAMLWorkOSSSO brokerSCIM relayElidodashboardsession ✓
Email-domain → IdP routing20+ IdP connections
20+
IdP-подключений через WorkOS
<60с
Задержка SCIM-provisioning пользователей
Zero-touch
Offboarding — деактивация в IdP = отзыв прав в Elido
HMAC-SHA256
Подпись секретов Webhook

SCIM directory sync

Provision and deprovision in under 60 seconds

Connect your IdP directory once. Every hire, transfer, and departure propagates to Elido automatically — no IT ticket, no manual invite, no forgotten offboarding gap.

  • Auto-provisioning
    SCIM CREATE from Okta or Entra → Elido account in under 60s
  • Group-to-role mapping
    IdP groups map to Elido roles; changes propagate on next sync
  • Instant deprovisioning
    SCIM DELETE or active: false → sessions revoked immediately
  • API key suspension
    All user API keys suspended on offboarding — no access-after-departure gap
Directory sync
SCIM 2.0
Okta directory
  • A
    Ana Kovač
    Admin
  • B
    Ben Carter
    Member
  • C
    Carla Mora
    Member
  • D
    Dmitri Volkov
    Viewer
  • E
    Erika Salo
    Member
SCIM
Elido workspace
  • A
    Ana Kovač
    Admin
  • B
    Ben Carter
    Member
  • C
    Carla Mora
    Member
  • D
    Dmitri Volkov
    Viewer
  • E
    Erika Salo
    deprovisioned
Live sync active< 60s sync latency

Identity providers

Works with every major IdP

Elido uses WorkOS as the SSO and SCIM broker — 20+ connections out of the box, plus Generic SAML for any SP-initiated flow. Configure the Elido application in your IdP once; Elido generates the SAML metadata XML or OIDC credentials.

20+ IdPs via WorkOS
Ok
Okta
SAML · SCIM
Az
Azure AD
SAML · OIDC
G
Google WS
SAML · OIDC
OL
OneLogin
SAML · SCIM
JC
JumpCloud
SAML · SCIM
Pi
PingIdentity
SAML 2.0
A0
Auth0
OIDC
SP
Generic SAML
SAML 2.0

Any SAML 2.0-compliant IdP works via Generic SAML. See the setup guide →

Audit trail
AllSSO eventsSCIM events
EventActorIPTime
  • User provisioned via SCIMokta-scim-svc10.0.1.409:12:04
  • SSO login — Oktaana@corp.com91.223.4.1709:14:31
  • SSO login — Azure ADben@corp.com185.46.9.209:17:08
  • Webhook secret rotatedadmin@corp.com77.123.11.510:05:22
  • User deprovisioned via SCIMokta-scim-svc10.0.1.414:33:51
  • Role changed: Member → Adminadmin@corp.com77.123.11.515:01:09
6 events shown · append-only logExport CSV

Audit trail

Immutable identity event log

Every SSO login, SCIM provision, role change, and secret rotation is logged append-only. No admin can delete entries. Export to CSV or stream to your SIEM via API.

  • Timestamp, actor, action, target, and IdP connection per event
  • 12-month retention on Business; longer available on request
  • API export for SOC 2, ISO 27001, DORA, and NIS2 evidence
  • Failed SSO attempts logged with reason code
  • IP-based alerting for SSO probing threshold
  • Secret rotations reference the overlap window in the log
Deactivation in IdP → access revoked in Elido in under 60 seconds

What you can do

  • Okta, Azure AD / Entra, Google Workspace
  • Сопоставление домена электронной почты → подключение
  • SCIM создание / обновление / удаление пользователя
  • Проверка подписи вебхука (HMAC-SHA256)

Что на самом деле требуется от корпоративных SSO и SCIM в продакшене

SAML-редирект — это базовый минимум. Ниже описаны детали задержки provisioning, маппинг ролей, ротация секретов и сценарии сбоев, критичные для команд безопасности.

Вход через SSO
01

Вход через SAML 2.0 и OIDC через WorkOS — маршрутизация по домену почты на нужный IdP

Elido использует WorkOS в качестве SSO-брокера, поддерживающего более 20 IdP-подключений, включая Okta, Azure AD / Entra ID, Google Workspace, OneLogin, PingFederate и любые SAML 2.0-совместимые IdP. Ваша IT-команда один раз настраивает приложение Elido в вашем IdP; Elido генерирует XML с метаданными SAML или учетные данные OIDC для мастера настройки IdP. Маршрутизация по домену почты сопоставляет домены пользователей с нужным IdP-подключением — пользователи с @yourcompany.com автоматически направляются на ваше подключение Okta без необходимости выбирать его вручную. Несколько доменов могут быть привязаны к одному подключению (для компаний с несколькими юрлицами или доменами). JIT-provisioning создает аккаунт в Elido при первом входе через SSO, если SCIM не используется; если SCIM активен, JIT отключается, и аккаунт должен быть подготовлен через SCIM до первого входа.

SCIM-provisioning
02

Синхронизация директорий SCIM 2.0: автоматический provisioning, deprovisioning и маппинг групп на роли

SCIM 2.0 синхронизирует директорию пользователей вашего поставщика удостоверений (IdP) с Elido. Когда пользователь добавляется в группу приложения Elido в Okta или Entra, Elido получает событие SCIM CREATE и создает учетную запись — без IT-тикетов и ручных приглашений. Обновления профиля (имя, email) распространяются автоматически. При удалении пользователя из группы или его деактивации в IdP, Elido получает событие SCIM DELETE или PATCH (active: false) и немедленно отзывает доступ — активные сессии аннулируются, API-ключи пользователя приостанавливаются. Маппинг групп на роли позволяет сопоставить группы в IdP (например, 'Elido Admins', 'Elido Viewers') с ролями в Elido (Admin, Member, Viewer). Назначение ролей обновляется автоматически при изменении состава групп в IdP. Задержка от события в IdP до создания аккаунта в Elido обычно составляет менее 60 секунд.

Ротация секретов
03

Секреты подписи Webhook ротируются без потери событий в очереди — процедура ротации без простоя

Приемник SCIM-webhook в Elido и система исходящих webhook используют подписи HMAC-SHA256 для проверки подлинности событий. Секреты устаревают и требуют ротации — либо по расписанию (рекомендуется каждые 90 дней), либо после подозрения на компрометацию. Ротация без простоев работает так: создайте новый секрет в панели управления (старый остается валидным в течение 15 минут), разверните новый секрет в ваших системах, убедитесь, что входящее событие SCIM верифицировано новым секретом, затем инициируйте немедленное истечение срока действия старого. 15-минутное окно перекрытия гарантирует, что события, подписанные старым секретом, все еще будут обработаны во время деплоя. Ротация секретов фиксируется в журнале аудита с указанием времени, исполнителя (администратора) и подтверждением истечения окна перекрытия.

Журнал аудита
04

Полный лог событий идентификации: входы через SSO, события provisioning, изменения ролей и ротации секретов

Каждый вход через SSO, событие SCIM provision/deprovision, изменение роли и ротация секрета записываются в журнал аудита рабочего пространства (Business). Каждая запись содержит: метку времени, исполнителя (пользователь или сервис SCIM), тип действия, цель (затронутый пользователь или ресурс), использованное IdP-подключение и ID рабочего пространства. Журнал аудита доступен только для чтения и неизменяем — ни один администратор не может удалить записи. Экспорт в CSV или запрос через API для интеграции с SIEM. Если ваш фреймворк комплаенса требует подтверждения контроля доступа (SOC 2 Type II, ISO 27001, DORA, NIS2), журнал аудита является основным артефактом. Срок хранения — 12 месяцев на тарифе Business; более длительное хранение доступно по запросу для регулируемых отраслей.

Управление сессиями
05

Принудительное завершение сессий через SCIM — отзыв доступа менее чем за 60 секунд при деактивации в IdP

Когда SCIM сигнализирует о деактивации пользователя (увольнение сотрудника, окончание контракта), Elido немедленно аннулирует все активные сессии этого пользователя и приостанавливает его API-ключи. Это не зависит от TTL сессионных кук — Elido хранит флаг отзыва для каждого ID пользователя и проверяет его при каждом аутентифицированном запросе. Время от деактивации в IdP до отзыва доступа в Elido — это задержка доставки события SCIM: обычно менее 30 секунд для Okta и менее 60 секунд для Azure Entra. Для критических случаев (например, увольнение админа) администратор Elido может вручную отозвать сессии конкретного пользователя в панели управления до прихода события SCIM. Сессии, отозванные вручную и через SCIM, фиксируются в журнале аудита.

Команды корпоративной безопасности, использующие SSO и SCIM в Elido

Имена являются заполнителями — реальные кейсы клиентов будут опубликованы здесь по мере готовности.

SCIM-offboarding был требованием нашей команды безопасности с первого дня. Когда сотрудник деактивируется в Entra, доступ к Elido прекращается менее чем за минуту — никаких ручных заявок на деактивацию и риска забыть закрыть доступ. Мы провели аудит логов через три месяца и не обнаружили ни одного входа после увольнения.

I
IT-безопасность, логистическая компания, 1200 сотрудников, Гамбург
Менеджер по IT-безопасности

У нас пять почтовых доменов после двух поглощений. Маршрутизация по домену в Elido позволяет всем пяти доменам указывать на одно и то же подключение Okta. Пользователи из любого домена попадают в нужный флоу SSO без необходимости выбора из списка.

E
Enterprise IT, SaaS-стартап, 400 сотрудников, Амстердам
Старший IT-инженер

Ротация секретов без простоев — это та деталь, которая нас убедила. По регламенту мы ротируем секреты webhook ежеквартально; 15-минутное окно перекрытия позволяет делать это в рабочее время без риска инцидентов. Каждая ротация логируется и подшивается в наш пакет доказательств для SOC 2.

S
Security-инжиниринг, финтех, Дублин
Инженер по безопасности

SSO и SCIM в Elido vs Bitly vs Rebrandly

SSO доступен на тарифе Enterprise в Bitly и тарифе Business в Rebrandly. SCIM-provisioning у обоих более ограничен. Сравнение показывает, что вы получаете на самом деле.

FeatureElidoBitly EnterpriseRebrandly Business
SAML 2.0 SSOДа — брокер WorkOS, 20+ IdP-подключенийДа — тариф EnterpriseДа — тариф Business
OIDC SSOДа — наряду с SAML через WorkOSТолько SAMLТолько SAML
SCIM 2.0 provisioningПолный цикл (create/update/delete) + маппинг групп на ролиОграничено — только создание, без маппинга группНедоступно
Авто-deprovisioning при увольненииДа — SCIM DELETE, отзыв сессии < 60сТолько вручнуюТолько вручную
Маршрутизация по домену почтыДа — несколько доменов на одно подключениеОдин домен на подключениеНе задокументировано
Журнал аудита событий идентификацииДа — неизменяемый, 12 месяцев, экспорт через APIОграниченный лог аудитаОграниченный лог аудита
Ротация секретов Webhook (без простоя)Да — 15-минутное окно перекрытияНе применимоНе применимо

Вопросы по SSO и SCIM

Какие поставщики удостоверений (IdP) поддерживаются?

Elido использует WorkOS в качестве брокера SSO и SCIM, который поддерживает Okta, Azure AD / Entra ID, Google Workspace, OneLogin, PingFederate, Shibboleth, ADFS, JumpCloud и любые SAML 2.0-совместимые IdP. Подключения OIDC также поддерживаются для таких провайдеров, как Google Workspace и Azure. Если вашего IdP нет в стандартном списке WorkOS, тип подключения 'Generic SAML' работает с любым SAML 2.0 SP-initiated потоком. Свяжитесь с нами, если вам нужно специфическое IdP-подключение, не указанное в списке.

В чем разница между JIT-provisioning и SCIM-provisioning?

JIT (Just-in-Time) provisioning создает учетную запись пользователя в Elido при его первом входе через SSO — предварительная подготовка не требуется. Это проще в настройке, но не дает контроля над тем, кто может войти (любой с валидным SSO-утверждением получает аккаунт). SCIM-provisioning дает контроль вашему IdP: войти могут только пользователи из подготовленной группы, а аккаунты создаются до первого входа. Для корпоративных сред, где доступ должен быть предварительно одобрен, требуется SCIM. Когда SCIM активен, JIT-provisioning отключается.

Как работает маппинг групп на роли в SCIM?

В настройках SSO рабочего пространства вы сопоставляете группы вашего IdP с ролями Elido: например, 'Группа Okta: Elido Admins' → 'Роль Elido: Admin', 'Группа Okta: Elido Members' → 'Роль Elido: Member'. Роль пользователя в Elido следует за его членством в группах IdP — если его переведут из группы Admins в группу Members в Okta, его роль в Elido будет понижена при следующей синхронизации SCIM (обычно менее 60 секунд). Если пользователь состоит в нескольких группах, он получает роль с максимальными привилегиями из соответствующих маппингов.

Можно ли сделать SSO обязательным для всех или это опционально?

SSO может быть настроен как принудительный (все пользователи должны входить через SSO — вход по паролю отключен) или опциональный (пользователи могут выбирать между SSO и email+пароль). На тарифе Business принудительное использование настраивается в параметрах SSO рабочего пространства. После включения пользователи без активной SSO-идентификации будут заблокированы — убедитесь, что аккаунты созданы через SCIM или JIT перед активацией. Учетные записи администраторов могут быть исключены из принудительного SSO в качестве механизма экстренного доступа; это настраивается.

Что происходит с API-ключами, когда пользователь уволен через SCIM?

Когда SCIM деактивирует пользователя, Elido приостанавливает действие всех API-ключей, созданных этим пользователем. Приостановленные ключи возвращают HTTP 401 при аутентификации. Ключи не удаляются — они остаются видимыми для администраторов рабочего пространства для аудита со статусом 'suspended — offboarded user'. Если личный API-ключ использовался сервисной учетной записью (а не специальный ключ сервиса рабочего пространства), интеграция сломается — это сделано намеренно. Для продакшен-интеграций используйте сервисные ключи уровня рабочего пространства, а не личные API-ключи пользователей.

Доступен ли SSO на тарифе Pro или только на Business?

SSO и SCIM — это функции только тарифа Business. В рабочих пространствах Pro используется встроенная аутентификация Elido (email + пароль через Ory Kratos, опционально Google/GitHub OAuth). Если SSO является обязательным требованием для вашей закупки, тариф Business — это отправная точка. Свяжитесь с отделом продаж для получения пробного периода Business, если вам нужно оценить SSO перед покупкой.

Как настроить SSO для рабочего пространства с несколькими брендами или подразделениями?

Каждое рабочее пространство Elido имеет собственную конфигурацию SSO — если у вас несколько рабочих пространств (например, по брендам или бизнес-юнитам), каждое получает свое IdP-подключение и SCIM-provisioning отдельно. Пользователи могут быть участниками нескольких рабочих пространств с разными ролями в каждом; их SSO-идентификатор остается прежним, но маппинг групп на роли вычисляется для каждого рабочего пространства. Одна и та же группа Okta может давать роль Admin в одном пространстве и Member в другом.

Есть ли журнал аудита для неудачных попыток входа через SSO?

Да. Неудачные попытки SSO (невалидное утверждение SAML, истекшая сессия, отсутствие SCIM-аккаунта при отключенном JIT) записываются в журнал аудита рабочего пространства с указанием кода причины. Это полезно для диагностики проблем со входом конкретных пользователей и обнаружения попыток подбора SSO. Неудачные попытки с IP-адресов, превышающих порог, вызывают оповещение (настраивается в параметрах безопасности рабочего пространства).

Keep reading

White-label

SSO для White-label портала — ваши клиенты входят в ваш брендированный дашборд через свой IdP.

Вебхуки

Исходящие вебхуки с подписью HMAC — тот же паттерн ротации секретов применяется к подписям исходящих вебхуков.

API и SDK

Сервисные ключи рабочего пространства для продакшен-интеграций — привязаны к пространству, а не к отдельным пользователям.

Для бизнеса

SOC 2, ISO 27001, хранение данных в ЕС и выделенные узлы — полный стек корпоративных функций.

Готовы попробовать?

Начните с бесплатного тарифа, перейдите на платный, когда вам понадобится пользовательский домен.

Начать бесплатноПосмотреть цены
SSO и SCIM — Корпоративный вход и предоставление ресурсов через WorkOS. · Elido