Elido
Все, что делает Elido
Business

SSO и SCIM. Корпоративная идентификация, без трения.

SAML / OIDC вход через любого крупного IdP. Синхронизация каталогов SCIM автоматически предоставляет и отзывает пользователей. Секреты вебхуков меняются без потери состояния.

Начать бесплатноПрочитать руководство по SCIM и SSO
  • SAML / OIDC с более чем 20 провайдерами идентификации
  • SCIM-синхронизация каталога - автоматическое создание и удаление пользователей
  • Ротация секретов вебхуков без простоев
  • Полный аудит-журнал для комплаенса
Поток входа SSO
SAML 2.0
Пользовательнажимает входIdPOOktaSAML 2.0 · SCIM 2.0AAzure ADEntra ID · OIDCGoogle WSSAML · OIDCSAMLWorkOSSSO-брокерSCIM-релейElidoпанельсессия ✓
Email-домен → маршрутизация IdP20+ подключений IdP
20+
IdP-подключений через WorkOS
<60с
Задержка SCIM-provisioning пользователей
Zero-touch
Offboarding - деактивация в IdP = отзыв прав в Elido
HMAC-SHA256
Подпись секретов Webhook

SCIM-синхронизация каталога

Создание и удаление пользователей менее чем за 60 секунд

Подключите каталог IdP один раз. Каждый найм, перевод и увольнение распространяется в Elido автоматически - без заявок в IT, ручных приглашений и забытых пробелов в офбординге.

  • Автоматическое подключение
    SCIM CREATE из Okta или Entra → аккаунт в Elido менее чем за 60 секунд
  • Сопоставление групп и ролей
    Группы IdP сопоставляются с ролями Elido; изменения применяются при следующей синхронизации
  • Мгновенное отключение
    SCIM DELETE или active: false → сессии немедленно отзываются
  • Блокировка API-ключей
    Все API-ключи пользователя приостанавливаются при увольнении - никакого доступа после ухода
Синхронизация каталога
SCIM 2.0
Каталог Okta
  • A
    Ana Kovač
    Admin
  • B
    Ben Carter
    Member
  • C
    Carla Mora
    Member
  • D
    Dmitri Volkov
    Viewer
  • E
    Erika Salo
    Member
SCIM
Рабочее пространство Elido
  • A
    Ana Kovač
    Admin
  • B
    Ben Carter
    Member
  • C
    Carla Mora
    Member
  • D
    Dmitri Volkov
    Viewer
  • E
    Erika Salo
    отключён
Синхронизация активна< 60 с задержка синхронизации

Провайдеры идентификации

Работает с любым крупным IdP

Elido использует WorkOS как брокер SSO и SCIM - более 20 готовых подключений плюс Generic SAML для любого SP-инициированного потока. Настройте приложение Elido в своём IdP один раз; Elido сгенерирует SAML metadata XML или OIDC-учётные данные.

Более 20 IdP через WorkOS
Ok
Okta
SAML · SCIM
Az
Azure AD
SAML · OIDC
G
Google WS
SAML · OIDC
OL
OneLogin
SAML · SCIM
JC
JumpCloud
SAML · SCIM
Pi
PingIdentity
SAML 2.0
A0
Auth0
OIDC
SP
Generic SAML
SAML 2.0

Любой IdP с поддержкой SAML 2.0 работает через Generic SAML. Смотреть руководство по настройке →

Аудит-журнал
ВсеСобытия SSOСобытия SCIM
СобытиеАкторIPВремя
  • Пользователь создан через SCIMokta-scim-svc10.0.1.409:12:04
  • Вход SSO - Okta[email protected]91.223.4.1709:14:31
  • Вход SSO - Azure AD[email protected]185.46.9.209:17:08
  • Секрет вебхука обновлён[email protected]77.123.11.510:05:22
  • Пользователь удалён через SCIMokta-scim-svc10.0.1.414:33:51
  • Роль изменена: Member → Admin[email protected]77.123.11.515:01:09
Показано 6 событий · журнал append-onlyЭкспорт CSV

Аудит-журнал

Неизменяемый журнал событий идентификации

Каждый вход через SSO, провизионинг SCIM, изменение роли и ротация секрета записываются в режиме append-only. Ни один администратор не может удалить записи. Экспортируйте в CSV или передавайте в свой SIEM через API.

  • Время, актор, действие, цель и подключение IdP для каждого события
  • 12 месяцев хранения на Business; больше - по запросу
  • Экспорт через API для доказательств SOC 2, ISO 27001, DORA и NIS2
  • Неудачные попытки SSO логируются с кодом причины
  • Оповещения по IP при превышении порога SSO-зондирования
  • Ротации секретов ссылаются на окно перекрытия в журнале
Деактивация в IdP → доступ в Elido отзывается за менее чем 60 секунд

Что вы можете делать

  • Okta, Azure AD / Entra, Google Workspace
  • Сопоставление домена электронной почты → подключение
  • SCIM создание / обновление / удаление пользователя
  • Проверка подписи вебхука (HMAC-SHA256)

Что на самом деле требуется от корпоративных SSO и SCIM в продакшене

SAML-редирект - это базовый минимум. Ниже описаны детали задержки provisioning, маппинг ролей, ротация секретов и сценарии сбоев, критичные для команд безопасности.

Вход через SSO
01

Вход через SAML 2.0 и OIDC через WorkOS - маршрутизация по домену почты на нужный IdP

Elido использует WorkOS в качестве SSO-брокера, поддерживающего более 20 IdP-подключений, включая Okta, Azure AD / Entra ID, Google Workspace, OneLogin, PingFederate и любые SAML 2.0-совместимые IdP. Ваша IT-команда один раз настраивает приложение Elido в вашем IdP; Elido генерирует XML с метаданными SAML или учетные данные OIDC для мастера настройки IdP. Маршрутизация по домену почты сопоставляет домены пользователей с нужным IdP-подключением - пользователи с @yourcompany.com автоматически направляются на ваше подключение Okta без необходимости выбирать его вручную. Несколько доменов могут быть привязаны к одному подключению (для компаний с несколькими юрлицами или доменами). JIT-provisioning создает аккаунт в Elido при первом входе через SSO, если SCIM не используется; если SCIM активен, JIT отключается, и аккаунт должен быть подготовлен через SCIM до первого входа.

SCIM-provisioning
02

Синхронизация директорий SCIM 2.0: автоматический provisioning, deprovisioning и маппинг групп на роли

SCIM 2.0 синхронизирует директорию пользователей вашего поставщика удостоверений (IdP) с Elido. Когда пользователь добавляется в группу приложения Elido в Okta или Entra, Elido получает событие SCIM CREATE и создает учетную запись - без IT-тикетов и ручных приглашений. Обновления профиля (имя, email) распространяются автоматически. При удалении пользователя из группы или его деактивации в IdP, Elido получает событие SCIM DELETE или PATCH (active: false) и немедленно отзывает доступ - активные сессии аннулируются, API-ключи пользователя приостанавливаются. Маппинг групп на роли позволяет сопоставить группы в IdP (например, 'Elido Admins', 'Elido Viewers') с ролями в Elido (Admin, Member, Viewer). Назначение ролей обновляется автоматически при изменении состава групп в IdP. Задержка от события в IdP до создания аккаунта в Elido обычно составляет менее 60 секунд.

Ротация секретов
03

Секреты подписи Webhook ротируются без потери событий в очереди - процедура ротации без простоя

Приемник SCIM-webhook в Elido и система исходящих webhook используют подписи HMAC-SHA256 для проверки подлинности событий. Секреты устаревают и требуют ротации - либо по расписанию (рекомендуется каждые 90 дней), либо после подозрения на компрометацию. Ротация без простоев работает так: создайте новый секрет в панели управления (старый остается валидным в течение 15 минут), разверните новый секрет в ваших системах, убедитесь, что входящее событие SCIM верифицировано новым секретом, затем инициируйте немедленное истечение срока действия старого. 15-минутное окно перекрытия гарантирует, что события, подписанные старым секретом, все еще будут обработаны во время деплоя. Ротация секретов фиксируется в журнале аудита с указанием времени, исполнителя (администратора) и подтверждением истечения окна перекрытия.

Журнал аудита
04

Полный лог событий идентификации: входы через SSO, события provisioning, изменения ролей и ротации секретов

Каждый вход через SSO, событие SCIM provision/deprovision, изменение роли и ротация секрета записываются в журнал аудита рабочего пространства (Business). Каждая запись содержит: метку времени, исполнителя (пользователь или сервис SCIM), тип действия, цель (затронутый пользователь или ресурс), использованное IdP-подключение и ID рабочего пространства. Журнал аудита доступен только для чтения и неизменяем - ни один администратор не может удалить записи. Экспорт в CSV или запрос через API для интеграции с SIEM. Если ваш фреймворк комплаенса требует подтверждения контроля доступа (SOC 2 Type II, ISO 27001, DORA, NIS2), журнал аудита является основным артефактом. Срок хранения - 12 месяцев на тарифе Business; более длительное хранение доступно по запросу для регулируемых отраслей.

Управление сессиями
05

Принудительное завершение сессий через SCIM - отзыв доступа менее чем за 60 секунд при деактивации в IdP

Когда SCIM сигнализирует о деактивации пользователя (увольнение сотрудника, окончание контракта), Elido немедленно аннулирует все активные сессии этого пользователя и приостанавливает его API-ключи. Это не зависит от TTL сессионных кук - Elido хранит флаг отзыва для каждого ID пользователя и проверяет его при каждом аутентифицированном запросе. Время от деактивации в IdP до отзыва доступа в Elido - это задержка доставки события SCIM: обычно менее 30 секунд для Okta и менее 60 секунд для Azure Entra. Для критических случаев (например, увольнение админа) администратор Elido может вручную отозвать сессии конкретного пользователя в панели управления до прихода события SCIM. Сессии, отозванные вручную и через SCIM, фиксируются в журнале аудита.

Команды корпоративной безопасности, использующие SSO и SCIM в Elido

Имена являются заполнителями - реальные кейсы клиентов будут опубликованы здесь по мере готовности.

SCIM-offboarding был требованием нашей команды безопасности с первого дня. Когда сотрудник деактивируется в Entra, доступ к Elido прекращается менее чем за минуту - никаких ручных заявок на деактивацию и риска забыть закрыть доступ. Мы провели аудит логов через три месяца и не обнаружили ни одного входа после увольнения.

I
IT-безопасность, логистическая компания, 1200 сотрудников, Гамбург
Менеджер по IT-безопасности

У нас пять почтовых доменов после двух поглощений. Маршрутизация по домену в Elido позволяет всем пяти доменам указывать на одно и то же подключение Okta. Пользователи из любого домена попадают в нужный флоу SSO без необходимости выбора из списка.

E
Enterprise IT, SaaS-стартап, 400 сотрудников, Амстердам
Старший IT-инженер

Ротация секретов без простоев - это та деталь, которая нас убедила. По регламенту мы ротируем секреты webhook ежеквартально; 15-минутное окно перекрытия позволяет делать это в рабочее время без риска инцидентов. Каждая ротация логируется и подшивается в наш пакет доказательств для SOC 2.

S
Security-инжиниринг, финтех, Дублин
Инженер по безопасности

SSO и SCIM в Elido vs Bitly vs Rebrandly

SSO доступен на тарифе Enterprise в Bitly и тарифе Business в Rebrandly. SCIM-provisioning у обоих более ограничен. Сравнение показывает, что вы получаете на самом деле.

FeatureElidoBitly EnterpriseRebrandly Business
SAML 2.0 SSOДа - брокер WorkOS, 20+ IdP-подключенийДа - тариф EnterpriseДа - тариф Business
OIDC SSOДа - наряду с SAML через WorkOSТолько SAMLТолько SAML
SCIM 2.0 provisioningПолный цикл (create/update/delete) + маппинг групп на ролиОграничено - только создание, без маппинга группНедоступно
Авто-deprovisioning при увольненииДа - SCIM DELETE, отзыв сессии < 60сТолько вручнуюТолько вручную
Маршрутизация по домену почтыДа - несколько доменов на одно подключениеОдин домен на подключениеНе задокументировано
Журнал аудита событий идентификацииДа - неизменяемый, 12 месяцев, экспорт через APIОграниченный лог аудитаОграниченный лог аудита
Ротация секретов Webhook (без простоя)Да - 15-минутное окно перекрытияНе применимоНе применимо

Вопросы по SSO и SCIM

Какие поставщики удостоверений (IdP) поддерживаются?

Elido использует WorkOS в качестве брокера SSO и SCIM, который поддерживает Okta, Azure AD / Entra ID, Google Workspace, OneLogin, PingFederate, Shibboleth, ADFS, JumpCloud и любые SAML 2.0-совместимые IdP. Подключения OIDC также поддерживаются для таких провайдеров, как Google Workspace и Azure. Если вашего IdP нет в стандартном списке WorkOS, тип подключения 'Generic SAML' работает с любым SAML 2.0 SP-initiated потоком. Свяжитесь с нами, если вам нужно специфическое IdP-подключение, не указанное в списке.

В чем разница между JIT-provisioning и SCIM-provisioning?

JIT (Just-in-Time) provisioning создает учетную запись пользователя в Elido при его первом входе через SSO - предварительная подготовка не требуется. Это проще в настройке, но не дает контроля над тем, кто может войти (любой с валидным SSO-утверждением получает аккаунт). SCIM-provisioning дает контроль вашему IdP: войти могут только пользователи из подготовленной группы, а аккаунты создаются до первого входа. Для корпоративных сред, где доступ должен быть предварительно одобрен, требуется SCIM. Когда SCIM активен, JIT-provisioning отключается.

Как работает маппинг групп на роли в SCIM?

В настройках SSO рабочего пространства вы сопоставляете группы вашего IdP с ролями Elido: например, 'Группа Okta: Elido Admins' → 'Роль Elido: Admin', 'Группа Okta: Elido Members' → 'Роль Elido: Member'. Роль пользователя в Elido следует за его членством в группах IdP - если его переведут из группы Admins в группу Members в Okta, его роль в Elido будет понижена при следующей синхронизации SCIM (обычно менее 60 секунд). Если пользователь состоит в нескольких группах, он получает роль с максимальными привилегиями из соответствующих маппингов.

Можно ли сделать SSO обязательным для всех или это опционально?

SSO может быть настроен как принудительный (все пользователи должны входить через SSO - вход по паролю отключен) или опциональный (пользователи могут выбирать между SSO и email+пароль). На тарифе Business принудительное использование настраивается в параметрах SSO рабочего пространства. После включения пользователи без активной SSO-идентификации будут заблокированы - убедитесь, что аккаунты созданы через SCIM или JIT перед активацией. Учетные записи администраторов могут быть исключены из принудительного SSO в качестве механизма экстренного доступа; это настраивается.

Что происходит с API-ключами, когда пользователь уволен через SCIM?

Когда SCIM деактивирует пользователя, Elido приостанавливает действие всех API-ключей, созданных этим пользователем. Приостановленные ключи возвращают HTTP 401 при аутентификации. Ключи не удаляются - они остаются видимыми для администраторов рабочего пространства для аудита со статусом 'suspended - offboarded user'. Если личный API-ключ использовался сервисной учетной записью (а не специальный ключ сервиса рабочего пространства), интеграция сломается - это сделано намеренно. Для продакшен-интеграций используйте сервисные ключи уровня рабочего пространства, а не личные API-ключи пользователей.

Доступен ли SSO на тарифе Pro или только на Business?

SSO и SCIM - это функции только тарифа Business. В рабочих пространствах Pro используется встроенная аутентификация Elido (email + пароль через наш уровень аутентификации, опционально Google/GitHub OAuth). Если SSO является обязательным требованием для вашей закупки, тариф Business - это отправная точка. Свяжитесь с отделом продаж для получения пробного периода Business, если вам нужно оценить SSO перед покупкой.

Как настроить SSO для рабочего пространства с несколькими брендами или подразделениями?

Каждое рабочее пространство Elido имеет собственную конфигурацию SSO - если у вас несколько рабочих пространств (например, по брендам или бизнес-юнитам), каждое получает свое IdP-подключение и SCIM-provisioning отдельно. Пользователи могут быть участниками нескольких рабочих пространств с разными ролями в каждом; их SSO-идентификатор остается прежним, но маппинг групп на роли вычисляется для каждого рабочего пространства. Одна и та же группа Okta может давать роль Admin в одном пространстве и Member в другом.

Есть ли журнал аудита для неудачных попыток входа через SSO?

Да. Неудачные попытки SSO (невалидное утверждение SAML, истекшая сессия, отсутствие SCIM-аккаунта при отключенном JIT) записываются в журнал аудита рабочего пространства с указанием кода причины. Это полезно для диагностики проблем со входом конкретных пользователей и обнаружения попыток подбора SSO. Неудачные попытки с IP-адресов, превышающих порог, вызывают оповещение (настраивается в параметрах безопасности рабочего пространства).

Читать дальше

White-label

SSO для White-label портала - ваши клиенты входят в ваш брендированный дашборд через свой IdP.

Вебхуки

Исходящие вебхуки с подписью HMAC - тот же паттерн ротации секретов применяется к подписям исходящих вебхуков.

API и SDK

Сервисные ключи рабочего пространства для продакшен-интеграций - привязаны к пространству, а не к отдельным пользователям.

Для бизнеса

SOC 2, ISO 27001, хранение данных в ЕС и выделенные узлы - полный стек корпоративных функций.

Готовы попробовать?

Начните с бесплатного тарифа, перейдите на платный, когда вам понадобится пользовательский домен.

Начать бесплатноПосмотреть цены