← Выберите ракурс, который подходит вашей команде

For enterprise IT

The shortener your security team won’t reject.

Вы измеряете позицию соответствия, время реагирования на инциденты и количество анкет поставщиков, которые вы можете выдержать. Elido — это сокращатель, который ваша команда безопасности не отклонит.

Talk to sales Read trust report

SAML SSO + SCIM via WorkOS or native — Okta, Entra ID, Google
eu-central-1 default with workspace-level region pin
SOC 2 Type II audit in progress (H2 2026 target)
ISO 27001 achieved; certificate available under NDA

Workspace residency

eu-central-1 · default

Default + EU residency

Opt-in (Business+, irreversible)

SAML + OIDC

Протокол SSO

WorkOS

Провайдер SSO/SCIM

7 лет

Хранение аудита (Business)

ISO 27001

Текущая сертификация

How SSO works

Okta or Entra ID → SAML → Elido. Twelve minutes from cold start.

SSO routes through WorkOS, which normalises the protocol differences between SAML 2.0 and OIDC and the per-IdP quirks that no one wants to maintain themselves. Your team configures the SAML app once in their IdP; Elido picks up users by email domain → connection mapping.

Step 1
User signs in
okta.com / login.microsoftonline.com
IdP authenticates against the corporate directory.
Step 2
SAML assertion
WorkOS connection · domain-routed
Email-domain → IdP connection mapping, no per-user setup.
Step 3
Elido session
edge auth · 200 OK
Session token issued, scope derived from group claims.
Step 4
Workspace landing
app.elido.app/w/your-org
Role + IP allowlist evaluated; audit row written.

SCIM provisioning

Add a user in Okta. They’re in Elido in five minutes.

SCIM 2.0 directory sync provisions and deprovisions users automatically. Group-claim mapping converts IdP groups into Elido workspace roles, so a promotion in HR’s system rolls into Elido without a ticket. Departing employees are deprovisioned within the SCIM sync cycle, with active sessions revoked and the action logged.

Auto-provision on group add
IdP group membership → workspace invitation, no manual step
Group-claim role mapping
engineering-eu → editor, finance → viewer, configurable
Deprovision = session revoke
DELETE event invalidates tokens; API keys revoked by policy
Every SCIM event is audited
Append-only log with actor, before/after, source IP

SCIM & SSO deep-dive →

SCIM directory sync

workspace · acme-eu

Live · WorkOS

1
User added in Okta
Joins the elido-eu-engineering directory group as part of HR onboarding.
okta.comPOST /scim/v2/Users
T+75s
2
WorkOS pushes to Elido
SCIM sync cycle picks up the create event; no manual invite needed.
workos.com → elido.appscim.create user@org
T+150s
3
Elido provisions the user
Account created, workspace invitation surfaced in pending state.
api-coreuser.id = usr_01HK…
T+225s
4
Group claim → role
engineering → editor; billing-admins → admin. Mapping is configurable.
policyrole: editor (workspace.eu)
T+300s
Deprovision is the same flow in reverse — DELETE event revokes sessions and rotates affected API keys per policy.

Authorization model

Cedar-based RBAC, not a fixed three-tier hierarchy.

The matrix below is the out-of-the-box view. Custom roles let you express things like “create links on this domain only” or “read-only on analytics, no billing access” as Cedar policies. Roles are scoped per workspace, so different business units can run different role structures.

Built-in role permissions

Cedar policies · custom roles override

Permission	Owner	Admin	Member	Read-only	API key
Create / edit links
Manage custom domains
View analytics
Manage billing
Invite & manage members
Rotate API keys

Allowed

Scoped — set via Cedar policy

Denied

Policy eval at request time, not at loginaudit · every change

See security model →Custom roles guide → docs

What enterprise IT actually gets

SAML SSO + SCIM via WorkOS or native — Okta, Entra ID, Google
eu-central-1 default with workspace-level region pin
SOC 2 Type II audit in progress (H2 2026 target)
ISO 27001 achieved; certificate available under NDA
BAA on Business+ for HIPAA-adjacent workloads
Dedicated edge POPs available for Enterprise contracts

Что на самом деле нужно корпоративному IT от сокращателя ссылок

Сокращатели из категории «Shadow-IT» не проходят закупки по трем пунктам: кто имеет доступ, где находятся данные и можем ли мы их проверить. Перечисленные ниже функции закрывают эти пробелы.

Идентификация и инициализация

SAML SSO через WorkOS с инициализацией пользователей по SCIM

SSO реализовано через WorkOS, который поддерживает SAML 2.0 и OIDC для любой крупной IdP: Okta, Azure AD / Entra ID, Google Workspace, OneLogin, Ping и других. Сопоставление «домен почты → соединение» означает, что пользователи направляются к нужной IdP без каких-либо настроек с их стороны. Синхронизация каталогов SCIM автоматически инициализирует и удаляет пользователей: новые сотрудники, добавленные в соответствующую группу IdP, получают приглашение в воркспейс Elido в течение нескольких минут; увольняющиеся сотрудники отключаются в рамках цикла синхронизации SCIM без ручного тикета на офбординг. Группы из IdP сопоставляются с ролями воркспейса Elido; вы настраиваете маппинг один раз. Изменения ролей в IdP распространяются автоматически. Это интеграция на базе WorkOS — мы не поддерживаем коннектор для каждой IdP; WorkOS нормализует протоколы, а Elido использует единую конечную точку SCIM.

Модель авторизации

Кастомные роли с RBAC в стиле Cedar — больше чем просто владелец/админ/участник

Модель ролей Elido основана на Cedar, что означает, что разрешения — это выражения политик, вычисляемые во время запроса, а не фиксированная трехэтапная иерархия. «Из коробки» вы получаете роли: Владелец, Админ, Участник и Наблюдатель. Кастомные роли позволяют определять политики вроде «может создавать ссылки на этом домене, но не может удалять или изменять правила маршрутизации» или «доступ только для чтения к аналитике, но нет доступа к настройкам биллинга». Роли назначаются для каждого воркспейса, а не глобально — корпорация с несколькими воркспейсами может иметь разные структуры ролей для разных бизнес-подразделений. Белый список IP (диапазоны CIDR) оценивается вместе с проверкой ролей: пользователю с правильной ролью, но находящемуся вне разрешенного диапазона IP, будет отказано в доступе. Это актуально для гибридных команд, где подрядчики имеют доступ к другому набору ресурсов, чем штатные сотрудники.

Аудит и SIEM

Журнал аудита с режимом «только добавление», передаваемый в вашу SIEM в реальном времени

Каждое действие в воркспейсе — создание, обновление, удаление ссылки; изменение настроек; приглашение участника и изменение роли; выпуск и ротация API-ключей; привязка кастомного домена; экспорт — попадает в журнал аудита, доступный только для добавления, с указанием актора, временной метки, исходного IP, разницы «до/после» и структурированного типа события. Логи хранятся 90 дней на тарифе Pro и 7 лет на тарифе Business. Поток данных SIEM передает события через вебхук (подписанный HMAC-SHA256) в Splunk, Datadog, ELK или любой HTTP-приемник в реальном времени. Журнал доступен для запросов в панели управления, но не редактируем; ограничение на добавление записей обеспечивается на уровне базы данных. Соответствие требованиям: журнал аудита является основным доказательством при проверке контроля доступа, управлении изменениями и реагировании на инциденты. Мета-событие «очистка по сроку хранения» регистрируется при удалении старых записей, поэтому сам пробел также подлежит аудиту.

Управление данными

Резидентство в ЕС, белый список IP и экспорт в BigQuery для соблюдения требований по управлению данными

Данные воркспейса по умолчанию привязаны к региону ЕС (Франкфурт) и никогда не покидают этот регион, если администратор явно не выберет Ашберн или Сингапур при создании воркспейса — это необратимый выбор. Межрегиональная репликация для горячих данных отсутствует. Белый список IP (CIDR) в тарифе Business ограничивает доступ к воркспейсу известными диапазонами исходящего трафика — это полезно для команд, использующих VPN или фиксированные офисные IP. Экспорт в BigQuery отправляет полный поток событий кликов и журналов аудита в принадлежащий вам набор данных BigQuery по расписанию или по триггеру. Также поддерживаются Snowflake и S3. Для регулируемых рабочих нагрузок, требующих хранения данных в определенной инфраструктуре: Helm-чарт для самостоятельного хостинга позволяет запускать уровень редиректа в вашем собственном VPC, сохраняя события кликов в вашем собственном ClickHouse. BAA для HIPAA доступен на тарифе Business+ — технические меры защиты (шифрование, аудиторский след, контроль доступа, уведомление о взломе) уже настроены; BAA является юридической оболочкой вокруг них.

Проверка поставщика

Готовый пакет доказательств соответствия: SOC 2, ISO 27001, DPA, субобработчики

Вопросы закупок, которые Elido закрывает без долгой переписки по электронной почте: DPA предварительно подписан и доступен для скачивания по адресу /legal/dpa; список субобработчиков открыт на /legal/subprocessors (5 вендоров, все зарегистрированы в ЕС или имеют возможность отказа); сертификация ISO 27001 получена; SOC 2 Type II находится в процессе реализации с плановым завершением во второй половине 2026 года. Мы делимся доказательствами Type 1 под NDA с клиентами, которым они нужны до публикации отчета Type 2. Центр доверия (Trust Center) на /trust отслеживает текущий статус сертификации и обновления истории инцидентов. Раскрытие уязвимостей осуществляется через HackerOne (частная программа); security.txt находится по стандартному пути. Это вещи, которые уже существуют, а не планы на будущее. Мы не будем заявлять о SOC 2 Type II, пока период аудита не будет закрыт — ожидайте во второй половине 2026 года.

Stack you’ll touch

SSO (SAML / OIDC)
Предоставление SCIM
Пользовательские роли (RBAC)
Список разрешенных IP
Журнал аудита + поток SIEM
Резидентство данных в ЕС
HIPAA BAA

Что измеряет ваша команда безопасности

Количество субпроцессоров: 5, только ЕС
Хранение журнала аудита: 7 лет на Business
Время ответа DSAR: Менее 30 дней

Корпоративные IT-команды, использующие Elido

Имена пока являются заглушками — реальные названия компаний появятся здесь по мере публикации кейсов.

“Синхронизация Okta SCIM и белый список IP закрыли наш чеклист закупок при первой же проверке. Поток журнала аудита в Splunk стал той деталью, которая убедила команду безопасности — они увидели, что это реальный инструмент, а не просто «галочка» от вендора.”

Команда IT-безопасности, страховая группа, Цюрих

Менеджер по IT-безопасности

“Нам требовалось резидентство данных в ЕС и отсутствие субобработчиков из США после решения Schrems II. Elido был первым сокращателем, который ответил на вопрос «где хранятся данные?» конкретным городом и списком субобработчиков менее 10 позиций.”

Корпоративный IT-отдел, производственная компания среднего бизнеса, Дюссельдорф

Руководитель отдела IT-управления

“BAA на тарифе Business плюс ISO 27001 закрыли вопрос HIPAA для нашей продуктовой команды в США. Инициализация через SCIM означала, что нам не пришлось заниматься онбордингом в Elido во время интеграции при покупке компании на 200 человек.”

Команда безопасности платформ, финтех, Дублин

Директор по безопасности платформ

Elido против Bitly Enterprise и Bl.ink для корпоративного IT

Bitly Enterprise и Bl.ink — это варианты корпоративного уровня с большой базой установок. Приведенное ниже сравнение сосредоточено на функциях, которые оценивают корпоративные IT-команды, а не на маркетинговых заявлениях.

Capability	Elido	Bitly Enterprise	Bl.ink
Протокол SSO	SAML 2.0 + OIDC через WorkOS	SAML 2.0 на тарифе Enterprise	SAML 2.0 на тарифе Enterprise
Инициализация SCIM	Business и выше, через WorkOS	Только тариф Enterprise	Доступно на Enterprise
Кастомные роли (RBAC)	Выражения политик на базе Cedar	Фиксированные уровни ролей	Детализированные, документированные
Белый список IP	CIDR, Business+	Только Enterprise	Доступно
Журнал аудита → SIEM	Поток вебхуков в реальном времени	Ежедневный экспорт; real-time как Enterprise-аддон	На базе API; подключение SIEM вручную
Хранение журнала аудита	7 лет на тарифе Business	Стандартно 1 год	Настраивается на Enterprise
Резидентство данных в ЕС	По умолчанию для всех тарифов	Опционально на Enterprise	Доступно; не по умолчанию
Экспорт в BigQuery	По расписанию, Business+	Не документировано	На базе API; нет нативного экспорта

Вопросы от корпоративного IT

Какие IdP поддерживает SSO?

Любую IdP, поддерживающую SAML 2.0 или OIDC: Okta, Azure AD / Entra ID, Google Workspace, OneLogin, Ping, Rippling и другие. Интеграция осуществляется через WorkOS, который нормализует различия протоколов. Если ваша IdP поддерживает SAML или OIDC, она будет работать. Настройка представляет собой процесс под руководством WorkOS: настройте SAML-приложение в вашей IdP, вставьте URL метаданных в Elido, и готово.

Как работает деинициализация через SCIM?

WorkOS управляет конечной точкой SCIP 2.0. Когда пользователь удаляется из соответствующей группы в вашей IdP, WorkOS отправляет событие DELETE в Elido. Elido немедленно аннулирует токены сессии пользователя и помечает аккаунт как неактивный. Активные API-ключи, связанные с этим пользователем, не аннулируются автоматически — это отдельный шаг, который вы настраиваете в параметрах SCIM (по умолчанию: аннулировать при деинициализации). Действие по удалению появляется в журнале аудита в рамках цикла синхронизации SCIM (обычно менее 5 минут).

Что охватывает белый список IP?

Вход в панель управления, запросы к API и подтверждение доставки вебхуков. Поддерживается нотация CIDR; несколько диапазонов разделяются запятыми. Запросы извне белого списка возвращают ошибку 403 с записью события в журнале аудита — никаких тихих сбросов. Белый список IP оценивается после аутентификации, а не до нее, поэтому неудачная попытка входа извне белого списка все равно фиксируется.

Можно ли получить BAA для соответствия HIPAA?

Да, на тарифе Business+. BAA охватывает роль Elido как делового партнера для воркспейсов, где PHI (защищенная медицинская информация) может проходить через метаданные ссылок или аналитику. Технические меры защиты (шифрование при хранении и передаче, аудиторский след, контроль доступа, уведомление о взломе) уже действуют. Свяжитесь с compliance@elido.app для получения шаблона BAA.

Каков статус SOC 2?

Аудит SOC 2 Type II находится в процессе, цель — вторая половина 2026 года. ISO 27001 уже получен. Мы делимся доказательствами Type 1 под NDA с клиентами, которым они нужны до публикации отчета Type 2. Центр доверия на /trust отслеживает текущее состояние. Мы не будем заявлять о соответствии Type II, пока период аудита не будет закрыт.

Как работают кастомные роли — могу ли я ограничить команду доступом только для чтения на конкретном домене?

Да. Кастомные роли определяют политики на базе Cedar, которые могут ограничивать разрешения конкретными доменами, папками или операциями (создание/чтение/обновление/удаление). Роль, разрешающая создание ссылок только на определенном кастомном домене и доступ к аналитике только для чтения, является допустимой политикой. Роли привязаны к воркспейсу; пользователь может иметь разные роли в разных воркспейсах. Оценка политики происходит в момент запроса, а не при входе в систему.

Есть ли выделенный вариант edge-узла для клиентов Business?

Тариф Business использует общие edge POP-узлы Elido (Франкфурт, Ашберн, Сингапур). Выделенный edge — ваш собственный парк узлов редиректа, изолированный по трафику от других арендаторов — это тема для Enterprise-обсуждения. Свяжитесь с sales@elido.app. Кроме того, Helm-чарт для самостоятельного хостинга позволяет запускать уровень редиректа в вашем собственном VPC, что является частым паттерном для Enterprise-клиентов со строгими требованиями к изоляции трафика.

Каков SLA по уведомлению о взломе?

24 часа на уведомление клиента о подтвержденных утечках персональных данных; 72 часа на уведомление регулятора (GDPR Art. 33). Уведомление охватывает то, что нам известно на тот момент — мы не ждем завершения полной криминалистической экспертизы. Процесс описан на /trust/incident-response.