Elido
Выберите ракурс, который подходит вашей команде
Для корпоративного IT

Сокращатель, который ваша команда безопасности не отклонит.

Вы измеряете позицию соответствия, время реагирования на инциденты и количество анкет поставщиков, которые вы можете выдержать. Elido - это сокращатель, который ваша команда безопасности не отклонит.

Связаться с отделом продажЧитать отчёт доверия
  • SAML SSO + SCIM через нашего SSO-провайдера или нативно - Okta, Entra ID, Google
  • Регион ЕС по умолчанию с привязкой региона на уровне рабочего пространства
  • Аудит SOC 2 Type II в процессе (цель - H2 2026)
  • ISO 27001 получен; сертификат доступен под NDA
Workspace residency
EU region · default
EU NorthEU replicaEU regionprimary · defaultEU WestcomputeUS Eastopt-in · Business+Asia-Pacificopt-in · APAC
Default + EU residency
Opt-in (Business+, irreversible)
SAML + OIDC
Протокол SSO
WorkOS
Провайдер SSO/SCIM
7 лет
Хранение аудита (Business)
ISO 27001
Текущая сертификация

Как работает SSO

Okta или Entra ID → SAML → Elido. Двенадцать минут от холодного старта.

SSO маршрутизируется через WorkOS, который нормализует протокольные различия между SAML 2.0 и OIDC и специфику каждого IdP, которую никто не хочет поддерживать самостоятельно. Ваша команда настраивает SAML-приложение один раз в своём IdP; Elido подбирает пользователей по маппингу email-домен → соединение.

  1. Step 1

    User signs in

    okta.com / login.microsoftonline.com

    IdP authenticates against the corporate directory.

  2. Step 2

    SAML assertion

    WorkOS connection · domain-routed

    Email-domain → IdP connection mapping, no per-user setup.

  3. Step 3

    Elido session

    edge auth · 200 OK

    Session token issued, scope derived from group claims.

  4. Step 4

    Workspace landing

    app.elido.app/w/your-org

    Role + IP allowlist evaluated; audit row written.

Provisioning SCIM

Добавьте пользователя в Okta. Через пять минут он в Elido.

Синхронизация каталога SCIM 2.0 автоматически провизионирует и депровизионирует пользователей. Маппинг групповых утверждений преобразует группы IdP в роли рабочего пространства Elido - поэтому повышение в системе HR автоматически отражается в Elido без тикета. Уходящие сотрудники депровизионируются в течение цикла синхронизации SCIM, с отзывом активных сессий и записью действия в журнал.

  • Автопровизионинг при добавлении в группу
    Членство в группе IdP → приглашение в рабочее пространство, без ручных шагов
  • Маппинг ролей по групповым утверждениям
    engineering-eu → editor, finance → viewer, настраивается
  • Депровизионинг = отзыв сессии
    Событие DELETE аннулирует токены; API-ключи отзываются по политике
  • Каждое событие SCIM аудируется
    Журнал только с добавлением: актор, состояние до/после, исходный IP
Детальное погружение в SCIM и SSO →
SCIM directory sync
workspace · acme-eu
Live · WorkOS
  1. 1
    User added in Okta

    Joins the elido-eu-engineering directory group as part of HR onboarding.

    okta.comPOST /scim/v2/Users
    T+75s
  2. 2
    WorkOS pushes to Elido

    SCIM sync cycle picks up the create event; no manual invite needed.

    workos.com → elido.appscim.create user@org
    T+150s
  3. 3
    Elido provisions the user

    Account created, workspace invitation surfaced in pending state.

    api-coreuser.id = usr_01HK…
    T+225s
  4. 4
    Group claim → role

    engineering → editor; billing-admins → admin. Mapping is configurable.

    policyrole: editor (workspace.eu)
    T+300s
  5. Deprovision is the same flow in reverse - DELETE event revokes sessions and rotates affected API keys per policy.

Модель авторизации

RBAC на основе Cedar, а не фиксированная трёхуровневая иерархия.

Матрица ниже - это стандартный вид из коробки. Пользовательские роли позволяют выражать вещи вроде «создавать ссылки только для этого домена» или «только чтение аналитики, без доступа к биллингу» в виде Cedar-политик. Роли привязаны к рабочему пространству, поэтому разные бизнес-подразделения могут иметь разные структуры ролей.

Built-in role permissions
Cedar policies · custom roles override
PermissionOwnerAdminMemberRead-onlyAPI key
Create / edit links
Manage custom domains
View analytics
Manage billing
Invite & manage members
Rotate API keys
Allowed
Scoped - set via Cedar policy
Denied
Policy eval at request time, not at loginaudit · every change
Посмотреть модель безопасности →Руководство по пользовательским ролям → документация

Что корпоративный IT на самом деле получает

  • SAML SSO + SCIM через нашего SSO-провайдера или нативно - Okta, Entra ID, Google
  • Регион ЕС по умолчанию с привязкой региона на уровне рабочего пространства
  • Аудит SOC 2 Type II в процессе (цель - H2 2026)
  • ISO 27001 получен; сертификат доступен под NDA
  • BAA на Business+ для нагрузок, смежных с HIPAA
  • Выделенные edge POP доступны для Enterprise-контрактов

Что на самом деле нужно корпоративному IT от сокращателя ссылок

Сокращатели из категории «Shadow-IT» не проходят закупки по трем пунктам: кто имеет доступ, где находятся данные и можем ли мы их проверить. Перечисленные ниже функции закрывают эти пробелы.

Идентификация и инициализация
01

SAML SSO через WorkOS с инициализацией пользователей по SCIM

SSO реализовано через WorkOS, который поддерживает SAML 2.0 и OIDC для любой крупной IdP: Okta, Azure AD / Entra ID, Google Workspace, OneLogin, Ping и других. Сопоставление «домен почты → соединение» означает, что пользователи направляются к нужной IdP без каких-либо настроек с их стороны. Синхронизация каталогов SCIM автоматически инициализирует и удаляет пользователей: новые сотрудники, добавленные в соответствующую группу IdP, получают приглашение в воркспейс Elido в течение нескольких минут; увольняющиеся сотрудники отключаются в рамках цикла синхронизации SCIM без ручного тикета на офбординг. Группы из IdP сопоставляются с ролями воркспейса Elido; вы настраиваете маппинг один раз. Изменения ролей в IdP распространяются автоматически. Это интеграция на базе WorkOS - мы не поддерживаем коннектор для каждой IdP; WorkOS нормализует протоколы, а Elido использует единую конечную точку SCIM.

Модель авторизации
02

Кастомные роли с RBAC в стиле Cedar - больше чем просто владелец/админ/участник

Модель ролей Elido основана на Cedar, что означает, что разрешения - это выражения политик, вычисляемые во время запроса, а не фиксированная трехэтапная иерархия. «Из коробки» вы получаете роли: Владелец, Админ, Участник и Наблюдатель. Кастомные роли позволяют определять политики вроде «может создавать ссылки на этом домене, но не может удалять или изменять правила маршрутизации» или «доступ только для чтения к аналитике, но нет доступа к настройкам биллинга». Роли назначаются для каждого воркспейса, а не глобально - корпорация с несколькими воркспейсами может иметь разные структуры ролей для разных бизнес-подразделений. Белый список IP (диапазоны CIDR) оценивается вместе с проверкой ролей: пользователю с правильной ролью, но находящемуся вне разрешенного диапазона IP, будет отказано в доступе. Это актуально для гибридных команд, где подрядчики имеют доступ к другому набору ресурсов, чем штатные сотрудники.

Аудит и SIEM
03

Журнал аудита с режимом «только добавление», передаваемый в вашу SIEM в реальном времени

Каждое действие в воркспейсе - создание, обновление, удаление ссылки; изменение настроек; приглашение участника и изменение роли; выпуск и ротация API-ключей; привязка кастомного домена; экспорт - попадает в журнал аудита, доступный только для добавления, с указанием актора, временной метки, исходного IP, разницы «до/после» и структурированного типа события. Логи хранятся 90 дней на тарифе Pro и 7 лет на тарифе Business. Поток данных SIEM передает события через вебхук (подписанный HMAC-SHA256) в Splunk, Datadog, ELK или любой HTTP-приемник в реальном времени. Журнал доступен для запросов в панели управления, но не редактируем; ограничение на добавление записей обеспечивается на уровне базы данных. Соответствие требованиям: журнал аудита является основным доказательством при проверке контроля доступа, управлении изменениями и реагировании на инциденты. Мета-событие «очистка по сроку хранения» регистрируется при удалении старых записей, поэтому сам пробел также подлежит аудиту.

Управление данными
04

Резидентство в ЕС, белый список IP и экспорт в BigQuery для соблюдения требований по управлению данными

Данные воркспейса по умолчанию привязаны к региону ЕС и никогда не покидают этот регион, если администратор явно не выберет восток США или Азиатско-Тихоокеанский регион при создании воркспейса - это необратимый выбор. Межрегиональная репликация для горячих данных отсутствует. Белый список IP (CIDR) в тарифе Business ограничивает доступ к воркспейсу известными диапазонами исходящего трафика - это полезно для команд, использующих VPN или фиксированные офисные IP. Экспорт в BigQuery отправляет полный поток событий кликов и журналов аудита в принадлежащий вам набор данных BigQuery по расписанию или по триггеру. Также поддерживаются Snowflake и S3. Для регулируемых рабочих нагрузок, требующих хранения данных в определенной инфраструктуре: Helm-чарт для самостоятельного хостинга позволяет запускать уровень редиректа в вашем собственном VPC, сохраняя события кликов в вашем собственном аналитическом хранилище. BAA для HIPAA доступен на тарифе Business+ - технические меры защиты (шифрование, аудиторский след, контроль доступа, уведомление о взломе) уже настроены; BAA является юридической оболочкой вокруг них.

Проверка поставщика
05

Готовый пакет доказательств соответствия: SOC 2, ISO 27001, DPA, субобработчики

Вопросы закупок, которые Elido закрывает без долгой переписки по электронной почте: DPA предварительно подписан и доступен для скачивания по адресу /legal/dpa; список субобработчиков открыт на /legal/subprocessors (5 вендоров, все зарегистрированы в ЕС или имеют возможность отказа); сертификация ISO 27001 получена; SOC 2 Type II находится в процессе реализации с плановым завершением во второй половине 2026 года. Мы делимся доказательствами Type 1 под NDA с клиентами, которым они нужны до публикации отчета Type 2. Центр доверия (Trust Center) на /trust отслеживает текущий статус сертификации и обновления истории инцидентов. Раскрытие уязвимостей осуществляется через HackerOne (частная программа); security.txt находится по стандартному пути. Это вещи, которые уже существуют, а не планы на будущее. Мы не будем заявлять о SOC 2 Type II, пока период аудита не будет закрыт - ожидайте во второй половине 2026 года.

Стек, с которым вы будете работать

  • SSO (SAML / OIDC)
  • Предоставление SCIM
  • Пользовательские роли (RBAC)
  • Список разрешенных IP
  • Журнал аудита + поток SIEM
  • Резидентство данных в ЕС
  • HIPAA BAA

Что измеряет ваша команда безопасности

Количество субпроцессоров
5, только ЕС
Хранение журнала аудита
7 лет на Business
Время ответа DSAR
Менее 30 дней

Корпоративные IT-команды, использующие Elido

Имена пока являются заглушками - реальные названия компаний появятся здесь по мере публикации кейсов.

Синхронизация Okta SCIM и белый список IP закрыли наш чеклист закупок при первой же проверке. Поток журнала аудита в Splunk стал той деталью, которая убедила команду безопасности - они увидели, что это реальный инструмент, а не просто «галочка» от вендора.

К
Команда IT-безопасности, страховая группа, Цюрих
Менеджер по IT-безопасности

Нам требовалось резидентство данных в ЕС и отсутствие субобработчиков из США после решения Schrems II. Elido был первым сокращателем, который ответил на вопрос «где хранятся данные?» конкретным городом и списком субобработчиков менее 10 позиций.

К
Корпоративный IT-отдел, производственная компания среднего бизнеса, Дюссельдорф
Руководитель отдела IT-управления

BAA на тарифе Business плюс ISO 27001 закрыли вопрос HIPAA для нашей продуктовой команды в США. Инициализация через SCIM означала, что нам не пришлось заниматься онбордингом в Elido во время интеграции при покупке компании на 200 человек.

К
Команда безопасности платформ, финтех, Дублин
Директор по безопасности платформ

Elido против Bitly Enterprise и Bl.ink для корпоративного IT

Bitly Enterprise и Bl.ink - это варианты корпоративного уровня с большой базой установок. Приведенное ниже сравнение сосредоточено на функциях, которые оценивают корпоративные IT-команды, а не на маркетинговых заявлениях.

ВозможностьElidoBitly EnterpriseBl.ink
Протокол SSOSAML 2.0 + OIDC через WorkOSSAML 2.0 на тарифе EnterpriseSAML 2.0 на тарифе Enterprise
Инициализация SCIMBusiness и выше, через WorkOSТолько тариф EnterpriseДоступно на Enterprise
Кастомные роли (RBAC)Выражения политик на базе CedarФиксированные уровни ролейДетализированные, документированные
Белый список IPCIDR, Business+Только EnterpriseДоступно
Журнал аудита → SIEMПоток вебхуков в реальном времениЕжедневный экспорт; real-time как Enterprise-аддонНа базе API; подключение SIEM вручную
Хранение журнала аудита7 лет на тарифе BusinessСтандартно 1 годНастраивается на Enterprise
Резидентство данных в ЕСПо умолчанию для всех тарифовОпционально на EnterpriseДоступно; не по умолчанию
Экспорт в BigQueryПо расписанию, Business+Не документированоНа базе API; нет нативного экспорта

Вопросы от корпоративного IT

Какие IdP поддерживает SSO?

Любую IdP, поддерживающую SAML 2.0 или OIDC: Okta, Azure AD / Entra ID, Google Workspace, OneLogin, Ping, Rippling и другие. Интеграция осуществляется через WorkOS, который нормализует различия протоколов. Если ваша IdP поддерживает SAML или OIDC, она будет работать. Настройка представляет собой процесс под руководством WorkOS: настройте SAML-приложение в вашей IdP, вставьте URL метаданных в Elido, и готово.

Как работает деинициализация через SCIM?

WorkOS управляет конечной точкой SCIP 2.0. Когда пользователь удаляется из соответствующей группы в вашей IdP, WorkOS отправляет событие DELETE в Elido. Elido немедленно аннулирует токены сессии пользователя и помечает аккаунт как неактивный. Активные API-ключи, связанные с этим пользователем, не аннулируются автоматически - это отдельный шаг, который вы настраиваете в параметрах SCIM (по умолчанию: аннулировать при деинициализации). Действие по удалению появляется в журнале аудита в рамках цикла синхронизации SCIM (обычно менее 5 минут).

Что охватывает белый список IP?

Вход в панель управления, запросы к API и подтверждение доставки вебхуков. Поддерживается нотация CIDR; несколько диапазонов разделяются запятыми. Запросы извне белого списка возвращают ошибку 403 с записью события в журнале аудита - никаких тихих сбросов. Белый список IP оценивается после аутентификации, а не до нее, поэтому неудачная попытка входа извне белого списка все равно фиксируется.

Можно ли получить BAA для соответствия HIPAA?

Да, на тарифе Business+. BAA охватывает роль Elido как делового партнера для воркспейсов, где PHI (защищенная медицинская информация) может проходить через метаданные ссылок или аналитику. Технические меры защиты (шифрование при хранении и передаче, аудиторский след, контроль доступа, уведомление о взломе) уже действуют. Свяжитесь с [email protected] для получения шаблона BAA.

Каков статус SOC 2?

Аудит SOC 2 Type II находится в процессе, цель - вторая половина 2026 года. ISO 27001 уже получен. Мы делимся доказательствами Type 1 под NDA с клиентами, которым они нужны до публикации отчета Type 2. Центр доверия на /trust отслеживает текущее состояние. Мы не будем заявлять о соответствии Type II, пока период аудита не будет закрыт.

Как работают кастомные роли - могу ли я ограничить команду доступом только для чтения на конкретном домене?

Да. Кастомные роли определяют политики на базе Cedar, которые могут ограничивать разрешения конкретными доменами, папками или операциями (создание/чтение/обновление/удаление). Роль, разрешающая создание ссылок только на определенном кастомном домене и доступ к аналитике только для чтения, является допустимой политикой. Роли привязаны к воркспейсу; пользователь может иметь разные роли в разных воркспейсах. Оценка политики происходит в момент запроса, а не при входе в систему.

Есть ли выделенный вариант edge-узла для клиентов Business?

Тариф Business использует общие edge POP-узлы Elido (регион ЕС, восток США, Азиатско-Тихоокеанский регион). Выделенный edge - ваш собственный парк узлов редиректа, изолированный по трафику от других арендаторов - это тема для Enterprise-обсуждения. Свяжитесь с [email protected]. Кроме того, Helm-чарт для самостоятельного хостинга позволяет запускать уровень редиректа в вашем собственном VPC, что является частым паттерном для Enterprise-клиентов со строгими требованиями к изоляции трафика.

Каков SLA по уведомлению о взломе?

24 часа на уведомление клиента о подтвержденных утечках персональных данных; 72 часа на уведомление регулятора (GDPR Art. 33). Уведомление охватывает то, что нам известно на тот момент - мы не ждем завершения полной криминалистической экспертизы. Процесс описан на /trust/incident-response.

Чтение для корпоративного IT

SCIM и SSO

SAML/OIDC под управлением WorkOS, деprovisioning SCIM 2.0, руководства по IdP.

White-label

Брендированный хостнейм портала, транзакционные письма, паритет субпроцессоров.

Trust Center

Статус SOC 2, ISO 27001, субпроцессоры, история инцидентов.

DPA

Предварительно подписанное Соглашение об обработке данных GDPR, EU SCCs включены.

API и SDK

OpenAPI 3.1, SDK на TypeScript / Go / Python, вебхуки.

Безопасность

Шифрование, модель RBAC, журнал аудита, IP-allowlist.

Не уверены, какой ракурс подходит?

Большинство команд начинают с одного и развиваются до всех четырех. Наша команда продаж может обсудить ваш конкретный стек за 20 минут.

Связаться с отделом продажTrust Center