Elido'nun yaptığı her şey
Business

SSO ve SCIM. Kurumsal kimlik, sıfır sürtünme.

Herhangi bir büyük IdP'ye karşı SAML / OIDC oturum açma. SCIM dizin senkronizasyonu, kullanıcıları otomatik olarak provizyonlar ve provizyonunu kaldırır. Webhook sırları, durum kaybı olmadan döndürülür.

  • 20'den fazla kimlik sağlayıcıya karşı SAML / OIDC
  • SCIM dizin senkronizasyonu - otomatik provizyon ve provizyon kaldırma
  • Kesinti olmadan webhook sır döndürme
  • Uyumluluk için tam denetim izi
SSO oturum açma akışı
SAML 2.0
Kullanıcıoturum aç'a tıklarIdPOOktaSAML 2.0 · SCIM 2.0AAzure ADEntra ID · OIDCGoogle WSSAML · OIDCSAMLWorkOSSSO aracısıSCIM rölesiElidopaneloturum ✓
E-posta alan adı → IdP yönlendirmesi20+ IdP bağlantısı
20+
WorkOS üzerinden IdP bağlantısı
<60s
SCIM kullanıcı provizyon gecikmesi
Elle dokunmadan
İşten çıkış - IdP'de devre dışı = Elido'da iptal
HMAC-SHA256
Webhook sır imzalama

SCIM dizin senkronizasyonu

60 saniyenin altında provizyon ve provizyon kaldırma

IdP dizininizi bir kez bağlayın. Her işe alım, transfer ve ayrılış Elido'ya otomatik olarak yayılır - BT bileti yok, manuel davet yok, unutulan işten çıkış boşluğu yok.

  • Otomatik provizyon
    Okta veya Entra'dan SCIM CREATE → 60 saniyenin altında Elido hesabı
  • Grup-rol eşlemesi
    IdP grupları Elido rollerine eşlenir; değişiklikler bir sonraki senkronizasyonda yayılır
  • Anında provizyon kaldırma
    SCIM DELETE veya active: false → oturumlar hemen iptal edilir
  • API anahtarı askıya alma
    İşten çıkışta tüm kullanıcı API anahtarları askıya alınır - ayrılıştan sonra erişim boşluğu yok
Dizin senkronizasyonu
SCIM 2.0
Okta dizini
  • A
    Ana Kovač
    Admin
  • B
    Ben Carter
    Member
  • C
    Carla Mora
    Member
  • D
    Dmitri Volkov
    Viewer
  • E
    Erika Salo
    Member
SCIM
Elido çalışma alanı
  • A
    Ana Kovač
    Admin
  • B
    Ben Carter
    Member
  • C
    Carla Mora
    Member
  • D
    Dmitri Volkov
    Viewer
  • E
    Erika Salo
    provizyonu kaldırıldı
Canlı senkronizasyon etkin< 60s senkronizasyon gecikmesi

Kimlik sağlayıcılar

Her büyük IdP ile çalışır

Elido, SSO ve SCIM aracısı olarak WorkOS'u kullanır - kutudan çıktığı gibi 20'den fazla bağlantı, ayrıca herhangi bir SP başlatmalı akış için Generic SAML. Elido uygulamasını IdP'nizde bir kez yapılandırın; Elido, SAML metadata XML'ini veya OIDC kimlik bilgilerini oluşturur.

WorkOS üzerinden 20+ IdP
Ok
Okta
SAML · SCIM
Az
Azure AD
SAML · OIDC
G
Google WS
SAML · OIDC
OL
OneLogin
SAML · SCIM
JC
JumpCloud
SAML · SCIM
Pi
PingIdentity
SAML 2.0
A0
Auth0
OIDC
SP
Generic SAML
SAML 2.0

SAML 2.0 uyumlu herhangi bir IdP, Generic SAML ile çalışır. Kurulum kılavuzuna bakın →

Denetim izi
TümüSSO olaylarıSCIM olayları
OlayAktörIPZaman
  • Kullanıcı SCIM üzerinden provizyonlandıokta-scim-svc10.0.1.409:12:04
  • SSO oturum açma - Okta[email protected]91.223.4.1709:14:31
  • SSO oturum açma - Azure AD[email protected]185.46.9.209:17:08
  • Webhook sırrı döndürüldü[email protected]77.123.11.510:05:22
  • Kullanıcının SCIM üzerinden provizyonu kaldırıldıokta-scim-svc10.0.1.414:33:51
  • Rol değişti: Üye → Admin[email protected]77.123.11.515:01:09
6 olay gösteriliyor · salt eklemeli günlükCSV dışa aktar

Denetim izi

Değiştirilemez kimlik olay günlüğü

Her SSO oturum açma, SCIM provizyonu, rol değişikliği ve sır döndürme salt eklemeli olarak kaydedilir. Hiçbir yönetici kayıtları silemez. CSV'ye dışa aktarın veya API üzerinden SIEM'inize akıtın.

  • Olay başına zaman damgası, aktör, eylem, hedef ve IdP bağlantısı
  • Business'ta 12 aylık saklama; istek üzerine daha uzun süre mevcut
  • SOC 2, ISO 27001, DORA ve NIS2 kanıtı için API dışa aktarma
  • Başarısız SSO girişimleri neden koduyla kaydedilir
  • SSO deneme eşiği için IP tabanlı uyarı
  • Sır döndürmeleri günlükte örtüşme penceresine referans verir
IdP'de devre dışı bırakma → Elido'da erişim iptali 60 saniyenin altında

Neler yapabilirsiniz

  • Okta, Azure AD / Entra, Google Workspace
  • E-posta alan adı → bağlantı eşlemesi
  • SCIM kullanıcı oluşturma / güncelleme / silme
  • Webhook imza doğrulaması (HMAC-SHA256)

Kurumsal SSO ve SCIM provizyonun üretimde gerçekte gerektirdiği şey

SAML yönlendirmesi asgari şarttır. Aşağıdaki ayrıntılar; provizyon gecikmesini, rol eşlemesini, sır döndürmeyi ve güvenlik ekiplerinin önemsediği hata modlarını kapsar.

SSO oturum açma
01

WorkOS üzerinden SAML 2.0 ve OIDC oturum açma - e-posta alan adı yönlendirmesi doğru IdP bağlantısına gider

Elido, Okta, Azure AD / Entra ID, Google Workspace, OneLogin, PingFederate ve SAML 2.0 uyumlu herhangi bir IdP dahil 20'den fazla IdP bağlantısını destekleyen WorkOS'u SSO aracısı olarak kullanır. BT ekibiniz Elido uygulamasını IdP'nizde bir kez yapılandırır; Elido, IdP kurulum sihirbazı için bir SAML metadata XML'i veya OIDC istemci kimlik bilgileri oluşturur. E-posta alan adı yönlendirmesi, kullanıcı e-posta alan adlarını doğru IdP bağlantısına eşler - @sirketiniz.com adresine sahip kullanıcılar, seçim yapmalarına gerek kalmadan otomatik olarak Okta bağlantınıza yönlendirilir. Birden çok e-posta alan adı tek bir bağlantıya eşlenebilir (birleşik kuruluşlar veya birden çok e-posta alan adı olan şirketler için). SCIM kullanılmıyorsa JIT provizyonu ilk SSO oturum açmasında Elido hesabını oluşturur; SCIM etkinse, JIT devre dışıdır ve hesap ilk oturum açmadan önce SCIM üzerinden provizyonlanmalıdır.

SCIM provizyonu
02

SCIM 2.0 dizin senkronizasyonu: otomatik provizyon, provizyon kaldırma ve grup-rol eşlemesi

SCIM 2.0, kimlik sağlayıcınızın kullanıcı dizinini Elido ile senkronize eder. Bir kullanıcı Okta veya Entra'daki Elido uygulama grubuna eklendiğinde, Elido bir SCIM CREATE olayı alır ve kullanıcı hesabını provizyonlar - BT bileti yok, manuel davet yok. Kullanıcı profili güncellemeleri (ad, e-posta) otomatik olarak yayılır. Bir kullanıcı gruptan çıkarıldığında veya IdP'de devre dışı bırakıldığında, Elido bir SCIM DELETE veya PATCH (active: false) olayı alır ve erişimi hemen iptal eder - etkin oturumlar geçersiz kılınır, kullanıcıya ait API anahtarları askıya alınır. Grup-rol eşlemesi, IdP gruplarınızı ('Elido Adminleri', 'Elido Görüntüleyicileri') Elido rollerine (Admin, Üye, Görüntüleyici) eşlemenizi sağlar. Rol atamaları, IdP'de grup üyeliği değiştiğinde otomatik olarak güncellenir. IdP olayından Elido hesap oluşturmaya kadar provizyon gecikmesi genellikle 60 saniyenin altındadır.

Sır döndürme
03

Webhook imzalama sırları, işlemdeki olayları kaybetmeden döndürülür - sıfır kesinti döndürme prosedürü

Elido'nun SCIM webhook alıcısı ve giden webhook sistemi, olay orijinalliğini doğrulamak için HMAC-SHA256 imzalarını kullanır. Sırlar süresi dolar ve döndürme gerektirir - ya bir programa göre (önerilen: 90 gün) ya da şüphelenilen bir güvenlik ihlalinden sonra. Sıfır kesinti döndürme şu şekilde çalışır: panelde yeni bir sır oluşturun (örtüşme penceresi sırasında eski sır 15 dakika geçerliliğini korur), yeni sırrı sistemlerinize dağıtın, gelen bir SCIM olayının yeni sırla doğrulandığını onaylayın, ardından eski sırrın hemen süresinin dolmasını tetikleyin. 15 dakikalık örtüşme penceresi, eski sırla imzalanmış işlemdeki olayların dağıtım penceresi sırasında hâlâ işlenmesini sağlar. Sır döndürme, zaman damgası, aktör (döndüren yönetici) ve örtüşme süresinin dolduğunun onayı ile denetim izinde kaydedilir.

Denetim izi
04

Tam kimlik olay günlüğü: SSO oturum açmaları, provizyon olayları, rol değişiklikleri ve sır döndürmeleri

Her SSO oturum açma, SCIM provizyon/provizyon kaldırma, rol atama değişikliği ve sır döndürme, çalışma alanı denetim izinde (Business) kaydedilir. Her kayıt şunları içerir: zaman damgası, aktör (kullanıcı veya SCIM hizmeti), eylem türü, hedef (etkilenen kullanıcı veya kaynak), kullanılan IdP bağlantısı ve çalışma alanı kimliği. Denetim izi salt eklemeli ve değiştirilemezdir - hiçbir yönetici kayıtları silemez. SIEM alımı için CSV'ye dışa aktarın veya API üzerinden sorgulayın. Uyumluluk çerçeveniz erişim kontrolü olaylarının kanıtını gerektiriyorsa (SOC 2 Type II, ISO 27001, DORA, NIS2), denetim izi bu kanıttır. Business'ta saklama süresi 12 aydır; düzenlenmiş sektörler için istek üzerine daha uzun saklama mevcuttur.

Oturum yönetimi
05

SCIM üzerinden zorlanmış oturum sona erdirme - IdP devre dışı bırakmasında 60 saniyenin altında erişim iptali

SCIM bir kullanıcının devre dışı bırakıldığını (çalışan işten çıkışı, taşeron sözleşme sonu) sinyallediğinde, Elido o kullanıcının tüm etkin oturumlarını hemen geçersiz kılar ve API anahtarlarını askıya alır. Bu, oturum çerezi TTL'sine bağlı değildir - Elido, kullanıcı kimliği başına bir iptal bayrağı saklar ve bunu her kimliği doğrulanmış istekte kontrol eder. IdP devre dışı bırakmasından Elido erişim iptaline kadar geçen süre, SCIM olay teslim gecikmesidir: genellikle Okta için 30 saniyenin altında, Azure Entra için 60 saniyenin altında. Yüksek güvenlikli işten çıkışlar için (örneğin, ayrılan bir yönetici), bir Elido çalışma alanı yöneticisi de SCIM olayı gelmeden önce panelde belirli bir kullanıcının oturumlarını manuel olarak iptal edebilir. Manuel olarak iptal edilen oturumlar ve SCIM tetiklemeli iptaller denetim izinde görünür.

Elido SSO ve SCIM'i kullanan kurumsal güvenlik ekipleri

Adlar yer tutucudur - gerçek müşteri vaka çalışmaları yayınlandıkça buraya eklenecektir.

SCIM ile işten çıkış, güvenlik ekibimizin ilk günden itibaren talebiydi. Bir çalışan Entra'da devre dışı bırakıldığında, Elido erişimi bir dakikanın altında kayboluyor - manuel provizyon kaldırma bileti yok, 'iptal etmeyi unuttum' boşluğu yok. Üç ay sonra günlükleri denetledik ve işten çıkıştan sonra erişim olayı sıfır bulduk.

B
BT güvenliği, lojistik şirketi, 1.200 çalışan, Hamburg
BT Güvenlik Müdürü

İki satın almadan gelen beş şirket e-posta alan adımız var. Elido'daki e-posta alan adı → IdP yönlendirmesi, aynı Okta bağlantısına işaret eden beşinin tümünü ele alıyor. Herhangi bir alan adından kullanıcılar, listeden seçim yapmadan doğru SSO akışına ulaşıyor.

K
Kurumsal BT, ölçeklenen SaaS, 400 çalışan, Amsterdam
Kıdemli BT Mühendisi

Kesintisiz sır döndürme, bizi ikna eden ayrıntıydı. Politika olarak webhook sırlarını üç ayda bir döndürüyoruz; 15 dakikalık örtüşme penceresi, mesai saatlerinde herhangi bir olay riski olmadan döndürebileceğimiz anlamına geliyor. Her döndürme kaydedilir, denetlenir ve SOC 2 kanıt paketimizde referans gösterilir.

G
Güvenlik mühendisliği, fintech, Dublin
Güvenlik Mühendisi

Elido SSO ve SCIM vs Bitly vs Rebrandly

SSO, Bitly'nin kurumsal katmanında ve Rebrandly'nin Business katmanında mevcuttur. SCIM provizyonu her ikisinde de daha sınırlıdır. Karşılaştırma, her birinin gerçekte sunduklarını kapsar.

FeatureElidoBitly EnterpriseRebrandly Business
SAML 2.0 SSOVar - WorkOS aracısı, 20+ IdP bağlantısıVar - kurumsal katmanVar - Business katmanı
OIDC SSOVar - WorkOS üzerinden SAML ile birlikteYalnızca SAMLYalnızca SAML
SCIM 2.0 provizyonuTam oluşturma / güncelleme / silme + grup-rol eşlemesiSınırlı - yalnızca kullanıcı oluşturma, grup-rol eşlemesi yokYok
İşten çıkışta otomatik provizyon kaldırmaVar - SCIM DELETE, oturum 60s'nin altında iptal edilirYalnızca manuelYalnızca manuel
E-posta alan adı IdP yönlendirmesiVar - bağlantı başına birden çok alan adıBağlantı başına tek alan adıBelgelenmemiş
Kimlik olayları için denetim iziVar - değiştirilemez, 12 ay, API dışa aktarmaSınırlı denetim günlüğüSınırlı denetim günlüğü
Webhook sır döndürme (sıfır kesinti)Var - 15 dakikalık örtüşme penceresiGeçerli değilGeçerli değil

SSO ve SCIM soruları

Hangi kimlik sağlayıcılar destekleniyor?

Elido, Okta, Azure AD / Entra ID, Google Workspace, OneLogin, PingFederate, Shibboleth, ADFS, JumpCloud ve SAML 2.0 uyumlu herhangi bir IdP'yi destekleyen WorkOS'u SSO ve SCIM aracısı olarak kullanır. Google Workspace ve Azure gibi sağlayıcılar için OIDC bağlantıları da desteklenir. IdP'niz WorkOS standart listesinde değilse, WorkOS'un 'Generic SAML' bağlantı türü herhangi bir SAML 2.0 SP başlatmalı akışıyla çalışır. Listelenmemiş belirli bir IdP bağlantısına ihtiyacınız varsa bizimle iletişime geçin.

JIT provizyonu ile SCIM provizyonu arasındaki fark nedir?

JIT (Just-in-Time) provizyonu, ilk SSO oturum açmalarında Elido'da bir kullanıcı hesabı oluşturur - ön provizyon gerekmez. Kurulumu daha basittir ama kimin oturum açabileceği üzerinde kontrol sağlamaz (geçerli bir SSO onayı olan herkes bir hesap alır). SCIM provizyonu IdP'nize kontrol verir: yalnızca provizyonlanmış gruptaki kullanıcılar oturum açabilir ve hesaplar ilk oturum açmadan önce oluşturulur. Erişimin önceden onaylanması gereken kurumsal ortamlar için SCIM gereklidir. SCIM etkinken JIT provizyonu devre dışıdır.

SCIM grup-rol eşlemeleri nasıl çalışır?

Çalışma alanı SSO ayarlarında, IdP gruplarınızı Elido rollerine eşlersiniz: örneğin, 'Okta grubu: Elido Adminleri' → 'Elido rolü: Admin', 'Okta grubu: Elido Üyeleri' → 'Elido rolü: Üye'. Bir kullanıcının Elido'daki rolü, IdP grup üyeliğini takip eder - Okta'da Adminler grubundan Üyeler grubuna taşınırlarsa, Elido rolleri bir sonraki SCIM senkronizasyonunda (genellikle 60 saniyenin altında) düşürülür. Birden çok grupta olan bir kullanıcı, eşleşen eşlemelerden en yüksek ayrıcalıklı rolü alır.

SSO tüm kullanıcılar için zorunlu tutulabilir mi, yoksa isteğe bağlı mı?

SSO zorunlu (tüm kullanıcılar SSO ile oturum açmalıdır - parola ile oturum açma devre dışıdır) veya isteğe bağlı (kullanıcılar SSO veya e-posta+parola arasında seçim yapabilir) olarak ayarlanabilir. Business'ta, zorunlu tutma çalışma alanı SSO ayarlarında yapılandırılır. Bir kez zorunlu tutulduğunda, etkin bir SSO kimliği olmayan kullanıcılar erişim dışında kalır - zorunlu tutmayı etkinleştirmeden önce SCIM provizyonunun veya JIT'in hesapları oluşturduğundan emin olun. Yönetici hesapları, bir acil durum mekanizması olarak SSO zorunlu tutmasından muaf tutulabilir; bu yapılandırılabilir.

Bir kullanıcı SCIM üzerinden işten çıkarıldığında API anahtarlarına ne olur?

SCIM bir kullanıcıyı devre dışı bıraktığında, Elido o kullanıcı tarafından oluşturulan tüm API anahtarlarını askıya alır. Askıya alınan anahtarlar kimlik doğrulamada HTTP 401 döndürür. Anahtarlar silinmez - denetim amacıyla çalışma alanı yöneticilerine 'askıya alındı - işten çıkarılan kullanıcı' durum etiketiyle görünür kalır. Bir hizmet hesabı kişisel bir API anahtarı (çalışma alanı hizmet anahtarı değil) kullanıyorsa, anahtar askıya alma bu entegrasyonu bozar - bu kasıtlıdır. Üretim entegrasyonları için kullanıcı API anahtarları yerine çalışma alanı düzeyinde hizmet anahtarları kullanın.

SSO, Pro'da mı yoksa yalnızca Business'ta mı mevcut?

SSO ve SCIM yalnızca Business özellikleridir. Pro çalışma alanları, Elido'nun yerleşik kimlik doğrulamasını kullanır (kimlik doğrulama katmanımız üzerinden e-posta + parola, isteğe bağlı Google/GitHub OAuth). SSO, satın alma onayınız için kesin bir gereksinimse, Business planı başlangıç noktasıdır.

Birden çok markası veya alt kuruluşu olan bir çalışma alanı için SSO'yu nasıl ele alırım?

Her Elido çalışma alanının kendi SSO yapılandırması vardır - birden çok çalışma alanı işletiyorsanız (örneğin, marka başına, iş birimi başına), her biri ayrı ayrı kendi IdP bağlantısını ve SCIM provizyonunu alır. Kullanıcılar, her birinde farklı rollerle birden çok çalışma alanının üyesi olabilir; IdP kimlikleri aynıdır, ancak grup-rol eşlemeleri çalışma alanı başına değerlendirilir. Paylaşılan bir Okta grubu bir çalışma alanında Admin'e, diğerinde Üye'ye eşlenebilir.

Başarısız SSO girişimleri için bir denetim izi var mı?

Evet. Başarısız SSO girişimleri (geçersiz SAML onayı, süresi dolmuş oturum, JIT devre dışıyken eksik SCIM hesabı) neden koduyla çalışma alanı denetim izinde kaydedilir. Bu, belirli bir kullanıcının neden oturum açamadığını tespit etmek ve kaba kuvvet SSO deneme girişimlerini tespit etmek için faydalıdır. Bir eşiği aşan IP adreslerinden başarısız girişimler bir çalışma alanı uyarısını tetikler (çalışma alanı güvenlik ayarlarında yapılandırılabilir).

Denemeye hazır mısınız?

Ücretsiz planla başlayın, özel bir alan adına ihtiyacınız olduğunda yükseltin.