SSO ve SCIM. Kurumsal kimlik, sıfır sürtünme.
Herhangi bir büyük IdP'ye karşı SAML / OIDC oturum açma. SCIM dizin senkronizasyonu, kullanıcıları otomatik olarak provizyonlar ve provizyonunu kaldırır. Webhook sırları, durum kaybı olmadan döndürülür.
- 20'den fazla kimlik sağlayıcıya karşı SAML / OIDC
- SCIM dizin senkronizasyonu - otomatik provizyon ve provizyon kaldırma
- Kesinti olmadan webhook sır döndürme
- Uyumluluk için tam denetim izi
SCIM dizin senkronizasyonu
60 saniyenin altında provizyon ve provizyon kaldırma
IdP dizininizi bir kez bağlayın. Her işe alım, transfer ve ayrılış Elido'ya otomatik olarak yayılır - BT bileti yok, manuel davet yok, unutulan işten çıkış boşluğu yok.
- Otomatik provizyonOkta veya Entra'dan SCIM CREATE → 60 saniyenin altında Elido hesabı
- Grup-rol eşlemesiIdP grupları Elido rollerine eşlenir; değişiklikler bir sonraki senkronizasyonda yayılır
- Anında provizyon kaldırmaSCIM DELETE veya active: false → oturumlar hemen iptal edilir
- API anahtarı askıya almaİşten çıkışta tüm kullanıcı API anahtarları askıya alınır - ayrılıştan sonra erişim boşluğu yok
- AAna KovačAdmin
- BBen CarterMember
- CCarla MoraMember
- DDmitri VolkovViewer
- EErika SaloMember
- AAna KovačAdmin
- BBen CarterMember
- CCarla MoraMember
- DDmitri VolkovViewer
- EErika Saloprovizyonu kaldırıldı
Kimlik sağlayıcılar
Her büyük IdP ile çalışır
Elido, SSO ve SCIM aracısı olarak WorkOS'u kullanır - kutudan çıktığı gibi 20'den fazla bağlantı, ayrıca herhangi bir SP başlatmalı akış için Generic SAML. Elido uygulamasını IdP'nizde bir kez yapılandırın; Elido, SAML metadata XML'ini veya OIDC kimlik bilgilerini oluşturur.
SAML 2.0 uyumlu herhangi bir IdP, Generic SAML ile çalışır. Kurulum kılavuzuna bakın →
- Kullanıcı SCIM üzerinden provizyonlandıokta-scim-svc10.0.1.409:12:04
- SSO oturum açma - Okta[email protected]91.223.4.1709:14:31
- SSO oturum açma - Azure AD[email protected]185.46.9.209:17:08
- Webhook sırrı döndürüldü[email protected]77.123.11.510:05:22
- Kullanıcının SCIM üzerinden provizyonu kaldırıldıokta-scim-svc10.0.1.414:33:51
- Rol değişti: Üye → Admin[email protected]77.123.11.515:01:09
Denetim izi
Değiştirilemez kimlik olay günlüğü
Her SSO oturum açma, SCIM provizyonu, rol değişikliği ve sır döndürme salt eklemeli olarak kaydedilir. Hiçbir yönetici kayıtları silemez. CSV'ye dışa aktarın veya API üzerinden SIEM'inize akıtın.
- Olay başına zaman damgası, aktör, eylem, hedef ve IdP bağlantısı
- Business'ta 12 aylık saklama; istek üzerine daha uzun süre mevcut
- SOC 2, ISO 27001, DORA ve NIS2 kanıtı için API dışa aktarma
- Başarısız SSO girişimleri neden koduyla kaydedilir
- SSO deneme eşiği için IP tabanlı uyarı
- Sır döndürmeleri günlükte örtüşme penceresine referans verir
Neler yapabilirsiniz
- Okta, Azure AD / Entra, Google Workspace
- E-posta alan adı → bağlantı eşlemesi
- SCIM kullanıcı oluşturma / güncelleme / silme
- Webhook imza doğrulaması (HMAC-SHA256)
Kurumsal SSO ve SCIM provizyonun üretimde gerçekte gerektirdiği şey
SAML yönlendirmesi asgari şarttır. Aşağıdaki ayrıntılar; provizyon gecikmesini, rol eşlemesini, sır döndürmeyi ve güvenlik ekiplerinin önemsediği hata modlarını kapsar.
WorkOS üzerinden SAML 2.0 ve OIDC oturum açma - e-posta alan adı yönlendirmesi doğru IdP bağlantısına gider
Elido, Okta, Azure AD / Entra ID, Google Workspace, OneLogin, PingFederate ve SAML 2.0 uyumlu herhangi bir IdP dahil 20'den fazla IdP bağlantısını destekleyen WorkOS'u SSO aracısı olarak kullanır. BT ekibiniz Elido uygulamasını IdP'nizde bir kez yapılandırır; Elido, IdP kurulum sihirbazı için bir SAML metadata XML'i veya OIDC istemci kimlik bilgileri oluşturur. E-posta alan adı yönlendirmesi, kullanıcı e-posta alan adlarını doğru IdP bağlantısına eşler - @sirketiniz.com adresine sahip kullanıcılar, seçim yapmalarına gerek kalmadan otomatik olarak Okta bağlantınıza yönlendirilir. Birden çok e-posta alan adı tek bir bağlantıya eşlenebilir (birleşik kuruluşlar veya birden çok e-posta alan adı olan şirketler için). SCIM kullanılmıyorsa JIT provizyonu ilk SSO oturum açmasında Elido hesabını oluşturur; SCIM etkinse, JIT devre dışıdır ve hesap ilk oturum açmadan önce SCIM üzerinden provizyonlanmalıdır.
SCIM 2.0 dizin senkronizasyonu: otomatik provizyon, provizyon kaldırma ve grup-rol eşlemesi
SCIM 2.0, kimlik sağlayıcınızın kullanıcı dizinini Elido ile senkronize eder. Bir kullanıcı Okta veya Entra'daki Elido uygulama grubuna eklendiğinde, Elido bir SCIM CREATE olayı alır ve kullanıcı hesabını provizyonlar - BT bileti yok, manuel davet yok. Kullanıcı profili güncellemeleri (ad, e-posta) otomatik olarak yayılır. Bir kullanıcı gruptan çıkarıldığında veya IdP'de devre dışı bırakıldığında, Elido bir SCIM DELETE veya PATCH (active: false) olayı alır ve erişimi hemen iptal eder - etkin oturumlar geçersiz kılınır, kullanıcıya ait API anahtarları askıya alınır. Grup-rol eşlemesi, IdP gruplarınızı ('Elido Adminleri', 'Elido Görüntüleyicileri') Elido rollerine (Admin, Üye, Görüntüleyici) eşlemenizi sağlar. Rol atamaları, IdP'de grup üyeliği değiştiğinde otomatik olarak güncellenir. IdP olayından Elido hesap oluşturmaya kadar provizyon gecikmesi genellikle 60 saniyenin altındadır.
Webhook imzalama sırları, işlemdeki olayları kaybetmeden döndürülür - sıfır kesinti döndürme prosedürü
Elido'nun SCIM webhook alıcısı ve giden webhook sistemi, olay orijinalliğini doğrulamak için HMAC-SHA256 imzalarını kullanır. Sırlar süresi dolar ve döndürme gerektirir - ya bir programa göre (önerilen: 90 gün) ya da şüphelenilen bir güvenlik ihlalinden sonra. Sıfır kesinti döndürme şu şekilde çalışır: panelde yeni bir sır oluşturun (örtüşme penceresi sırasında eski sır 15 dakika geçerliliğini korur), yeni sırrı sistemlerinize dağıtın, gelen bir SCIM olayının yeni sırla doğrulandığını onaylayın, ardından eski sırrın hemen süresinin dolmasını tetikleyin. 15 dakikalık örtüşme penceresi, eski sırla imzalanmış işlemdeki olayların dağıtım penceresi sırasında hâlâ işlenmesini sağlar. Sır döndürme, zaman damgası, aktör (döndüren yönetici) ve örtüşme süresinin dolduğunun onayı ile denetim izinde kaydedilir.
Tam kimlik olay günlüğü: SSO oturum açmaları, provizyon olayları, rol değişiklikleri ve sır döndürmeleri
Her SSO oturum açma, SCIM provizyon/provizyon kaldırma, rol atama değişikliği ve sır döndürme, çalışma alanı denetim izinde (Business) kaydedilir. Her kayıt şunları içerir: zaman damgası, aktör (kullanıcı veya SCIM hizmeti), eylem türü, hedef (etkilenen kullanıcı veya kaynak), kullanılan IdP bağlantısı ve çalışma alanı kimliği. Denetim izi salt eklemeli ve değiştirilemezdir - hiçbir yönetici kayıtları silemez. SIEM alımı için CSV'ye dışa aktarın veya API üzerinden sorgulayın. Uyumluluk çerçeveniz erişim kontrolü olaylarının kanıtını gerektiriyorsa (SOC 2 Type II, ISO 27001, DORA, NIS2), denetim izi bu kanıttır. Business'ta saklama süresi 12 aydır; düzenlenmiş sektörler için istek üzerine daha uzun saklama mevcuttur.
SCIM üzerinden zorlanmış oturum sona erdirme - IdP devre dışı bırakmasında 60 saniyenin altında erişim iptali
SCIM bir kullanıcının devre dışı bırakıldığını (çalışan işten çıkışı, taşeron sözleşme sonu) sinyallediğinde, Elido o kullanıcının tüm etkin oturumlarını hemen geçersiz kılar ve API anahtarlarını askıya alır. Bu, oturum çerezi TTL'sine bağlı değildir - Elido, kullanıcı kimliği başına bir iptal bayrağı saklar ve bunu her kimliği doğrulanmış istekte kontrol eder. IdP devre dışı bırakmasından Elido erişim iptaline kadar geçen süre, SCIM olay teslim gecikmesidir: genellikle Okta için 30 saniyenin altında, Azure Entra için 60 saniyenin altında. Yüksek güvenlikli işten çıkışlar için (örneğin, ayrılan bir yönetici), bir Elido çalışma alanı yöneticisi de SCIM olayı gelmeden önce panelde belirli bir kullanıcının oturumlarını manuel olarak iptal edebilir. Manuel olarak iptal edilen oturumlar ve SCIM tetiklemeli iptaller denetim izinde görünür.
Elido SSO ve SCIM'i kullanan kurumsal güvenlik ekipleri
Adlar yer tutucudur - gerçek müşteri vaka çalışmaları yayınlandıkça buraya eklenecektir.
“SCIM ile işten çıkış, güvenlik ekibimizin ilk günden itibaren talebiydi. Bir çalışan Entra'da devre dışı bırakıldığında, Elido erişimi bir dakikanın altında kayboluyor - manuel provizyon kaldırma bileti yok, 'iptal etmeyi unuttum' boşluğu yok. Üç ay sonra günlükleri denetledik ve işten çıkıştan sonra erişim olayı sıfır bulduk.”
“İki satın almadan gelen beş şirket e-posta alan adımız var. Elido'daki e-posta alan adı → IdP yönlendirmesi, aynı Okta bağlantısına işaret eden beşinin tümünü ele alıyor. Herhangi bir alan adından kullanıcılar, listeden seçim yapmadan doğru SSO akışına ulaşıyor.”
“Kesintisiz sır döndürme, bizi ikna eden ayrıntıydı. Politika olarak webhook sırlarını üç ayda bir döndürüyoruz; 15 dakikalık örtüşme penceresi, mesai saatlerinde herhangi bir olay riski olmadan döndürebileceğimiz anlamına geliyor. Her döndürme kaydedilir, denetlenir ve SOC 2 kanıt paketimizde referans gösterilir.”
Elido SSO ve SCIM vs Bitly vs Rebrandly
SSO, Bitly'nin kurumsal katmanında ve Rebrandly'nin Business katmanında mevcuttur. SCIM provizyonu her ikisinde de daha sınırlıdır. Karşılaştırma, her birinin gerçekte sunduklarını kapsar.
| Feature | Elido | Bitly Enterprise | Rebrandly Business |
|---|---|---|---|
| SAML 2.0 SSO | Var - WorkOS aracısı, 20+ IdP bağlantısı | Var - kurumsal katman | Var - Business katmanı |
| OIDC SSO | Var - WorkOS üzerinden SAML ile birlikte | Yalnızca SAML | Yalnızca SAML |
| SCIM 2.0 provizyonu | Tam oluşturma / güncelleme / silme + grup-rol eşlemesi | Sınırlı - yalnızca kullanıcı oluşturma, grup-rol eşlemesi yok | Yok |
| İşten çıkışta otomatik provizyon kaldırma | Var - SCIM DELETE, oturum 60s'nin altında iptal edilir | Yalnızca manuel | Yalnızca manuel |
| E-posta alan adı IdP yönlendirmesi | Var - bağlantı başına birden çok alan adı | Bağlantı başına tek alan adı | Belgelenmemiş |
| Kimlik olayları için denetim izi | Var - değiştirilemez, 12 ay, API dışa aktarma | Sınırlı denetim günlüğü | Sınırlı denetim günlüğü |
| Webhook sır döndürme (sıfır kesinti) | Var - 15 dakikalık örtüşme penceresi | Geçerli değil | Geçerli değil |
SSO ve SCIM soruları
Hangi kimlik sağlayıcılar destekleniyor?
Elido, Okta, Azure AD / Entra ID, Google Workspace, OneLogin, PingFederate, Shibboleth, ADFS, JumpCloud ve SAML 2.0 uyumlu herhangi bir IdP'yi destekleyen WorkOS'u SSO ve SCIM aracısı olarak kullanır. Google Workspace ve Azure gibi sağlayıcılar için OIDC bağlantıları da desteklenir. IdP'niz WorkOS standart listesinde değilse, WorkOS'un 'Generic SAML' bağlantı türü herhangi bir SAML 2.0 SP başlatmalı akışıyla çalışır. Listelenmemiş belirli bir IdP bağlantısına ihtiyacınız varsa bizimle iletişime geçin.
JIT provizyonu ile SCIM provizyonu arasındaki fark nedir?
JIT (Just-in-Time) provizyonu, ilk SSO oturum açmalarında Elido'da bir kullanıcı hesabı oluşturur - ön provizyon gerekmez. Kurulumu daha basittir ama kimin oturum açabileceği üzerinde kontrol sağlamaz (geçerli bir SSO onayı olan herkes bir hesap alır). SCIM provizyonu IdP'nize kontrol verir: yalnızca provizyonlanmış gruptaki kullanıcılar oturum açabilir ve hesaplar ilk oturum açmadan önce oluşturulur. Erişimin önceden onaylanması gereken kurumsal ortamlar için SCIM gereklidir. SCIM etkinken JIT provizyonu devre dışıdır.
SCIM grup-rol eşlemeleri nasıl çalışır?
Çalışma alanı SSO ayarlarında, IdP gruplarınızı Elido rollerine eşlersiniz: örneğin, 'Okta grubu: Elido Adminleri' → 'Elido rolü: Admin', 'Okta grubu: Elido Üyeleri' → 'Elido rolü: Üye'. Bir kullanıcının Elido'daki rolü, IdP grup üyeliğini takip eder - Okta'da Adminler grubundan Üyeler grubuna taşınırlarsa, Elido rolleri bir sonraki SCIM senkronizasyonunda (genellikle 60 saniyenin altında) düşürülür. Birden çok grupta olan bir kullanıcı, eşleşen eşlemelerden en yüksek ayrıcalıklı rolü alır.
SSO tüm kullanıcılar için zorunlu tutulabilir mi, yoksa isteğe bağlı mı?
SSO zorunlu (tüm kullanıcılar SSO ile oturum açmalıdır - parola ile oturum açma devre dışıdır) veya isteğe bağlı (kullanıcılar SSO veya e-posta+parola arasında seçim yapabilir) olarak ayarlanabilir. Business'ta, zorunlu tutma çalışma alanı SSO ayarlarında yapılandırılır. Bir kez zorunlu tutulduğunda, etkin bir SSO kimliği olmayan kullanıcılar erişim dışında kalır - zorunlu tutmayı etkinleştirmeden önce SCIM provizyonunun veya JIT'in hesapları oluşturduğundan emin olun. Yönetici hesapları, bir acil durum mekanizması olarak SSO zorunlu tutmasından muaf tutulabilir; bu yapılandırılabilir.
Bir kullanıcı SCIM üzerinden işten çıkarıldığında API anahtarlarına ne olur?
SCIM bir kullanıcıyı devre dışı bıraktığında, Elido o kullanıcı tarafından oluşturulan tüm API anahtarlarını askıya alır. Askıya alınan anahtarlar kimlik doğrulamada HTTP 401 döndürür. Anahtarlar silinmez - denetim amacıyla çalışma alanı yöneticilerine 'askıya alındı - işten çıkarılan kullanıcı' durum etiketiyle görünür kalır. Bir hizmet hesabı kişisel bir API anahtarı (çalışma alanı hizmet anahtarı değil) kullanıyorsa, anahtar askıya alma bu entegrasyonu bozar - bu kasıtlıdır. Üretim entegrasyonları için kullanıcı API anahtarları yerine çalışma alanı düzeyinde hizmet anahtarları kullanın.
SSO, Pro'da mı yoksa yalnızca Business'ta mı mevcut?
SSO ve SCIM yalnızca Business özellikleridir. Pro çalışma alanları, Elido'nun yerleşik kimlik doğrulamasını kullanır (kimlik doğrulama katmanımız üzerinden e-posta + parola, isteğe bağlı Google/GitHub OAuth). SSO, satın alma onayınız için kesin bir gereksinimse, Business planı başlangıç noktasıdır.
Birden çok markası veya alt kuruluşu olan bir çalışma alanı için SSO'yu nasıl ele alırım?
Her Elido çalışma alanının kendi SSO yapılandırması vardır - birden çok çalışma alanı işletiyorsanız (örneğin, marka başına, iş birimi başına), her biri ayrı ayrı kendi IdP bağlantısını ve SCIM provizyonunu alır. Kullanıcılar, her birinde farklı rollerle birden çok çalışma alanının üyesi olabilir; IdP kimlikleri aynıdır, ancak grup-rol eşlemeleri çalışma alanı başına değerlendirilir. Paylaşılan bir Okta grubu bir çalışma alanında Admin'e, diğerinde Üye'ye eşlenebilir.
Başarısız SSO girişimleri için bir denetim izi var mı?
Evet. Başarısız SSO girişimleri (geçersiz SAML onayı, süresi dolmuş oturum, JIT devre dışıyken eksik SCIM hesabı) neden koduyla çalışma alanı denetim izinde kaydedilir. Bu, belirli bir kullanıcının neden oturum açamadığını tespit etmek ve kaba kuvvet SSO deneme girişimlerini tespit etmek için faydalıdır. Bir eşiği aşan IP adreslerinden başarısız girişimler bir çalışma alanı uyarısını tetikler (çalışma alanı güvenlik ayarlarında yapılandırılabilir).
Okumaya devam edin
Beyaz etiket portal SSO - müşterileriniz kendi IdP'leri üzerinden markalı panelinizde oturum açar.
HMAC imzalı giden webhook'lar - aynı sır döndürme deseni giden webhook imzaları için de geçerlidir.
Üretim API entegrasyonları için çalışma alanı hizmet anahtarları - bireysel kullanıcılara değil çalışma alanına kapsamlanmıştır.
SOC 2, ISO 27001, AB'de barındırma ve özel edge - tam kurumsal özellik yığını.
Denemeye hazır mısınız?
Ücretsiz planla başlayın, özel bir alan adına ihtiyacınız olduğunda yükseltin.