Elido
Все, що робить Elido
Business

SSO та SCIM. Корпоративна ідентифікація без перешкод.

Вхід SAML / OIDC проти будь-якого основного IdP. Синхронізація каталогів SCIM автоматично провізіонує та депровізіонує користувачів. Секрети вебхуків обертаються без втрати стану.

Почати безкоштовноПрочитати посібник з SCIM та SSO
  • SAML / OIDC з понад 20 провайдерами ідентифікації
  • SCIM-синхронізація каталогу - автоматичне створення та видалення користувачів
  • Ротація секретів вебхуків без простоїв
  • Повний журнал аудиту для комплаєнсу
Потік входу SSO
SAML 2.0
Користувачнатискає вхідIdPOOktaSAML 2.0 · SCIM 2.0AAzure ADEntra ID · OIDCGoogle WSSAML · OIDCSAMLWorkOSSSO-брокерSCIM-релеElidoпанельсесія ✓
Email-домен → маршрутизація IdP20+ з’єднань IdP
20+
З'єднань IdP через WorkOS
<60s
Затримка SCIM-провіженінгу користувачів
Zero-touch
Офбординг - деактивація в IdP = відкликання в Elido
HMAC-SHA256
Підпис секрету вебхука

SCIM-синхронізація каталогу

Створення та видалення користувачів менш ніж за 60 секунд

Підключіть каталог IdP один раз. Кожне наймання, переведення та звільнення поширюється на Elido автоматично - без заявок до IT, ручних запрошень і забутих прогалин в офбордингу.

  • Автоматичне підключення
    SCIM CREATE з Okta або Entra → акаунт в Elido менш ніж за 60 секунд
  • Зіставлення груп і ролей
    Групи IdP зіставляються з ролями Elido; зміни застосовуються при наступній синхронізації
  • Миттєве відключення
    SCIM DELETE або active: false → сесії негайно відкликаються
  • Блокування API-ключів
    Усі API-ключі користувача призупиняються при звільненні - жодного доступу після відходу
Синхронізація каталогу
SCIM 2.0
Каталог Okta
  • A
    Ana Kovač
    Admin
  • B
    Ben Carter
    Member
  • C
    Carla Mora
    Member
  • D
    Dmitri Volkov
    Viewer
  • E
    Erika Salo
    Member
SCIM
Робочий простір Elido
  • A
    Ana Kovač
    Admin
  • B
    Ben Carter
    Member
  • C
    Carla Mora
    Member
  • D
    Dmitri Volkov
    Viewer
  • E
    Erika Salo
    відключено
Синхронізація активна< 60 с затримка синхронізації

Провайдери ідентифікації

Працює з будь-яким великим IdP

Elido використовує WorkOS як брокер SSO і SCIM - понад 20 готових з’єднань плюс Generic SAML для будь-якого SP-ініційованого потоку. Налаштуйте застосунок Elido у вашому IdP один раз; Elido згенерує SAML metadata XML або OIDC-облікові дані.

Понад 20 IdP через WorkOS
Ok
Okta
SAML · SCIM
Az
Azure AD
SAML · OIDC
G
Google WS
SAML · OIDC
OL
OneLogin
SAML · SCIM
JC
JumpCloud
SAML · SCIM
Pi
PingIdentity
SAML 2.0
A0
Auth0
OIDC
SP
Generic SAML
SAML 2.0

Будь-який IdP із підтримкою SAML 2.0 працює через Generic SAML. Переглянути посібник з налаштування →

Журнал аудиту
УсіПодії SSOПодії SCIM
ПодіяАкторIPЧас
  • Користувача створено через SCIMokta-scim-svc10.0.1.409:12:04
  • Вхід SSO - Okta[email protected]91.223.4.1709:14:31
  • Вхід SSO - Azure AD[email protected]185.46.9.209:17:08
  • Секрет вебхука оновлено[email protected]77.123.11.510:05:22
  • Користувача видалено через SCIMokta-scim-svc10.0.1.414:33:51
  • Роль змінено: Member → Admin[email protected]77.123.11.515:01:09
Показано 6 подій · журнал append-onlyЕкспорт CSV

Журнал аудиту

Незмінний журнал подій ідентифікації

Кожен вхід через SSO, провізіонінг SCIM, зміна ролі та ротація секрету записуються в режимі append-only. Жоден адміністратор не може видалити записи. Експортуйте в CSV або транслюйте до вашого SIEM через API.

  • Час, актор, дія, ціль і IdP-з’єднання для кожної події
  • 12 місяців зберігання на Business; довше - за запитом
  • Експорт через API для доказів SOC 2, ISO 27001, DORA та NIS2
  • Невдалі спроби SSO логуються з кодом причини
  • Сповіщення за IP при перевищенні порога SSO-зондування
  • Ротації секретів посилаються на вікно перекриття в журналі
Деактивація в IdP → доступ у Elido відкликається за менш ніж 60 секунд

Що ви можете зробити

  • Okta, Azure AD / Entra, Google Workspace
  • Відображення домену електронної пошти → підключення
  • SCIM user create / update / delete
  • Перевірка підпису вебхука (HMAC-SHA256)

Що насправді потрібно для корпоративного SSO та SCIM-провіженінгу у продакшені

SAML-редирект - це лише база. Нижче описано деталі щодо затримки провіженінгу, маппінгу ролей, ротації секретів та сценаріїв відмов, які важливі для команд безпеки.

Вхід через SSO
01

Вхід через SAML 2.0 та OIDC за допомогою WorkOS - маршрутизація за доменом пошти до потрібного IdP

Elido використовує WorkOS як SSO-брокера, який підтримує понад 20 з'єднань IdP, включаючи Okta, Azure AD / Entra ID, Google Workspace, OneLogin, PingFederate та будь-який SAML 2.0-сумісний IdP. Ваша IT-команда один раз налаштовує застосунок Elido у вашому IdP; Elido генерує метадані SAML XML або облікові дані клієнта OIDC для майстра налаштування IdP. Маршрутизація за доменом пошти спрямовує домени користувачів до відповідного з'єднання IdP - користувачі з @yourcompany.com автоматично перенаправляються на ваше з'єднання Okta без необхідності вибору зі списку. Кілька доменів пошти можуть бути прив’язані до одного з’єднання (для компаній після злиття або з кількома доменами). JIT-провіженінг створює акаунт Elido під час першого входу через SSO, якщо SCIM не використовується; якщо SCIM активовано, JIT вимикається, і акаунт має бути створений через SCIM перед першим входом.

SCIM-провіженінг
02

Синхронізація каталогу SCIM 2.0: автоматичне створення, видалення та маппінг груп на ролі

SCIM 2.0 синхронізує каталог користувачів вашого провайдера ідентифікації з Elido. Коли користувача додають до групи застосунку Elido в Okta або Entra, Elido отримує подію SCIM CREATE і створює акаунт користувача - без IT-тікетів та ручних запрошень. Оновлення профілю користувача (ім'я, пошта) поширюються автоматично. Коли користувача видаляють із групи або деактивують в IdP, Elido отримує подію SCIM DELETE або PATCH (active: false) і негайно відкликає доступ - активні сесії анулюються, API-ключі користувача призупиняються. Маппінг груп на ролі дозволяє прив’язати ваші групи IdP (наприклад, 'Elido Admins', 'Elido Viewers') до ролей Elido (Admin, Member, Viewer). Призначення ролей оновлюється автоматично при зміні членства в групах IdP. Затримка провіженінгу від події в IdP до створення акаунта Elido зазвичай становить менше 60 секунд.

Ротація секретів
03

Секрети підпису вебхуків ротуються без втрати подій у процесі - процедура ротації без простоїв

Приймач SCIM-вебхуків та система вихідних вебхуків Elido використовують підписи HMAC-SHA256 для перевірки автентичності подій. Термін дії секретів закінчується, і вони потребують ротації - або за розкладом (рекомендовано кожні 90 днів), або після підозри на компрометацію. Ротація без простоїв працює так: згенеруйте новий секрет у панелі керування (старий залишається дійсним протягом 15 хвилин вікна перекриття), розгорніть новий секрет у своїх системах, переконайтеся, що вхідна подія SCIM верифікується новим секретом, а потім ініціюйте негайне закінчення терміну дії старого секрету. 15-хвилинне вікно перекриття гарантує, що події в процесі, підписані старим секретом, все одно будуть оброблені під час розгортання. Ротація секретів фіксується в журналі аудиту з позначкою часу, актором (адміном, який провів ротацію) та підтвердженням закінчення терміну дії перекриття.

Журнал аудиту
04

Повний журнал подій ідентифікації: входи через SSO, події провіженінгу, зміни ролей та ротації секретів

Кожен вхід через SSO, SCIM-провіженінг/депровіженінг, зміна призначення ролей та ротація секретів реєструються в журналі аудиту робочого простору (Business). Кожен запис містить: позначку часу, актора (користувача або сервіс SCIM), тип дії, ціль (користувача або ресурс), використане з'єднання IdP та ID робочого простору. Журнал аудиту доступний лише для додавання та незмінний - жоден адмін не може видалити записи. Експортуйте в CSV або робіть запити через API для SIEM. Якщо ваш фреймворк відповідності вимагає підтвердження подій контролю доступу (SOC 2 Type II, ISO 27001, DORA, NIS2), журнал аудиту є цим артефактом. Термін зберігання - 12 місяців на Business; довше зберігання доступне за запитом для регульованих галузей.

Керування сесіями
05

Примусове завершення сесії через SCIM - доступ відкликається менш ніж за 60 секунд після деактивації в IdP

Коли SCIM сигналізує про деактивацію користувача (звільнення співробітника, завершення контракту), Elido негайно анулює всі активні сесії цього користувача та призупиняє його API-ключі. Це не залежить від TTL сесійних кук - Elido зберігає прапорець відкликання для кожного ID користувача та перевіряє його при кожному автентифікованому запиті. Час від деактивації в IdP до відкликання доступу в Elido - це затримка доставки події SCIM: зазвичай до 30 секунд для Okta, до 60 секунд для Azure Entra. Для критичного відкликання доступу (наприклад, для адміна, що йде), адміністратор робочого простору Elido також може вручну анулювати сесії конкретного користувача в панелі керування до надходження події SCIM. Сесії, анульовані вручну та через SCIM, відображаються в журналі аудиту.

Команди корпоративної безпеки, що використовують Elido SSO та SCIM

Імена є плейсхолдерами - реальні кейси клієнтів з'являться тут після публікації.

SCIM-офбординг був вимогою нашої команди безпеки з першого дня. Коли співробітник деактивується в Entra, доступ до Elido зникає менш ніж за хвилину - без ручних заявок на депровіженінг, без ризику 'забутого доступу'. Ми перевірили журнали через три місяці та не знайшли жодної події доступу після звільнення.

I
IT-безпека, логістична компанія, 1200 співробітників, Гамбург
Менеджер з IT-безпеки

У нас п'ять поштових доменів компанії після двох поглинань. Маршрутизація доменів пошти до IdP в Elido дозволяє всім п'яти вказувати на одне з'єднання Okta. Користувачі з будь-якого домену потрапляють на потрібний потік SSO, не обираючи зі списку.

E
Enterprise IT, SaaS, що масштабується, 400 співробітників, Амстердам
Старший IT-інженер

Ротація секретів без простоїв - це була деталь, яка нас переконала. Ми ротуємо секрети вебхуків щокварталу згідно з політикою; 15-хвилинне вікно перекриття означає, що ми можемо проводити ротацію в робочий час без ризику інцидентів. Кожна ротація фіксується в журналі, проходить аудит і вказується в нашому пакеті доказів SOC 2.

S
Security engineering, fintech, Дублін
Інженер з безпеки

Elido SSO та SCIM проти Bitly та Rebrandly

SSO доступне на тарифі Enterprise у Bitly та тарифі Business у Rebrandly. SCIM-провіженінг у обох обмеженіший. Порівняння охоплює те, що кожен пропонує насправді.

FeatureElidoBitly EnterpriseRebrandly Business
SAML 2.0 SSOТак - брокер WorkOS, 20+ з'єднань IdPТак - тариф EnterpriseТак - тариф Business
OIDC SSOТак - разом із SAML через WorkOSТільки SAMLТільки SAML
SCIM 2.0 provisioningПовне створення / оновлення / видалення + маппінг груп на роліОбмежено - тільки створення користувачів, без маппінгу групНедоступно
Автоматичне деактивування під час офбордингуТак - SCIM DELETE, сесія анулюється менш ніж за 60сТільки вручнуТільки вручну
Email-domain IdP routingТак - кілька доменів на з'єднанняОдин домен на з'єднанняНе задокументовано
Журнал аудиту для подій ідентифікаціїТак - незмінний, 12 місяців, експорт через APIОбмежений журнал аудитуОбмежений журнал аудиту
Ротація секрету вебхуків (без простою)Так - 15-хвилинне вікно перекриттяНе застосовуєтьсяНе застосовується

Питання щодо SSO та SCIM

Які провайдери ідентифікації (IdP) підтримуються?

Elido використовує WorkOS як SSO- та SCIM-брокера, який підтримує Okta, Azure AD / Entra ID, Google Workspace, OneLogin, PingFederate, Shibboleth, ADFS, JumpCloud та будь-який SAML 2.0-сумісний IdP. З'єднання OIDC також підтримуються для таких провайдерів, як Google Workspace та Azure. Якщо вашого IdP немає в стандартному списку WorkOS, тип з'єднання 'Generic SAML' працює з будь-яким потоком SAML 2.0, ініційованим сервіс-провайдером (SP-initiated). Зв'яжіться з нами, якщо вам потрібне специфічне з'єднання IdP, якого немає в списку.

Що таке JIT-провіженінг проти SCIM-провіженінгу?

JIT (Just-in-Time) провіженінг створює акаунт користувача в Elido під час його першого входу через SSO - попередня підготовка не потрібна. Це простіше в налаштуванні, але не дає контролю над тим, хто може увійти (будь-хто з дійсним SSO-підтвердженням отримує акаунт). SCIM-провіженінг дає контроль вашому IdP: тільки користувачі в підготовленій групі можуть увійти, а акаунти створюються до першого входу. Для корпоративних середовищ, де доступ має бути попередньо схвалений, SCIM є обов'язковим. Коли SCIM активний, JIT-провіженінг вимикається.

Як працює маппінг груп SCIM на ролі?

У налаштуваннях SSO робочого простору ви прив’язуєте свої групи IdP до ролей Elido: наприклад, 'Okta group: Elido Admins' → 'Elido role: Admin', 'Okta group: Elido Members' → 'Elido role: Member'. Роль користувача в Elido відповідає його членству в групі IdP - якщо його перемістити з групи Admins до групи Members в Okta, його роль в Elido буде понижена при наступній синхронізації SCIM (зазвичай до 60 секунд). Користувач, який перебуває в кількох групах, отримує роль з найвищими привілеями серед відповідних маппінгів.

Чи може SSO бути обов'язковим для всіх користувачів, чи це опціонально?

SSO можна встановити як обов'язкове (enforced) - тоді всі користувачі повинні входити через SSO, а вхід за паролем вимикається, або опціональне (users can choose SSO or email+password). На Business обов'язковість налаштовується в параметрах SSO робочого простору. Після ввімкнення обов'язковості користувачі без активної SSO-ідентичності будуть заблоковані - переконайтеся, що SCIM або JIT створили акаунти перед активацією. Акаунти адміністраторів можуть бути виключені з обов'язкового SSO як механізм екстреного доступу; це можна налаштувати.

Що стається з API-ключами, коли користувача видаляють через SCIM?

Коли SCIM деактивує користувача, Elido призупиняє всі API-ключі, створені цим користувачем. Призупинені ключі повертають HTTP 401 при автентифікації. Ключі не видаляються - вони залишаються видимими для адміністраторів робочого простору для цілей аудиту зі статусом 'suspended - offboarded user'. Якщо сервісний акаунт використовував персональний API-ключ (не сервісний ключ робочого простору), призупинення ключа розірве цю інтеграцію - це зроблено навмисно. Для продуктових інтеграцій використовуйте сервісні ключі рівня робочого простору, а не особисті API-ключі користувачів.

Чи доступне SSO на Pro, чи тільки на Business?

SSO та SCIM - це функції лише для тарифу Business. Робочі простори Pro використовують вбудовану автентифікацію Elido (email + пароль через наш рівень автентифікації, опціонально Google/GitHub OAuth). Якщо SSO є жорсткою вимогою вашого відділу закупівель, тариф Business є стартовою точкою. Зв'яжіться з відділом продажу для пробного періоду Business, якщо вам потрібно оцінити SSO перед покупкою.

Як налаштувати SSO для робочого простору з кількома брендами або підрозділами?

Кожен робочий простір Elido має власну конфігурацію SSO - якщо ви керуєте кількома робочими просторами (наприклад, для окремих брендів чи підрозділів), кожен отримує своє з'єднання IdP та SCIM-провіженінг окремо. Користувачі можуть бути членами кількох робочих просторів з різними ролями в кожному; їхня ідентичність IdP залишається незмінною, але маппінги груп на ролі оцінюються для кожного простору. Спільна група Okta може відповідати ролі Admin в одному просторі та Member в іншому.

Чи є журнал аудиту для невдалих спроб входу через SSO?

Так. Невдалі спроби входу через SSO (недійсне підтвердження SAML, сесія, що закінчилася, відсутність акаунта SCIM при вимкненому JIT) реєструються в журналі аудиту робочого простору з кодом причини. Це корисно для діагностики того, чому конкретний користувач не може увійти, та для виявлення спроб підбору SSO. Невдалі спроби з IP-адрес, що перевищують поріг, ініціюють сповіщення робочого простору (налаштовується в параметрах безпеки).

Читати далі

White-label

SSO для White-label порталу - ваші клієнти входять у вашу брендовану панель керування через свій IdP.

Вебхуки

Вихідні вебхуки з підписом HMAC - той самий шаблон ротації секретів застосовується до підписів вихідних вебхуків.

API та SDK

Сервісні ключі робочого простору для продуктових API-інтеграцій - діють на рівні простору, а не окремих користувачів.

Для корпорацій

SOC 2, ISO 27001, резидентність в ЄС та виділений edge - повний корпоративний стек функцій.

Готові спробувати?

Почніть з безкоштовного плану, оновіть, коли вам знадобиться власний домен.

Почати безкоштовноПереглянути ціни