← Оберіть кут, який підходить вашій команді

For enterprise IT

The shortener your security team won’t reject.

Ви вимірюєте відповідність вимогам, час реагування на інциденти та кількість анкет постачальників, які ви можете витримати. Elido — це скорочувач, який ваша команда безпеки не відхилить.

Talk to sales Read trust report

SAML SSO + SCIM via WorkOS or native — Okta, Entra ID, Google
eu-central-1 default with workspace-level region pin
SOC 2 Type II audit in progress (H2 2026 target)
ISO 27001 achieved; certificate available under NDA

Workspace residency

eu-central-1 · default

Default + EU residency

Opt-in (Business+, irreversible)

SAML + OIDC

Протокол SSO

WorkOS

Провайдер SSO/SCIM

7 років

Зберігання логів (Business)

ISO 27001

Поточна сертифікація

How SSO works

Okta or Entra ID → SAML → Elido. Twelve minutes from cold start.

SSO routes through WorkOS, which normalises the protocol differences between SAML 2.0 and OIDC and the per-IdP quirks that no one wants to maintain themselves. Your team configures the SAML app once in their IdP; Elido picks up users by email domain → connection mapping.

Step 1
User signs in
okta.com / login.microsoftonline.com
IdP authenticates against the corporate directory.
Step 2
SAML assertion
WorkOS connection · domain-routed
Email-domain → IdP connection mapping, no per-user setup.
Step 3
Elido session
edge auth · 200 OK
Session token issued, scope derived from group claims.
Step 4
Workspace landing
app.elido.app/w/your-org
Role + IP allowlist evaluated; audit row written.

SCIM provisioning

Add a user in Okta. They’re in Elido in five minutes.

SCIM 2.0 directory sync provisions and deprovisions users automatically. Group-claim mapping converts IdP groups into Elido workspace roles, so a promotion in HR’s system rolls into Elido without a ticket. Departing employees are deprovisioned within the SCIM sync cycle, with active sessions revoked and the action logged.

Auto-provision on group add
IdP group membership → workspace invitation, no manual step
Group-claim role mapping
engineering-eu → editor, finance → viewer, configurable
Deprovision = session revoke
DELETE event invalidates tokens; API keys revoked by policy
Every SCIM event is audited
Append-only log with actor, before/after, source IP

SCIM & SSO deep-dive →

SCIM directory sync

workspace · acme-eu

Live · WorkOS

1
User added in Okta
Joins the elido-eu-engineering directory group as part of HR onboarding.
okta.comPOST /scim/v2/Users
T+75s
2
WorkOS pushes to Elido
SCIM sync cycle picks up the create event; no manual invite needed.
workos.com → elido.appscim.create user@org
T+150s
3
Elido provisions the user
Account created, workspace invitation surfaced in pending state.
api-coreuser.id = usr_01HK…
T+225s
4
Group claim → role
engineering → editor; billing-admins → admin. Mapping is configurable.
policyrole: editor (workspace.eu)
T+300s
Deprovision is the same flow in reverse — DELETE event revokes sessions and rotates affected API keys per policy.

Authorization model

Cedar-based RBAC, not a fixed three-tier hierarchy.

The matrix below is the out-of-the-box view. Custom roles let you express things like “create links on this domain only” or “read-only on analytics, no billing access” as Cedar policies. Roles are scoped per workspace, so different business units can run different role structures.

Built-in role permissions

Cedar policies · custom roles override

Permission	Owner	Admin	Member	Read-only	API key
Create / edit links
Manage custom domains
View analytics
Manage billing
Invite & manage members
Rotate API keys

Allowed

Scoped — set via Cedar policy

Denied

Policy eval at request time, not at loginaudit · every change

See security model →Custom roles guide → docs

What enterprise IT actually gets

SAML SSO + SCIM via WorkOS or native — Okta, Entra ID, Google
eu-central-1 default with workspace-level region pin
SOC 2 Type II audit in progress (H2 2026 target)
ISO 27001 achieved; certificate available under NDA
BAA on Business+ for HIPAA-adjacent workloads
Dedicated edge POPs available for Enterprise contracts

Що корпоративному IT насправді потрібно від сервісу скорочення посилань

Сервіси «тіньового IT» не проходять закупівлі через три питання: хто має доступ, де знаходяться дані та чи можемо ми провести аудит. Функції нижче закривають ці прогалини.

Ідентифікація та керування доступами

SAML SSO через WorkOS із SCIM-підготовкою користувачів

SSO працює через WorkOS, що підтримує SAML 2.0 та OIDC з будь-яким великим IdP: Okta, Azure AD / Entra ID, Google Workspace, OneLogin, Ping та іншими. Мапінг доменів електронної пошти дозволяє спрямовувати користувачів до потрібного IdP без жодних налаштувань з їхнього боку. Синхронізація каталогів SCIM автоматично створює та видаляє користувачів: нові співробітники, додані у відповідну групу IdP, отримують запрошення в робочий простір Elido за лічені хвилини; звільнені співробітники видаляються під час циклу синхронізації SCIM без створення ручного запиту. Групи з IdP мапляться на ролі в робочому просторі Elido; ви налаштовуєте мапінг один раз. Зміни ролей в IdP поширюються автоматично. Це інтеграція на базі WorkOS — ми не підтримуємо окремі конектори для кожного IdP; WorkOS нормалізує протоколи, а Elido використовує єдину кінцеву точку SCIM.

Модель авторизації

Спеціальні ролі з Cedar-style RBAC — більше ніж власник/адмін/учасник

Модель ролей Elido базується на Cedar, що означає, що дозволи — це політики, які обчислюються під час запиту, а не фіксована трирівнева ієрархія. З коробки ви отримуєте ролі Власник, Адмін, Учасник та Глядач. Спеціальні ролі дозволяють визначати такі політики, як «може створювати посилання на цьому домені, але не може видаляти або змінювати правила маршрутизації» або «доступ тільки для читання аналітики без доступу до налаштувань білінгу». Ролі призначаються для кожного робочого простору окремо — корпорація з кількома просторами може мати різну структуру ролей для кожного підрозділу. Список дозволених IP (діапазони CIDR) перевіряється разом із ролями: користувачеві з відповідною роллю, але за межами дозволеного діапазону IP, буде відмовлено. Це важливо для гібридних команд, де підрядники мають інший рівень доступу, ніж штатні працівники.

Аудит та SIEM

Журнал аудиту тільки для запису, що транслюється у ваш SIEM у реальному часі

Кожна дія в робочому просторі — створення, оновлення, видалення посилання; зміна налаштувань; запрошення учасників та зміна ролей; випуск та ротація API-ключів; підтвердження домену; експорт — потрапляє в журнал аудиту з ідентифікатором актора, міткою часу, вихідним IP, різницею «до/після» та структурованим типом події. Логи зберігаються 90 днів на тарифі Pro та 7 років на Business. Потік SIEM передає події через webhook (підписаний HMAC-SHA256) у Splunk, Datadog, ELK або будь-який HTTP-приймач у реальному часі. Журнал доступний для запитів у панелі керування, але не підлягає редагуванню; обмеження «тільки для запису» забезпечується на рівні бази даних. Комплаєнс: журнал аудиту є основним доказом при перевірці контролю доступу, управлінні змінами та реагуванні на інциденти. Мета-подія «очищення за терміном зберігання» реєструється при видаленні старих записів, тому сама відсутність даних є придатною для аудиту.

Управління даними

Резидентність даних у ЄС, список дозволених IP та експорт у BigQuery для відповідності вимогам

Дані робочого простору за замовчуванням закріплені за ЄС (Франкфурт) і ніколи не залишають цей регіон, якщо адміністратор явно не вибере Ешберн або Сінгапур під час створення простору — це незворотний вибір. Міжрегіональна реплікація для гарячих даних відсутня. Список дозволених IP (CIDR) на тарифі Business обмежує доступ до робочого простору відомими діапазонами вихідних IP — корисно для команд, що використовують VPN або фіксовані офісні IP. Експорт у BigQuery надсилає повний потік подій кліків та логів аудиту в набір даних BigQuery, яким ви володієте, за розкладом або за запитом. Snowflake та S3 також підтримуються. Для регульованих навантажень, де дані повинні залишатися у власній інфраструктурі: Helm-чарт для самостійного хостингу дозволяє запускати рівень перенаправлення у вашому власному VPC, зберігаючи події кліків у вашому власному ClickHouse. BAA для HIPAA доступна на тарифі Business+ — технічні засоби захисту (шифрування, аудит, контроль доступу, сповіщення про порушення) налаштовані; BAA є юридичною оболонкою навколо них.

Перевірка постачальника

Готові докази відповідності: SOC 2, ISO 27001, DPA, субпроцесори

Питання закупівель, які Elido закриває без довгих листувань: DPA попередньо підписаний та доступний для завантаження за адресою /legal/dpa; список субпроцесорів відкритий на /legal/subprocessors (5 постачальників, усі зареєстровані в ЄС або з можливістю відмови); ISO 27001 отримано; SOC 2 Type II у процесі з ціллю на H2 2026. Ми надаємо докази Type 1 під NDA для клієнтів, яким вони потрібні до публікації звіту Type 2. Центр довіри (Trust Center) на /trust відстежує поточний статус сертифікації та оновлення щодо історії інцидентів. Розкриття вразливостей відбувається через HackerOne (приватна програма); security.txt знаходиться за стандартним шляхом. Ці речі вже існують, а не в планах. Ми не будемо заявляти про SOC 2 Type II, поки період аудиту не буде завершено — очікуйте в H2 2026.

Stack you’ll touch

SSO (SAML / OIDC)
SCIM provisioning
Власні ролі (RBAC)
IP allowlist
Audit log + SIEM firehose
Розміщення даних у ЄС
HIPAA BAA

Що вимірює ваша команда безпеки

Кількість субпідрядників: 5, тільки ЄС
Збереження журналу аудиту: 7 років на Business
Час відповіді DSAR: Менше 30 днів

Корпоративні IT-команди, які використовують Elido

Назви наразі є плейсхолдерами — реальні імена клієнтів з'являться тут після публікації кейсів.

“Синхронізація Okta SCIM та список дозволених IP закрили наш контрольний список закупівель під час першого ж перегляду. Стрімінг журналу аудиту в Splunk став тією деталлю, яка заспокоїла службу безпеки — вони побачили, що це реально, а не просто галочка від вендора.”

Команда IT-безпеки, страхова група, Цюрих

Менеджер з IT-безпеки

“Нам потрібна була резидентність даних у ЄС і відсутність субпроцесорів із США після рішення Schrems II. Elido був першим сервісом, який відповів на питання «де зберігаються дані?» конкретним містом і кількістю субпроцесорів менше 10.”

Corporate IT, виробництво середнього бізнесу, Дюссельдорф

Керівник з IT-управління

“BAA на тарифі Business разом із ISO 27001 закрили питання HIPAA для нашої продуктової команди в США. SCIM-підготовка означає, що нам не довелося вручну займатися онбордингом в Elido під час інтеграції після придбання компанії на 200 осіб.”

Команда безпеки платформи, фінтех, Дублін

Директор з безпеки платформи

Elido проти Bitly Enterprise проти Bl.ink для корпоративного IT

Bitly Enterprise та Bl.ink — це варіанти корпоративного рівня з великою клієнтською базою. Порівняння нижче зосереджено на функціях, які оцінюють корпоративні IT-команди, а не на маркетингових заявах.

Capability	Elido	Bitly Enterprise	Bl.ink
Протокол SSO	SAML 2.0 + OIDC через WorkOS	SAML 2.0 на тарифі Enterprise	SAML 2.0 на Enterprise
SCIM-підготовка	Business та вище, через WorkOS	Тільки тариф Enterprise	Доступно на Enterprise
Спеціальні ролі (RBAC)	Політики на базі Cedar	Фіксовані рівні ролей	Гранулярно, задокументовано
Список дозволених IP	CIDR, Business+	Тільки Enterprise	Доступно
Журнал аудиту → SIEM	Потік вебхуків у реальному часі	Щоденний експорт; реальний час як аддон Enterprise	На основі API; підключення SIEM вручну
Зберігання журналу аудиту	7 років на Business	Стандартно 1 рік	Налаштовується на Enterprise
Резидентність даних у ЄС	За замовчуванням для всіх планів	Опціонально на Enterprise	Доступно; не за замовчуванням
Експорт у BigQuery	За розкладом, Business+	Не задокументовано	На основі API; немає нативного експорту

Питання корпоративного IT

Які IdP підтримує SSO?

Будь-який IdP, що підтримує SAML 2.0 або OIDC — Okta, Azure AD / Entra ID, Google Workspace, OneLogin, Ping, Rippling та інші. Інтеграція здійснюється через WorkOS, яка нормалізує різницю в протоколах. Якщо ваш IdP підтримує SAML або OIDC, він працюватиме. Налаштування — це керований процес через WorkOS: налаштуйте додаток SAML у вашому IdP, вставте URL-адресу метаданих в Elido, готово.

Як працює деprovisioning через SCIM?

WorkOS обробляє кінцеву точку SC 2.0. Коли користувача видаляють із відповідної групи у вашому IdP, WorkOS надсилає подію DELETE в Elido. Elido негайно анулює токени сесії користувача та позначає акаунт як неактивний. Активні API-ключі, пов'язані з цим користувачем, не анулюються автоматично — це окремий крок, який ви налаштовуєте в параметрах SCIM (за замовчуванням — анулювати при видаленні). Дія видалення з'являється в журналі аудиту протягом циклу синхронізації SCIM (зазвичай менше 5 хвилин).

Що охоплює список дозволених IP?

Вхід у панель керування, запити до API та підтвердження доставки вебхуків. Підтримується нотація CIDR; кілька діапазонів розділяються комами. Запити з-за меж дозволеного списку повертають 403 із зареєстрованою подією аудиту — ніяких тихих скидань. Список дозволених IP перевіряється після автентифікації, а не до неї, тому невдала спроба автентифікації з-за меж списку все одно фіксується.

Чи можемо ми отримати BAA для відповідності HIPAA?

Так, на тарифі Business+. BAA охоплює роль Elido як ділового партнера (business associate) для робочих просторів, де PHI може проходити через метадані посилань або аналітику. Технічні засоби захисту (шифрування при зберіганні та передачі, аудит, контроль доступу, сповіщення про порушення) уже впроваджені. Зверніться до compliance@elido.app за шаблоном BAA.

Який статус SOC 2?

Аудит SOC 2 Type II триває з ціллю на H2 2026. ISO 27001 отримано. Ми надаємо докази Type 1 під NDA для клієнтів, яким вони потрібні до публікації звіту Type 2. Центр довіри на /trust відстежує поточний статус. Ми не заявляємо про Type II до завершення періоду аудиту.

Як працюють спеціальні ролі — чи можу я обмежити команду лише читанням конкретного домену?

Так. Спеціальні ролі визначають політики на базі Cedar, які можуть обмежувати дозволи конкретними доменами, папками або операціями (створення/читання/оновлення/видалення). Роль, що дозволяє створювати посилання лише на конкретному власному домені та надає доступ до аналітики тільки для читання, є валідною політикою. Ролі призначаються для кожного робочого простору; користувач може мати різні ролі в різних просторах. Перевірка політик відбувається під час запиту, а не під час входу.

Чи є виділений edge-вузол для клієнтів Business?

Тариф Business використовує спільні edge POPs Elido (Франкфурт, Ешберн, Сінгапур). Виділений edge — ваш власний флот вузлів перенаправлення, ізольований від трафіку інших орендарів — це тема для обговорення на рівні Enterprise. Зв'яжіться з sales@elido.app. Крім того, Helm-чарт для самостійного хостингу дозволяє запускати рівень перенаправлення у вашому власному VPC, що є поширеним шаблоном для клієнтів Enterprise із суворими вимогами до ізоляції трафіку.

Який SLA щодо сповіщення про порушення безпеки?

24 години для сповіщення клієнта про підтверджене порушення персональних даних; 72 години для сповіщення регулятора (GDPR Art. 33). Сповіщення охоплює те, що нам відомо на той момент — ми не чекаємо повного завершення криміналістичної експертизи. Процес описано на /trust/incident-response.