У нас есть несколько сайтов на общедоступном сервере IIS 10 (наш выделенный сервер, где мы имеем полный эксклюзивный контроль). Мы хотели бы ограничить некоторые из этих сайтов нашей командой разработчиков, и мы хотели бы сделать это максимально упрощенно. Что было бы хорошим подходом?
Требования безопасности "умеренные" - мы бы прежде всего хотели заблокировать случайное неправильное использование. Например, простая аутентификация имени / пароля, где все разработчики используют одинаковые учетные данные, будет в порядке.
В основном разработчики сидят внутри одного из двух VPN с известными диапазонами IP. У двух разработчиков нет VPN, но это, вероятно, можно исправить.
Сайты защищены сертификатами сервера и все используют HTTPS с указанием имени сервера.
Нам требуется решение, которое не требует ограничения / аутентификации для самих приложений, потому что сайты являются тестовыми сайтами для наших веб-приложений. Это означает, что у них есть различные механизмы аутентификации, а также открытые неограниченные страницы. Но мы все же хотели бы, чтобы только разработчики имели доступ ко всем этим сайтам.
У всех разработчиков есть учетные записи пользователей Office 365, т. Е. Учетные записи AzureAD, за исключением внешних, но они являются гостевыми пользователями в нашей службе DevOps Azure и поэтому там присутствуют удостоверения личности.
Я посмотрел на параметры IIS для проверки подлинности.
Анонимная аутентификация не актуальна.
Олицетворение ASP.NET, кажется, также не актуально.
Базовая аутентификация была бы в порядке с точки зрения клиента, но если я что-то упустил, это потребовало бы, чтобы приложение проверяло предоставленные учетные данные при каждом запросе, что нарушает требование о том, что сами приложения не должны обрабатывать что-либо, касающееся ограничения сайта ,
Аутентификация с помощью форм имеет ту же проблему, что и обычная аутентификация.
Аутентификация Windows не будет применима, поскольку доступ осуществляется не через интрасеть (у нас есть внешние разработчики). Или это будет применимо, если мы добавим учетную запись Windows на компьютере веб-сервера для каждого разработчика, и все мы будем внутри VPN? Но у меня сложилось впечатление, что это также будет означать, что пул приложений будет выполняться под учетными данными этой учетной записи Windows, что также является нарушением «не влияет на само приложение».
Дайджест-аутентификация, похоже, имеет ту же проблему, что и обычная аутентификация.
Аутентификация клиентских сертификатов IIS представляется жизнеспособным вариантом, но мы действительно хотели бы избежать хлопот по администрированию клиентских сертификатов, даже если бы они были самозаверяющими.
Я предполагаю, что можно будет использовать ограничения IP-адресов (если я добавлю на сервер роль «IP-адреса и ограничения домена»), но для этого потребуется, чтобы все разработчики всегда находились внутри VPN с известным диапазоном IP-адресов. Требуется добавить это к нескольким разработчикам, которые в настоящее время пропускают это (пользователи Mac).
Является ли решение IP-адрес /VPN лучше, или вы можете предложить что-то еще проще?