Usamos un software de CRM accesible por navegador en nuestra oficina. Principalmente es una solución de escritorio, pero con el acceso al navegador instalado, también está disponible a través de https (certificado autofirmado). Hasta ahora, solo permitimos acceder a él en la red local, por lo que cualquier persona que quisiera usarlo desde fuera se conectó a nuestro servidor OpenVPN. El problema es que algunos usuarios son simplemente estúpidos y no pueden usar el cliente VPN para conectarse (a pesar de que hice videos tutoriales :() y siempre se olvidan de desconectarse, lo que acapara los recursos de nuestros servidores (más como ancho de banda).
Además, los usuarios utilizan contraseñas estúpidamente fáciles (sí ...), por lo que simplemente abrir el sitio al exterior no es una opción. ¿Hay una solución para asegurar un agujero de seguridad tan grande? Pensé en hacer algo en el medio que autentique a los usuarios en base a un certificado pre-distribuido, tal vez puedan instalar el certificado una vez en su navegador, pero no sé qué tan seguro sería.
Editar:
Los clientes utilizan sus propios dispositivos personales para conectarse a nuestros servidores. Hasta ahora, utilizaban OpenVPN, pero nos gustaría detener ese método de conexión y solo permitir el uso del sitio web. El sitio web muestra una página de inicio de sesión si la abres (utiliza algún tipo de autenticación SAML2, requiere que aceptes dos certificados), después de eso debes proporcionar un nombre de usuario y contraseña, que es el mismo que utilizarías en la aplicación de escritorio . Estas contraseñas no son seguras, son demasiado fáciles de adivinar y los usuarios no quieren cambiarlas. Necesito una opción, donde con el trabajo más pequeño posible, un usuario final puede configurar un acceso seguro a este sitio web y, después de pasar esa primera capa de autenticación, puede iniciar sesión con su contraseña no segura.
Puedo acceder a la configuración del sitio web, pero no hay mucho que pueda hacer con respecto a este problema. Es por eso que pensé en resolver esto antes de la página de inicio de sesión del sitio web.
(La plataforma es SAP Business One 9.2 Server, con SAP GateKeeper / Browser Access para B1 9.2. Tanto el servidor SAP como el SAP Browser access están alojados en un Windows Server 2012R2, pero en máquinas separadas, el acceso del browser es un uno virtual y el servidor SAP es uno dedicado. También tenemos un enrutador pfSense)