Acceso seguro a personas previamente autorizadas solo en el servidor de aplicaciones [cerrado]

Question

Acceso seguro a personas previamente autorizadas solo en el servidor de aplicaciones [cerrado]

#1 de Sas3 (0 votos)

-1

Estoy creando una aplicación PHP y me gustaría bloquear el backend (incluso la página de inicio de sesión) para que solo esté disponible para las personas con autorización previa, incluso para poder vincular las actividades a las personas autorizadas.

Soy consciente de que tal bloqueo se puede realizar mediante SSL o un certificado de tipo pero no es seguro o cómo lograrlo. He visto cómo diferentes compañías lo implementan de la manera que se menciona a continuación

En una compañía, un usuario completa un formulario con detalles y la compañía emite un certificado que el usuario instala en el navegador para acceder al backend
Otra compañía, a un usuario se le da un archivo ejecutable cada vez que quiere acceder al backend.

Mi aplicación PHP se está ejecutando en Windows Server 2016 y me gustaría saber cómo lograr ambos o cualquiera de los anteriores. Un recurso o específico sería apreciado.

tls access-control windows-server iis

pregunta Erick 20.08.2017 - 19:05

fuente

1 respuesta

Lea otras preguntas en las etiquetas tls access-control windows-server iis

¿Cuál es la manera óptima de conectar cuentas a 2FA en el teléfono? Sitio que solicita una licencia de conducir al comprar artículos

score 0 · Accepted Answer

... quisiera bloquear el backend (incluso la página de inicio de sesión) para que solo sea accesible para personas autorizadas previamente

Esto sugiere que desea dos capas de autenticación + autorización. En la mayoría de los casos, esto es una indicación de diseño deficiente, aunque puede haber excepciones. Un gran inconveniente es que tiene dos sistemas de autenticación independientes, es decir, dos IDAM independientes que administran una sola identidad, lo que solo agrega debilidades, no fortalezas. El uso de un solo IDAM para dos capas de autenticación también es un desperdicio.

Sin embargo, si todavía quieres seguir adelante:

El método más común para hacer esto es restringir la aplicación a una red privada (o una red prácticamente privada). Al controlar el acceso a la red, restringe el acceso a la página de inicio de sesión y al resto de la aplicación.

Si lo haces con certificados del lado del cliente o algún otro mecanismo, depende de ti. Deberá estudiar implementaciones / productos en las categorías de Control de acceso a la red y / o VPN.

El uso de certificados del lado del cliente (generalmente certificados de dispositivos, pero también pueden ser específicos de la persona) no es infrecuente con las VPN, aunque la mayoría de las instalaciones rara vez van más allá de los secretos compartidos y las contraseñas individuales.

Su punto # 1 es una forma específica de administrar el inicio del ciclo de vida de la identidad al emitir certificados.

El punto # 2 (exe) parece un truco feo, aunque podría ser un agente de autenticación que oculta la complejidad. Si es así, sospecho que sería terriblemente inseguro a menos que implique el uso de algunos otros (clásicos) pasos de autenticación específicos del usuario / dispositivo.