Как безопасно использовать корпоративную аутентификацию Active Directory (LDAP) для веб-сайтов с выходом в Интернет? [закрыто]

Допустим, у вас есть общедоступная веб-служба (в моем случае Jira), которая используется как пользователями интрасети, так и внешними пользователями. Сервер уже настроен на использование HTTPS (безопасный).

Поскольку сервер доступен извне, он расположен в зоне DMZ / COLO за пределами вашей интрасети.

Тем не менее, вы хотите иметь возможность разрешить всем сотрудникам компании доступ к веб-сайту без необходимости создавать для них учетные записи.

Все мы знаем, что LDAP-аутентификация - это решение, но проблема в том, что вам по-прежнему необходимо иметь доступ к серверу AD, который находится в интрасети.

Как обычно, аудит ИТ-безопасности напоминает вам о «компьютеры говорят нет» , даже если вы объясните им, что вы можете безопасно использовать LDAPS для подключения к серверу LDAP.

Каково правильное решение в этом случае, которое может быть принято ИТ-службой безопасности и которое также обеспечивает желаемую функциональность?

Дополнительная информация:

Забавно то, что из DMZ вы можете получить доступ к службам HTTPS из интранет, если вы знаете IP-адреса машин (внутренний DNS недоступен для DMZ).

Служба безопасности уже разрешила нам связать внешний экземпляр Jira с внутренним экземпляром Jira через HTTPS, но проблема в том, что этот тип резервной аутентификации не масштабируется с нашим количеством пользователей.Atlassian заявляет, что вы не должны использовать этот тип аутентификации с более чем 1000 пользователей, а у нас 12000 в LDAP (даже если большинство из них не используют сервисы, которые они все еще используют).