Lavoro per un franchising e vogliamo fornire alcune applicazioni web che ospitano interni e amp; informazioni proprietarie e amp; funzionalità che dovrebbe essere disponibile solo per i dipendenti in franchising attivi. Ogni franchising è di proprietà e gestione indipendente. Forniscono i propri computer desktop (richiediamo specifiche, come il sistema operativo Windows) che si trovano sulla propria rete interna e non sul nostro dominio. La loro unica connessione affidabile * è attraverso una connessione Internet standard. * Abbiamo tentato di configurare VPN con i loro router Cisco richiesti, ma abbiamo avuto problemi di affidabilità con la connessione a causa di qualche bug.
Abbiamo una forma di autenticazione nome utente / password dipendente in atto, ma poiché il turnover accade, vogliamo essere sicuri che quel dipendente non possa tornare a casa e accedere a queste applicazioni sul loro computer di casa dopo che il loro stato di occupazione è terminato - noi non credo che i gestori di franchising saranno abbastanza diligenti da disabilitare immediatamente l'account dei dipendenti. Quindi vogliamo aggiungere il concetto di applicazioni web accessibili solo da determinati computer approvati. In questo modo non importa se l'account dipendente è disabilitato perché non può accedervi da nessun altro computer.
Mi sono venuti in mente tre modi:
-
Richiede il lancio del sito Web da un'applicazione desktop installata. Questa applicazione pubblicherebbe una specie di token per autenticarsi con l'app web, a quel punto l'app web potrebbe emettere un cookie di autenticazione.
-
Installa un servizio Windows sulle macchine approvate che ascolta le richieste http su una porta e risponde con informazioni sulla macchina come l'IP & Indirizzo (i) MAC e una chiave di registro che abbiamo creato identificando il franchising. Gli indirizzi MAC dovrebbero essere registrati con noi per poter essere autenticati.
-
Realizza i siti intranet delle app Web e richiedi l'accesso a una VPN.
1 non è molto intuitivo o intuitivo e richiederebbe lo sviluppo di app per tablet e dispositivi mobili. Gli utenti non potevano passare liberamente tra i browser. L'app di avvio dovrebbe avere opzioni del browser per consentire qualsiasi cosa tranne il browser predefinito.
2 è più facile da usare poiché si verifica automaticamente sullo sfondo della pagina e funziona su browser. Attualmente ho una prova di concetto di questo approccio che funziona come sostituto di un sito che attualmente lo realizza utilizzando ActiveX (che limita gli utenti a IE). Tuttavia, il nuovo approccio non funziona in Edge senza forzare Edge a consentire le richieste di loopback e temo di andare avanti, altri browser potrebbero bloccare la sicurezza per impedire a un sito Web pubblico di richiedere anche risorse locali.
3 sembra il modo più legittimo di farlo. Ma la configurazione VPN è ben al di fuori della mia area di competenza e il nostro amministratore di rete sembra ritenerlo irrealizzabile o impossibile in base alla sua esperienza di configurazione VPN. Come accennato in precedenza, abbiamo provato a collegare i router in franchising a una VPN per altri motivi e ha riscontrato problemi con la disconnessione. Credo che abbiamo un biglietto aperto su questo. Forse pensavo che i franchise potessero installare un client VPN software preconfigurato con le credenziali integrate, o che fornissero credenziali che solo il gestore del franchising conosce e una volta immesse sarebbero state salvate in modo che i dipendenti potessero riconnettersi liberamente riavviano il computer o si disconnettono, ecc. È possibile?
Queste sono le mie idee, ma la mia domanda è giusta: quali sono alcune opzioni sicure e affidabili per realizzare questo?