Estou movendo uma configuração de proxy reverso do Apache para o IIS. Alguns desses sites precisam se autenticar no proxy antes de prosseguir. Eles estão em um site IIS separado para simplificar. Como faço para especificar que este site e/ou os proxies reversos que configurei nele podem ser usados por um grupo específico do AD?
O que eu tentei:
O abaixo é feito apenas com a autenticação do Windows habilitada no IIS. Todos são Server 2016 / IIS 10.
Definir as permissões NTFS na pasta que hospeda o site de proxy reverso apenas para the
domain\desiredgroupe osproxy\iis_iusrsgrupos, mas isso não ajudou - ainda está permitindo qualquerdomain\domain userspassagem.Editando as regras de autenticação com
domain\desiredgroupacesso edomain\domain userssendo negado. Isso bloqueia todos.
O método mais aceito para fazer isso é usar o Application Request Routing (ARR) - mas isso requer a configuração de um servidor AD FS (Serviços de Federação do Active Directory) adicional.
Recentemente, eu estava procurando fazer o mesmo que você para uma instância do Kibana e encontrei este blog de ajuda: https://www.smbadmin.com/2017/07/securing-kibana-with-iis-reverse-proxy. html
Como os links não são considerados uma boa resposta na pilha, vou resumir:
Então, isso funcionou muito bem para a minha instalação do Kibana, então decidi implantá-lo no Jenkins e em vários outros sites e aplicativos da Web, com alguns ajustes que mais funcionaram.
No entanto, ressalva - alguns sites com os quais tentei isso, simplesmente não aceitariam - o Confluence, por exemplo, o pop-up de autorização aparecia continuamente a cada atualização de página. Outro aplicativo da Web obscuro e personalizado que é de código fechado usou algumas práticas de desenvolvimento da Web ruins que podem causar continuamente redirecionamentos 500 e ruins.
Posso tentar configurar o ARR no futuro para ver se isso funciona melhor nesses casos, mas o ARR está fora do escopo da sua pergunta original.
Não parece ter suporte nativo no IIS.