Я раньше не задумывался над тем, какие внешние URL-адреса моих служб и приложений и сайтов должны быть.Как мне структурировать внешние URL-адреса для защиты моего шлюза федерации?
Однако в настоящее время мы реализуем новую архитектуру единого знака с целевой страницей, используя OAuth и Open ID Connect. Для этого мы используем IdentityServer4 с шлюзом федерации, провайдером внутренней идентификации, связанным с Active Directory и поставщиком идентификации для базы данных для одного из наших существующих приложений. Поставщик удостоверений для нашего существующего приложения уже существует с внешним URL-адресом, но ни один из них еще не создан. Это означает, что извне мне теперь нужно создать 3 новых URL-адреса
- для сайта целевой страницы, который мы защищаем.
- Шлюз федерации
- Поставщик удостоверения личности для моей активной директории.
Существуют ли какие-либо известные соглашения об именах для шлюза федерации и поставщика удостоверения личности, чтобы они не оставляли их уязвимыми для атаки из внешних источников или я ни о чем не беспокоюсь.
Например, если я использую
WWW. [Домен] .com/federationGateway
WWW. [Домен] .com/ADIdentityProvider
Могу ли я оставить себя открытым для кого-то найти эти адреса , думая, что «повесьте это на ссылку на их AD, или это их объединенные шлюзы», а затем бомбардируют их DDoS-атакой и снижают мой единственный знак в архитектуре.
Любое руководство, которое может дать любой человек, будет с благодарностью оценено. Cheers