Autenticação SSH baseada em algoritmo

Estou investigando possíveis soluções para o acesso ao servidor da nossa empresa. A empresa distribui servidores linux, alguns acabam tendo acessos de IP público outros estão isolados em redes privadas. O problema é controlar nosso acesso SSH a esses servidores. (O cliente não tem acesso)

Os engenheiros da nossa empresa precisam de acesso a esses servidores para manutenção etc. No entanto, se e quando um engenheiro sair da empresa, precisaremos de uma maneira de impedir que eles tenham acesso a esses servidores.

Os pares de chaves padrão não são realmente uma opção porque não podemos contornar milhares de servidores de rede privados removendo e adicionando pares de chaves sempre que um engenheiro sai ou é contratado. Da mesma forma com senhas. Restringir o acesso por IP não é uma opção realista, pois os servidores precisam ser acessados de diferentes origens, dependendo das políticas de rede dos clientes.

Isso me fez pensar sobre alguma forma de autenticação SSH dinâmica, como usar um HMAC em aplicativos REST. Basicamente, um engenheiro acessa um servidor central que gera um conjunto de credenciais que são válidas por alguns segundos numéricos arbitrários para um servidor específico baseado em uma assinatura. Dessa forma, quando um engenheiro sai da empresa, podemos apenas revogar o acesso ao servidor de geração de assinatura central.

Alguém pode ver um problema com essa abordagem? Alguma coisa assim já existe ou terei que escrever isso?