Para meus usos pessoais, estou usando a autenticação do Windows, usando a opção "Autenticação básica" no IIS. Eu também tenho o SSL ativado, para que minha senha não seja enviada na verdade.
No entanto, você pode usar qualquer um dos métodos de autenticação disponíveis no IIS. No meu antigo local de trabalho, usamos a autenticação integrada do Windows, para que pudéssemos controlar o acesso ao site por meio de funções.
Se você tiver um método de autenticação que tenha funções, será possível bloquear o acesso aos repositórios usando as restrições de URL do IIS no Web.config.
Se precisar de mais detalhes, me avise!