Como usar com segurança a autenticação do Active Directory (LDAP) corporativo para um site da Web voltado para a Internet? [fechadas]

Digamos que você tenha um serviço da web público (Jira no meu caso) usado por usuários da intranet e por usuários externos. O servidor já está configurado para usar HTTPS (seguro).

Como o servidor é acessível de fora, ele está localizado em uma zona DMZ / COLO, fora da sua intranet.

Ainda assim, você quer permitir que todas as pessoas da empresa acessem o site, sem precisar criar contas para elas.

Todos nós sabemos que a autenticação LDAP é a solução, mas o problema é que você ainda precisa acessar o servidor do AD, que está na intranet.

Como de costume, a auditoria de segurança de TI lembra você de " computadores diz que não ", mesmo se você explicar que pode usar LDAPS com segurança para se conectar ao servidor LDAP.

Qual é a solução adequada neste caso, uma que pode ser aceita pela IT Security e que também fornece a funcionalidade desejada?

Mais informações:

A parte engraçada é que da DMZ você pode acessar os serviços HTTPS da intranet, desde que você saiba o IP das máquinas (o DNS interno não está disponível para a DMZ).

A segurança já nos aceitou para vincular a instância externa do Jira à instância interna do Jira via HTTPS, mas o problema é que esse tipo de fallback de autenticação não é escalável com o número de usuários. A Atlassian afirma que você não deve usar esse tipo de autenticação com mais de 1.000 usuários e temos 12000 no LDAP (mesmo que a maioria deles não esteja usando os serviços que ainda estão lá).