我应该如何构建我的外部URL以保护我的联合网关

时间:2017-02-16 14:33:28

标签: security url identityserver4

我之前没有考虑过我的服务,应用和网站的外部URL应该是什么。

但是,我们目前正在使用OAuth和Open ID Connect在着陆页上实施新的单点登录。为实现这一目标,我们将IdentityServer4与联合网关,连接到Active Directory的内部身份提供程序以及我们现有应用程序的数据库的身份提供程序结合使用。我们现有应用程序的身份提供程序已存在外部URL但尚未创建其他任何URL。这意味着外部我现在必须创建3个新URL

  1. 是我们正在保护的着陆页网站。
  2. 联合网关
  3. 我的活动目录的身份提供程序。
  4. 联邦网关和广告标识提供商是否有任何已知的命名约定,以免让他们容易受到外部来源的攻击,或者我什么都不担心。

    例如,如果我使用

    万维网。[域]的.com / federationGateway

    www。[域名] .com / ADIdentityProvider

    我是否会向找到这些地址的人开放,认为“挂在那是他们AD的链接,或那是他们的联合网关”然后用DDoS攻击轰炸他们并在架构上打下我的单点。

    任何人都可以给我的指导将不胜感激。 干杯

1 个答案:

答案 0 :(得分:0)

作为一般规则,如果您不希望任何人找到目录,则绝不允许公开访问目录。您可以通过添加登录来保护他们(我不确定您是否已经这样做了?)。

关于您对DDOS攻击的担忧,您无需担心。 DDOS攻击影响整个域,而不仅仅是子目录。例如,DDOS&www.domain.com/RandomPath/Stuff的某个人会关闭所有www.domain.com,而不仅仅是子目录。如果您担心DDOS攻击,您可以购买更强大的"服务器或安装软件以防止DDOS。

总结一下,你不必担心。除非您是特定目标,否则没有人会找到您的联盟或AD目录。除非有大量资源的人开始使用DDOS,否则DDOS很可能不会成为你的问题。