Идея, как можно предоставлять сотрудникам временный доступ к ресурсам клиента, не светя лишний раз пароли

[Sovigod]

Общий пароль к сервису для всей команды? да вы шутите. Уже давно есть нормальные способы, без использования паролей.
Для веб есть авторизация по OAuth.
Для ssh/sftp есть авторизация по ключам и орекстрация конфигов.
В облаках есть какие-нибудь Identity and Access Management и подобное.
Plain ftp/Basic auth просто похороните.
Если у сервиса нет безпарольной авторизации — оставляйте доступ только для офиса и все остальное закрывайте файерволом. Удаленщикам и любителям иногда работать из дома — vpn в офис с персональными учетками.

[maxp]

Вот и мне тоже как-то не очень понятна суть проблемы «паролей». А особенно странно выглядит в 2019 году прокси для (s)ftp. Они что там, вебсайтики администрируют что-ли?

[Taiserisa]

Я считаю, что на которое доступа стоит отдельно остановиться

Я не понимаю смысл этой части предложения. Выпущено слово?

[Ghool]

Наверное «на ТЕМЕ доступов

[Taiserisa]

Да, тогда фраза обретает смысл, спасибо. К сожалению, глаза на предшествующем тексте «поломались», не помешала бы вычитка.

[inkvizitor68sl]

Ёмаё, что ж вы так сложно написали.
Если речь про админку CMS — поднимаем nginx с proxy_pass, сам nginx в set_header на бэкэнд шлёт валидную куку редактора/администратора и хост реального сайта.
Ну а авторизует по сертификату, который можно отозвать в любой момент.

Для ssh/sftp вариантов и вовсе море.

[Aliksei]

В общем, всё есть сервер клиента, например компании, которая заказала сайт. Что бы пароль или SSH ключ не отдавать всем системным администраторам и программистом и т. д., я придумал вот такую схему.