WEBシステムに、社内イントラネットからしかアクセスさせない方法

###実現したいこと・要件
PHPで開発する予定のWEBシステムがあるのですが、クライアント様から以下二つの要望がありました。

１．WEBシステムへは、社内イントラネットからしかアクセスさせない

２．ユーザ認証は、社内ADサーバにて行いたい

３．社外公開用のWEBシステムは、外部からもアクセス出来るようにしたい

###環境

・WEBシステムは、社内用・外部公開用ともに自社サイト（レンタルサーバ）の一部に設置

・データベースは同じものを参照する

・会社は複数拠点を持っているが、全てVPNで繋がっている

・ADサーバは本社に設置されており、WEBシステムへはこの本社イントラからしかアクセスさせたくない

・本社のグローバルIPアドレスは固定ではない

・AD認証用ページは、本社IISに設置し社内ローカルIPアドレスでアクセスさせる
（社外には公開しない）

###考えた方法

AD認証用のページでユーザID・パスワードを入力
↓
ADサーバで認証を行い、認証OK・認証NGの情報をAD認証用ページに返す
↓
認証OKであれば、AD認証用ページからWEBシステムへリダイレクト
（GETまたはPOSTで、認証OKの情報を渡す）
↓
WEBシステム側で、GETまたはPOSTリクエストに認証OKの情報があればWEBシステムにアクセスさせる
（認証OKの情報は、クッキーまたはセッションに保存）

###セキュリティ上の懸念

上記方法ですと、例えば社外からAD認証OKの情報をhttpリクエストに含める事で、社外からもWEBシステムにアクセス出来てしまうのではないか。。と懸念しています。

###ご質問

クライアント様の要件を満たすために、何か良い対策や方法はありませんでしょうか？

よろしくお願いいたします。