使用 ADFS 保护启用 IIS 7 WebDav 的虚拟文件夹

Question

我们在 IIS 7 上有一个 ASP.NET 应用程序，它接受来自 ADFS 2 的身份验证令牌。我们在应用程序中使用 Windows Identity Foundation 来执行此操作。

在同一个 IIS 上，我们有一个启用 WEBDAV 的文件夹，Microsoft Office 用户可以在其中保存文件。这在使用 Windows 身份验证的 Intranet 上运行良好。这根本不涉及应用程序代码。

我们现在也希望使用 ADFS 来保护对 WebDav 文件夹的访问。 但由于 IIS 处理 WEBDAV，因此没有可以添加 ADFS 身份验证的应用程序。

两个问题：

• 如何在IIS上设置WEBDAV进行ADFS身份验证？
• Word 和 Excel 2007 是否会处理与 ADFS 的交互？

Answer 1

Microsoft Office 在访问 WebDav 资源时可以进行基于表单的身份验证。要实现此功能，服务器必须实现 MS-OFBA 协议。

IIS 本身不具有 MS-OFBA 身份验证。但是，可以通过将 IHttpModule 放入 bin 文件夹中，向 IIS 中启用 WebDav 的文件夹添加自定义身份验证。该模块可以执行任何所需的身份验证。

通过 MS-OFBA，Office 可以显示一个或多个用于输入凭据的 html 表单。
我目前正在开发一个 HttpModule，它可以进行显示两个连续表单的双因素身份验证。

WebDav 创作规则可以使 bin 文件夹及其内容对 WebDav 客户端不可见。

因此，我们最终在没有 ADFS 的情况下完成了所需的身份验证。