내보내기(0) 인쇄
모두 확장

SharePoint 2013의 ID 관리 개요

SharePoint 2013
 

적용 대상: SharePoint Server 2013 Standard, SharePoint Server 2013 Enterprise, SharePoint Foundation 2013

마지막으로 수정된 항목: 2013-12-18

요약: SharePoint 2013에서 지원되는 인증, 권한 부여, 저장소, 동기화 및 엔터티와 특성 표시에 대해 알아봅니다.

SharePoint 2013의 ID 관리는 다음 부분으로 조합됩니다.

  • 엔터티에 대한 식별자 집합, 저장소 위치, ID 저장소 간의 트러스트 관계 생성, 식별자 정보 표시

    엔터티는 사용자, 컴퓨터 또는 서비스 등으로 분류됩니다.

  • 일반적으로 암호화를 통해 보호되는 자격 증명 교환의 형태로 제공되며, 리소스에 대한 액세스를 인증하기 위해 식별자를 사용하는 방법

  • 일반적으로 식별자에 지정된 권한 집합으로 지정되며, 리소스에 대한 액세스 권한 부여를 지정하고 강제 적용하는 방법

일반적인 ID 관리 시스템은 다음 요소로 구성됩니다.

  • 엔터티

  • 계정 및 특성 저장소

  • 인증 방법

  • 권한 부여 방법

  • 저장소, 동기화 및 엔터티 특성의 표시

다음 섹션에서는 이러한 요소 및 SharePoint 2013에서 요소를 지원하는 방법에 대해 설명합니다.

ID 관리 시스템 내에서 엔터티는 리소스에 대한 액세스가 필요한 물리적 또는 논리적 개체를 나타냅니다. AD DS(Active Directory Domain Services)를 사용하는 네트워크 요소에는 사용자, 컴퓨터 및 서비스가 포함됩니다. 각 엔터티에는 AD DS와 같이 특정 디렉터리에 있는 계정에 해당할 수 있는 ID가 포함됩니다. 계정은 이름, 그룹 멤버 자격, 전자 메일 주소 등과 같이 엔터티를 설명하는 특성 집합으로 구성될 수 있습니다.

SharePoint 2013의 ID 관리에 있어서 엔터티는 사용자, 그룹, 서비스, 컴퓨터 및 앱입니다.

계정 및 특성을 포함하는 저장소는 엔터티 계정 및 해당 특성을 위한 위치를 제공합니다. 네트워크에는 AD DS 저장소 계정 및 AD DS의 특성이 사용됩니다. 계정 및 특성을 포함하는 저장소는 다음을 수행할 수 있습니다.

  • 인증 중 계정 자격 증명의 유효성을 검사합니다.

  • 해당 특성을 권한 부여에 사용할 수 있도록 인증을 요청하는 엔터티에 계정 특성을 제공합니다.

SharePoint 2013에서는 AD DS 또는 추가 저장소에 대해 양식 기반 또는 SAML(Security Assertion Markup Language) 사용자 인증 방법을 사용할 수 있습니다. SharePoint 2013에는 계정 및 특성에 대한 저장소가 포함되지 않습니다.

ID 페더레이션은 리소스에 액세스하기 위한 인증 및 권한 부여가 여러 저장소 간에 효과적으로 수행될 수 있도록 트러스트 관계를 통해 계정 및 특성의 해당 저장소를 연결하는 프로세스입니다. Forefront Identity Manager 2010 R2에서는 다른 유형의 ID 플랫폼 간에 ID 수명 주기 관리 및 역할 관리를 수행할 수 있습니다.

인증 방법은 인증 수행을 위해 컴퓨터가 서로 전송하는 특정 메시지 집합입니다. 메시지는 엔터티의 ID에 대한 유효성을 검사합니다. 인증 프로세스의 결과는 일반적으로 계정 및 특성 저장소에서 ID에 대한 유효성을 검사했음을 나타내는 암호화 증명이 포함된 보안 토큰입니다. 보안 토큰에는 또한 엔터티가 속하는 보안 그룹 목록과 같은 엔터티 특성이 포함될 수 있습니다.

AD DS의 경우 인증 방법은 NTLM 또는 Kerberos 프로토콜입니다. 예를 들어 사용자가 도메인에 연결된 컴퓨터에 로그온하면 해당 사용자로부터 보안 자격 증명을 수집하고 Kerberos 프로토콜을 사용해서 AD DS 도메인 컨트롤러로 해당 자격 증명의 유효성을 검사합니다. 사용자의 컴퓨터는 사용자가 리소스를 액세스할 때 사용할 Kerberos 티켓을 수신합니다. Kerberos 티켓에는 AD DS에서 사용자가 속하는 그룹 목록 및 자격 증명에 대한 유효성을 검사했음을 나타내는 암호화 증명이 포함됩니다.

Kerberos와 NTLM은 AD DS 기반 네트워크에서 올바르게 작동하지만 타사 공급업체로부터 계정 및 특성의 여러 저장소로 또는 클라우드의 ID 관리 시스템으로 쉽게 확장할 수 없습니다.

클레임 기반 ID의 경우 사용자는 신뢰할 수 있는 STS(보안 토큰 서비스)가 디지털로 서명했고 클레임 집합을 포함하는 보안 토큰을 얻습니다. 각 클레임은 사용자의 이름, 그룹 멤버 자격, 네트워크에서의 역할 등 사용자에 대한 특정 데이터 항목을 나타냅니다. 클레임 기반 ID를 통해 응용 프로그램은 인증 증명으로 보안 토큰을 사용하고 권한 부여 또는 기타 처리를 위해 클레임 집합을 사용할 수 있습니다. 클레임 기반 ID를 통해 사용자는 일반적으로 보안 토큰을 가져오기 위한 인증을 수행하고 이 토큰을 응용 프로그램에 제출할 수 있습니다. 클레임 인식 응용 프로그램은 보안 토큰의 디지털 서명을 확인하고 클레임을 사용해서 권한 부여 및 기타 응용 프로그램 관련 기능을 구현합니다.

Windows의 클레임 기반 인증은 클레임 기반 ID를 구현하는 데 사용되는 .NET Framework 클래스 집합인 Windows Identity Foundation(WIF)에 따라 작성되었습니다. 클레임 기반 인증에는 WS-Federation, WS-Trust 등의 표준과 SAML 등의 프로토콜이 사용됩니다.

간소화된 클레임 기반 ID 구현에는 다음과 같은 구성 요소가 포함됩니다.

  • 클레임 인식 클라이언트 응용 프로그램 STS에서 보안 토큰을 가져오고 보안 토큰을 인증 및 권한 부여용으로 제출할 수 있는 응용 프로그램입니다. 클레임 인식 클라이언트 응용 프로그램의 예로는 Internet Explorer와 같은 웹 브라우저를 들 수 있습니다.

  • STS 클레임 인식 클라이언트 응용 프로그램을 위해 보안 토큰을 만드는 서버 또는 서비스입니다. SharePoint 2013에 있는 STS는 클레임 인식 클라이언트 응용 프로그램의 요청에 대해 고유한 보안 토큰을 제공하며, 외부 STS로 ADFS(Active Directory Federation Services) 2.0을 사용할 수도 있습니다.

  • 신뢰 당사자 토큰을 위해 STS를 사용하는 컴퓨터 또는 응용 프로그램입니다. 신뢰 당사자는 클레임 인식 클라이언트 응용 프로그램을 STS로 리디렉션하여 적합한 보안 토큰을 얻습니다. SharePoint 2013은 외부 STS에 대한 신뢰 당사자 역할을 수행할 수 있습니다. 이에 대한 예로 STS로 AD FS를 사용하도록 구성된 SharePoint 웹 응용 프로그램을 들 수 있습니다.

  • 클레임 인식 서버 응용 프로그램 인증 및 권한 부여를 위해 보안 토큰이 필요한 응용 프로그램입니다. 이에 대한 예로 클레임 기반 인증(기본값)을 사용하는 SharePoint 2013 웹 응용 프로그램을 들 수 있습니다.

SharePoint 2013에서는 다음과 같은 엔터티에 대해 클레임 기반 ID 및 인증이 지원됩니다.

  • 사용자 사용자 자격 증명을 포함하며, 사용자가 올바르게 제출했는지 확인할 수 있는 계정 및 특성의 저장소에 대한 사용자 ID의 유효성을 검사하는 작업입니다. 사용자가 SharePoint 리소스를 시도하면 사용자 인증이 수행됩니다. 자세한 내용은 SharePoint 2013에서 사용자 인증 방법 계획을 참조하십시오.

  • 원격 SharePoint용 앱의 ID에 대한 유효성을 검사하고 보안 SharePoint 리소스를 요청하기 위한 앱 및 연관된 사용자의 권한 부여를 검사하는 작업입니다. SharePoint 스토어 앱 또는 앱 카탈로그 앱의 외부 구성 요소(예: 인트라넷이나 인터넷에 있는 웹 서버)가 보안 SharePoint 리소스 액세스를 시도하면 앱 인증이 수행됩니다. 자세한 내용은 SharePoint 2013의 앱 인증 계획을 참조하십시오.

  • 서버 SharePoint 2013을 실행하는 서버의 STS와 OAuth 서버 간 프로토콜을 지원하는 다른 서버의 STS 간의 트러스트 관계를 기반으로 하는 리소스에 대한 서버 요청의 유효성을 검사하는 작업입니다. 트러스트 관계를 기반으로 요청 서버는 서버 및 사용자 권한에 따라 지정된 사용자 계정을 대신해서 SharePoint 2013을 실행 중인 서버에서 보안 리소스에 액세스할 수 있습니다. 자세한 내용은 SharePoint 2013에서 서버 간 인증 계획을 참조하십시오.

인증이 성공한 후 응용 프로그램은 엔터티가 요청된 리소스에 액세스할 수 있도록 권한이 부여되었는지 여부를 확인해야 합니다. 이 분석을 수행하기 위해 응용 프로그램은 보안 토큰(클레임 기반 ID의 경우) 또는 Kerberos 티켓에서 액세스 중인 리소스에 대한 기본 권한 또는 구성된 권한 목록에 대해 사용자 이름 및 자신이 구성원으로 있는 그룹과 같은 엔터티에 대한 ID 정보를 비교합니다.

권한은 엔터티(예: 사용자 또는 그룹 이름)를 지정하고, 엔터티가 수행하도록 허용되었거나 허용되지 않은 작업(예: 공유 폴더에서의 파일 읽기, 편집 또는 삭제)을 지정하는 설정입니다. 리소스에 대한 액세스 권한을 얻기 위해서는 구성된 권한이 엔터티가 요청하는 액세스 유형을 허용해야 합니다.

SharePoint 2013에서는 사용자가 웹 응용 프로그램 및 해당 리소스에 액세스하기 위한 권한, 서버 간 리소스 요청에 대한 서버 권한 및 앱 리소스 요청에 대한 앱 권한을 제공합니다.

SharePoint 2013에서 권한을 계획하는 방법에 대한 자세한 내용은 SharePoint 2013에서 사이트 및 콘텐츠에 대한 사용 권한 계획SharePoint 2013의 앱 권한 관리 계획을 참조하십시오.

권한을 구성하기 위해 ID 관리 시스템은 저장소 위치에서 엔터티 목록을 가져오고 사용자를 위해 이를 표시해야 합니다. 해당 저장소 위치가 계정 및 특성의 원래 저장소가 아닌 경우 엔터티 정보는 해당 저장소와 동기화되어야 하며, 다른 컴퓨터에 복제되어야 합니다.

SharePoint 2013에서 권한 구성에 대해 엔터티 정보를 표시하는 기능은 사용자 선택 기능이며, 로컬 엔터티 정보를 수집, 동기화 및 복제하는 서비스는 사용자 프로필 응용 프로그램 서비스입니다.

자세한 내용은 사용자 선택 및 클레임 공급자 개요(SharePoint 2013)SharePoint Server 2013의 User Profile Service 응용 프로그램 개요를 참조하십시오.

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.
표시:
© 2014 Microsoft