Single Sign-On 계획

업데이트 날짜: 2009년 4월

적용 대상: Office SharePoint Server 2007

 

마지막으로 수정된 항목: 2015-03-09

이 문서의 내용

  • Single Sign-On 정보

  • 일반적인 SSO 시나리오

  • Office SharePoint Server SSO 아키텍처

  • 팜 수준 SSO 설정 계획

  • 엔터프라이즈 응용 프로그램 정의 설정 계획

  • SSO 작업 계획

  • 워크시트

이 문서를 통해 Microsoft Office SharePoint Server 2007에서 SSO(Single Sign-On)를 사용할 방법을 계획할 수 있습니다. 이 문서에서는 보안 환경에서 SSO를 구성하는 방법 및 SSO를 사용하여 백 엔드 데이터 시스템에 연결하는 방법에 대해 설명합니다.

Single Sign-On 정보

Office SharePoint Server 2007의 SSO 기능은 사용자 자격 증명을 백 엔드 데이터 시스템에 매핑합니다. SSO를 사용하면 Office SharePoint Server 2007 외부에 있는 서버 컴퓨터 및 서비스의 데이터에 액세스할 수 있습니다. Office SharePoint Server 2007 웹 파트 내에서 이 데이터를 보고 작성하고 변경할 수 있습니다. SSO 기능을 통해 다음을 수행할 수 있습니다.

  • 사용자 자격 증명을 안전하게 관리합니다.

  • 외부 데이터 원본에 대해 구성된 사용자 권한 수준을 적용합니다.

  • 사용자가 Office SharePoint Server 2007 내에서 외부 데이터 원본의 데이터를 볼 때 자격 증명을 다시 입력할 필요가 없습니다.

  • Office SharePoint Server 2007에서 플랫폼 및 인증 요구 사항에 관계없이 여러 외부 데이터 시스템에 연결할 수 있습니다.

SSO를 사용하려면 사용자 계정으로 Windows 자격 증명을 사용해야 합니다. 웹 SSO를 사용하여 사용자 계정을 인증하는 환경에서는 SSO API(응용 프로그래밍 인터페이스)를 호출하는 현재 스레드에 Windows ID가 연결되어 있어야 SSO를 사용할 수 있습니다.

일반적인 SSO 시나리오

SSO는 주로 비즈니스 인텔리전스 시나리오에 사용됩니다. Office SharePoint Server 2007의 다음과 같은 여러 가지 기능이 SSO에 의존합니다.

  • 비즈니스 데이터 카탈로그

  • Excel 서비스

  • InfoPath Forms Services

  • 비즈니스 데이터 웹 파트

  • KPI 웹 파트

  • Microsoft Office SharePoint Designer 데이터 양식 웹 파트

  • 비즈니스 데이터 검색

  • 목록의 비즈니스 데이터

Windows가 아닌 운영 체제를 기반으로 하는 데이터 원본을 포함한 외부 데이터 원본에 연결하는 사용자 지정 웹 파트를 사용할 수도 있습니다. 예를 들어 다음과 같은 엔터프라이즈 응용 프로그램에 연결할 수 있습니다.

  • SAP Business Information Warehouse

  • Siebel eBusiness Applications

  • Microsoft BizTalk Server

비즈니스 인텔리전스 시나리오에 대한 자세한 내용은 비즈니스 인텔리전스 계획을 참조하십시오.

Office SharePoint Server SSO 아키텍처

이 섹션에서는 Office SharePoint Server 2007에서 SSO를 구현하는 방법에 대해 설명합니다.

Microsoft Single Sign-On 서비스

Office SharePoint Server 2007의 SSO 기능에서는 Microsoft Single Sign-On(SSOSrv) 서비스를 사용합니다. 다음 그림에서는 Office SharePoint Server 2007 서버 팜에 Single Sign-On 서비스가 구성된 모습을 보여 줍니다.

서버 팜의 Single Sign-On Service

  1. SSO 암호화 키 서버   Single Sign-On 서비스가 처음 활성화된 서버 컴퓨터가 바로 암호화 키 서버가 됩니다. 암호화 키 서버는 암호화 키를 생성하고 저장합니다. 암호화 키는 SSO 데이터베이스에 저장된 자격 증명을 암호화하고 암호 해독하는 데 사용됩니다. 암호화 키 서버는 인덱스 서버와 같은 응용 프로그램 서버 컴퓨터여야 합니다.

  2. Single Sign-On 서비스   서버 팜의 모든 웹 서버 컴퓨터에 이 서비스를 설치해야 합니다. 또한 Excel 서비스 응용 프로그램 서버 역할을 호스팅하는 컴퓨터에도 서비스를 설치해야 합니다. 비즈니스 데이터 카탈로그 검색을 사용하는 경우 인덱스 서버에도 서비스를 설치해야 합니다.

  3. SSO 데이터베이스   중앙 관리 사이트에서 SSO 서버 설정을 구성할 때 Office SharePoint Server 2007에서는 구성 데이터베이스를 호스팅하는 데이터베이스 서버 컴퓨터에 SSO 데이터베이스를 만듭니다. Microsoft SQL Server가 설치된 경우 SSO 데이터베이스는 SQL Server 데이터베이스입니다. SQL Server가 설치되지 않은 경우 Single Sign-On 서비스에서는 SQL Server 2005 Express Edition을 사용합니다. SSO 데이터베이스는 암호화된 자격 증명을 저장합니다.

    참고

    SharePoint Portal Server의 이전 버전에서 업그레이드하는 경우 SSO 환경을 다시 만들어야 하며 이때 SSO 데이터베이스를 새로 만들어야 합니다. SSO를 Office SharePoint Server 2007로 마이그레이션하거나 업그레이드할 수는 없습니다.

엔터프라이즈 응용 프로그램 정의

SSO 환경에서는 백 엔드 외부 데이터 원본 및 시스템을 엔터프라이즈 응용 프로그램이라고 합니다. SSO 환경을 구성한 후 엔터프라이즈 응용 프로그램 정의를 만들 수 있습니다. Office SharePoint Server 2007에서 연결하는 각 엔터프라이즈 응용 프로그램에는 관리자가 구성하는 해당 엔터프라이즈 응용 프로그램 정의가 있습니다. 또는 동일한 실제 엔터프라이즈 응용 프로그램에 여러 엔터프라이즈 응용 프로그램 정의를 구성하여 액세스 권한이 있는 서로 다른 그룹에 보안을 적용할 수 있습니다.

엔터프라이즈 응용 프로그램 정의는 다음 내용을 정의합니다.

  • 엔터프라이즈 응용 프로그램 ID(표시 이름, 프로그래밍 이름 및 담당자 전자 메일 주소)

  • 엔터프라이즈 응용 프로그램에 매핑된 사용자 계정의 유형. 이는 엔터프라이즈 응용 프로그램 또는 웹 파트에서 개별 계정에 따라 사용 권한을 적용하는지 아니면 그룹 계정에 따라 사용 권한을 적용하는지에 따라 다릅니다.

  • 사용자에게서 수집한 자격 증명의 유형(사용자 이름, 암호 또는 스마트 카드 등의 기타 자격 증명)

  • Office SharePoint Server 2007 웹 파트에서 엔터프라이즈 응용 프로그램에 연결하는 데 사용하는 계정

Single Sign-On 기능을 통해 여러 웹 파트에서 서로 다른 엔터프라이즈 응용 프로그램에 액세스하는 시나리오를 구현할 수 있습니다. 서로 다른 엔터프라이즈 응용 프로그램은 각각 서로 다른 인증 유형을 사용할 수 있습니다. 엔터프라이즈 응용 프로그램은 Windows 이외의 운영 체제를 기반으로 할 수도 있습니다.

SSO 티켓

사용자가 다양한 시스템 및 응용 프로그램과 상호 작용하는 엔터프라이즈 환경에서는 여러 프로세스, 제품 및 컴퓨터를 통해 사용자 컨텍스트가 유지 관리되지 않을 가능성이 높습니다. 원래 요청을 시작한 사용자를 확인해야 하므로 이러한 사용자 컨텍스트가 있어야 Single Sign-On 기능을 제공할 수 있습니다. 여러 서버가 참여하여 암호화 키 서버의 자격 증명을 엔터프라이즈 응용 프로그램으로 전달하는 경우 Single Sign-On 서비스는 Kerberos 티켓이 아닌 SSO 티켓을 제공합니다. 이러한 서버에서는 이 티켓을 사용하여 원래 요청을 수행한 사용자에게 해당하는 자격 증명을 가져옵니다.

예를 들어 BizTalk Server를 통해 SAP 시스템의 데이터에 액세스하도록 급여 환경을 구성할 수 있습니다. 웹 파트가 SAP 시스템에 연결 중인 경우 BizTalk Server 컴퓨터를 통해 자격 증명이 라우팅됩니다. SSO 환경에서 웹 파트는 SAP 시스템에 연결하는 BizTalk Server 컴퓨터의 서비스에 SSO 티켓을 전송합니다. 사용자가 엔터프라이즈 응용 프로그램 정의에 지정된 계정 또는 그룹 계정에 속하는 경우 서비스는 자격 증명에 대한 SSO 티켓을 SAP 시스템으로 전환합니다. BizTalk Server 컴퓨터의 서비스가 SSO 티켓을 전환하려면 서비스에서 사용하는 계정을 SSO Administrators 그룹에 추가해야 합니다.

Single Sign-On 서비스에서는 Windows 사용자가 티켓을 요청하거나 응용 프로그램에서 사용자 대신 티켓을 요청할 때 티켓을 발급합니다. Single Sign-On 서비스는 요청을 수행한 사용자에 대한 티켓만 발급할 수 있으며 다른 사용자에 대한 티켓은 요청할 수 없습니다. 티켓에는 현재 사용자의 암호화된 도메인과 사용자 이름 및 티켓 만료 시간이 포함되어 있습니다.

엔터프라이즈 응용 프로그램은 원래 요청자의 ID를 확인한 후 티켓을 전환하여 요청을 시작한 사용자의 자격 증명을 가져옵니다. 티켓은 기본적으로 2분 후에 만료됩니다. SSO 관리자는 티켓의 만료 시간을 수정할 수 있습니다. 티켓 만료 값은 티켓이 발급된 시간과 전환된 시간 사이에 티켓이 유지되도록 충분히 길어야 합니다.

SSO 관리

두 가지 유형의 관리자가 SSO를 관리합니다.

  • SSO 관리자   이러한 관리자는 SSO를 설정 및 구성하고, SSO 계정을 관리하고, 암호화 키를 백업하고, 암호화 키를 작성 및 변경합니다. 보안상의 이유로 SSO 관리자는 암호화 키 서버에 로컬로 로그온해야 SSO를 설정, 구성 및 관리할 수 있습니다. SSO 관리자는 원격 서버 컴퓨터에서 SSO 서버 설정을 관리할 수 없습니다.

  • 엔터프라이즈 응용 프로그램 정의 관리자   이러한 관리자는 엔터프라이즈 응용 프로그램 정의를 만들고 관리하며 엔터프라이즈 응용 프로그램에 액세스하는 데 사용되는 계정 및 자격 증명을 업데이트합니다. 해당 관리자는 엔터프라이즈 응용 프로그램 정의를 원격으로 관리할 수 있습니다.

SSO 관리자의 구체적인 계정 및 사용 권한은 이 문서의 뒷부분에서 자세히 설명합니다.

네트워크 종속성

Office SharePoint Server 2007 서버 팜 내에서 Single Sign-On 서비스는 NetBIOS 이름에 의존하여 암호화 키 서버와 데이터베이스 서버 컴퓨터 사이에서 통신합니다. 데이터베이스 서버 컴퓨터에서 NetBIOS 이름을 확인할 수 없으면 SSO 구성에 실패합니다.

팜 수준 SSO 설정 계획

이 섹션에서는 팜 수준 설정에 대한 계획 선택에 대해 설명합니다. 이러한 계획 선택에는 다음이 포함됩니다.

  • SSO 암호화 키 서버 역할을 호스팅할 서버 컴퓨터 결정

  • SSO 계정을 설정하고 이러한 계정이 적절한 사용 권한으로 만들어졌는지 확인

  • 중앙 관리의 Single Sign-On 페이지에 있는 서버 설정 관리에 구성된 팜 수준 설정에 대한 결정 사항 기록

  • 워크시트 작업

SSO 암호화 키 서버

팜에서 SSO 암호화 키 서버 역할을 호스팅할 컴퓨터를 결정합니다. 이때 다음과 같은 이유로 인해 인덱스 서버 등의 응용 프로그램 서버 컴퓨터를 선택하는 것이 좋습니다.

  • Single Sign-On 서비스를 실행하는 모든 서버 컴퓨터에서 네트워크를 통해 암호화 키 서버와 통신할 수 있어야 합니다. 여러 웹 서버 컴퓨터가 있는 팜을 사용하는 경우 일부 부하 분산 기술에서는 웹 서버가 서로 통신할 수 없습니다.

  • 응용 프로그램 서버 컴퓨터는 최종 사용자가 직접 액세스하지 않으며 일반적으로 추가 보안 계층으로 보호됩니다. 예를 들어 IPsec 또는 SSL 등의 보안 프로토콜을 구현하여 서버 팜 내의 서버 간 통신을 보호하는 경우가 많습니다. 또한 일부 팜 토폴로지에서는 웹 서버 컴퓨터와 응용 프로그램 서버 컴퓨터 사이에 라우터 또는 방화벽을 추가로 구현합니다.

Excel 서비스 역할을 호스팅하는 모든 응용 프로그램 서버 컴퓨터에 Single Sign-On 서비스를 설치해야 합니다. 비즈니스 데이터 카탈로그 검색을 사용하는 경우 인덱스 서버에도 Single Sign-On 서비스를 설치해야 합니다. 이러한 요구 사항으로 인해 이러한 각 서버 컴퓨터를 암호화 키 서버 역할로 사용하는 것이 좋습니다.

SSO 관리자가 로컬에서 암호화 키 서버에 로그온할 수 있는지 확인합니다. 또한 다음을 수행하여 Internet Explorer의 보안 설정으로 인해 SSO를 관리할 수 없는지 여부를 확인합니다.

  • 기본 옵션인 인트라넷 영역에서만 자동으로 로그온을 선택합니다. 이렇게 하려면 도구 메뉴에서 인터넷 옵션, 보안 탭, 사용자 지정 수준 단추를 차례로 클릭하고 보안 설정 대화 상자에서 사용자 인증 섹션으로 이동합니다.

  • 사용자 이름 및 암호 확인을 선택하지 않습니다.

SSO 계정

SSO 시스템을 설정, 실행 및 관리하려면 서로 다른 네 가지 계정이 필요합니다.

  • SSO 구성 계정

  • SSO 관리자 계정

  • SSO 서비스 계정

  • 엔터프라이즈 응용 프로그램 관리자 계정

평가 환경에서는 서버 팜 계정을 위의 각 계정으로 사용할 수 있습니다. 그러나 보안 환경에서는 사용할 계정 및 위의 계정을 구성할 방법을 신중하게 고려해야 합니다. 이 섹션에서는 자세한 계정 요구 사항을 설명하고 보안 환경에서 이러한 계정을 구성하는 방법에 대한 지침을 보여 줍니다.

SSO 시스템을 설정, 실행 및 관리하는 데 필요한 네 가지 계정을 통해 역할을 분리하고 사용 권한을 격리할 수 있습니다. 다음 표에서는 이러한 계정을 보여 주고 해당 계정을 사용하여 수행되는 작업에 대해 설명합니다.

계정 설명

SSO 구성 계정

  • Office SharePoint Server 2007에서 Single Sign-On 서비스를 설정합니다.

  • Office SharePoint Server 2007에서 Single Sign-On 서비스를 구성 및 관리합니다(암호화 키 관리 포함).

  • Office SharePoint Server 2007 내에서 엔터프라이즈 응용 프로그램 정의를 만들거나 수정하거나 삭제합니다.

SSO 관리자 계정

  • Office SharePoint Server 2007에서 Single Sign-On 서비스를 구성 및 관리합니다(암호화 키 관리 포함).

  • Office SharePoint Server 2007 내에서 엔터프라이즈 응용 프로그램 정의를 만들거나 수정하거나 삭제합니다.

    SSO 티켓을 전환합니다. 엔터프라이즈 응용 프로그램 정의에 접근하기 전에 자격 증명이 BizTalk Server와 같은 중간 서비스를 통해 전달되는 경우 이 계정을 사용하여 SSO 티켓을 전환할 중간 서비스 권한을 부여합니다.

SSO 서비스 계정

Windows에서 Single Sign-On 서비스를 실행합니다.

엔터프라이즈 응용 프로그램 관리자 계정

Office SharePoint Server 2007 내에서 엔터프라이즈 응용 프로그램 정의를 만들거나 수정하거나 삭제합니다.

계정 요구 사항

SSO 구성 계정

  • 그룹 계정이 아닌 도메인 사용자 계정이어야 합니다.

  • 사용자 계정이 서버 팜 관리자여야 합니다.

  • 암호화 키 서버 컴퓨터에서 Administrators 그룹의 구성원이어야 합니다.

  • SQL Server를 실행하는 컴퓨터에서 다음 SQL Server 역할의 구성원이어야 합니다.

    • Dbcreator

    • Securityadmin

  • SSO 관리자 계정과 동일하거나 SSO 관리자 계정인 그룹 계정의 구성원이어야 합니다.

SSO 관리자 계정

  • Windows 글로벌 그룹 또는 개별 사용자 계정이어야 하며 도메인 로컬 그룹 계정 또는 메일 그룹일 수 없습니다.

  • SSO 서비스 계정이 이 사용자 또는 이 그룹의 구성원이어야 합니다.

  • SSO 구성 계정이 이 사용자 또는 이 그룹의 구성원이어야 합니다.

  • SharePoint 중앙 관리 사이트에 읽기 권한 수준으로 추가되어 있어야 합니다.

  • SSO를 관리하기 위해 이 그룹에 추가된 모든 사용자는 암호화 키 서버에서 Administrators 그룹의 구성원이어야 합니다. 이 계정 자체를 암호화 키 서버의 Administrators 그룹 구성원으로 설정하지 마십시오.

SSO 서비스 계정

  • 그룹 계정이 아닌 도메인 사용자 계정이어야 합니다.

  • SSO 관리자 계정이거나 SSO 관리자 계정인 그룹 계정의 구성원이어야 합니다.

  • Office SharePoint Server 2007을 실행하는 서버 팜의 모든 서버 컴퓨터에서 로컬 그룹 WSS_Admin_WPG의 구성원이어야 합니다.

  • Office SharePoint Server 2007 구성 데이터베이스에서 공용 데이터베이스 역할의 구성원이어야 합니다.

  • SSO 데이터베이스가 있는 SQL Server 인스턴스에서 Sysadmin 서버 역할의 구성원이어야 합니다.

  • 보안 환경에서는 로컬 컴퓨터의 Administrators 그룹 구성원인 계정으로 서비스를 실행하지 말아야 합니다.

    참고

    서비스 계정을 변경하려면 우선 마스터 키를 백업한 다음 서비스 계정이 변경된 후 마스터 키를 복원해야 합니다.

엔터프라이즈 응용 프로그램 관리자 계정

  • 글로벌 그룹 계정 또는 개별 사용자 계정이어야 합니다. 이 계정은 도메인 로컬 그룹 또는 메일 그룹일 수 없습니다.

  • SharePoint 중앙 관리 사이트에서 읽기 권한 수준이 있어야 합니다.

보안 환경에서는 가능한 경우 네 개의 개별 계정을 구성하고 그룹 계정을 사용하는 것이 좋습니다. 사용자 계정을 SSO 구성 계정, SSO 관리자 계정 및 SSO 서비스 계정으로 사용하는 경우 동일한 사용자 계정을 사용해야 합니다. 다음 표에서는 이러한 계정을 구성하는 지침을 보여 줍니다.

계정 평가 환경 보안 환경

SSO 구성 계정

서버 팜 계정

Farm Administrators 그룹의 구성원인 관리자의 개별 사용자 계정을 사용합니다.

SSO 관리자 계정

서버 팜 계정

전용 도메인 그룹 계정을 만들고 이 그룹에 다음을 추가합니다.

  • SSO 구성 계정으로 사용할 사용자 계정

  • Single Sign-On 서비스를 실행하는 데 사용되는 계정

  • Office SharePoint Server 2007에서 Single Sign-On 서비스를 관리할 수 있는 사용자. 이러한 사용자를 암호화 키 서버의 Administrators 그룹에도 추가합니다.

    SSO 티켓을 전환하는 서비스의 서비스 계정. 이는 암호화 키 서버와 엔터프라이즈 응용 프로그램 간에 자격 증명을 전달하는 중간 서비스입니다.

SSO 서비스 계정

서버 팜 계정

  • 개별 사용자 계정을 사용합니다. SSO 구성 계정과 다른 계정을 사용합니다.

  • 이 계정을 Farm Administrators 그룹 또는 로컬 컴퓨터의 Administrators 그룹에 추가하지 마십시오.

    IIS(인터넷 정보 서비스) 응용 프로그램 풀을 실행하는 데 사용되는 서비스 계정을 사용하지 마십시오.

엔터프라이즈 응용 프로그램 관리자 계정

서버 팜 계정

전용 도메인 그룹 계정을 만듭니다. 엔터프라이즈 응용 프로그램 정의를 만들고 관리할 수 있는 사용자를 이 그룹에 추가합니다.

다음 그림에서는 이러한 계정에 대해 권장되는 보안 구성을 보여 줍니다.

SSO 계정 구성을 위한 권장 사항

데이터베이스 설정

데이터베이스 설정은 SSO 데이터베이스를 만드는 데 사용되며 다음을 포함합니다.

  • 서버 이름   이는 데이터베이스 서버 컴퓨터의 NetBIOS 이름입니다. FQDN(정규화된 도메인 이름)을 입력하지 마십시오.

  • 데이터베이스 이름   이는 SSO 데이터베이스의 이름입니다.

데이터베이스를 미리 만들지 않는 경우 기본 설정을 그대로 유지하는 것이 좋습니다.

시간 제한 설정

시간 제한 설정에는 다음이 포함됩니다.

  • 티켓 시간 초과(분)   SSO 티켓이 만료되기 전까지 경과되는 시간(분)을 설정하는 데 사용됩니다. 티켓 시간 초과 값은 티켓이 발급된 시간과 엔터프라이즈 응용 프로그램에서 티켓을 전환하는 시간 사이에 티켓이 유지될 정도로 충분히 길어야 합니다. 티켓을 전환하는 데 충분한 값으로 권장되는 설정은 2분입니다. 2분 내에 티켓이 전환되지 않는 경우 네트워크 등의 문제로 인해 컴퓨터 간의 연결이 끊어졌을 수 있습니다.

  • 다음보다 오래된 감사 로그 기록 삭제   감사 로그의 레코드를 삭제하기 전에 보유할 날짜 수를 설정하는 데 사용됩니다.

기본 시간 제한 설정을 참고하여 설정하는 것이 좋습니다.

엔터프라이즈 응용 프로그램 정의 설정 계획

이 섹션에서는 엔터프라이즈 응용 프로그램 정의에 대한 계획 선택 사항을 설명합니다.

워크시트 작업

Single Sign-On 엔터프라이즈 응용 프로그램 정의 워크시트 (영문)(https://go.microsoft.com/fwlink/?linkid=73335&clcid=0x412)를 사용하여 계획 선택 사항을 기록합니다. 추가할 각 엔터프라이즈 응용 프로그램 정의에 대해 이 워크시트를 완료합니다.

엔터프라이즈 응용 프로그램 정의를 만든 후에는 다음 속성을 수정할 수 없습니다.

  • 엔터프라이즈 응용 프로그램 정의의 이름

  • 계정 유형(그룹 또는 개인, Windows 인증 그룹 또는 개인, 제한된 계정을 사용하는 그룹)

  • 로그온 계정 정보 필드

응용 프로그램 및 담당자 정보

응용 프로그램 및 담당자 정보에는 다음 설정이 포함됩니다.

  • 표시 이름   엔터프라이즈 응용 프로그램의 일반 이름입니다.

  • 응용 프로그램 이름   엔터프라이즈 응용 프로그램의 프로그래밍 이름입니다. 웹 파트에서는 이 이름을 사용하여 엔터프라이즈 응용 프로그램 정의를 호출합니다.

  • 담당자 전자 메일 주소   엔터프라이즈 응용 프로그램에 대한 사항을 문의할 수 있는 전자 메일 주소입니다.

계정 유형

계정 유형은 사용자 자격 증명을 엔터프라이즈 응용 프로그램에 매핑하는 데 사용되는 계정의 종류(개인 계정 또는 그룹 계정)를 나타냅니다. 엔터프라이즈 응용 프로그램에서 각 사용자에게 계정이 있는 경우 개인을 선택하고, 엔터프라이즈 응용 프로그램에서 모든 사용자에 대해 단일 계정을 사용하는 경우 그룹을 선택합니다.

보안 권한 부여를 엔터프라이즈 응용 프로그램에서 수행할 수도 있고 엔터프라이즈 응용 프로그램에 연결하는 웹 파트에서 수행할 수도 있습니다. 보안 인증을 설정하는 방법에 따라 엔터프라이즈 응용 프로그램에서 사용하는 계정의 유형이 달라집니다. 예를 들어 급여 명세서 응용 프로그램에서 개인 데이터에 액세스하는 데 필요한 권한 부여는 다음과 같은 두 가지 방법 중 하나로 설정할 수 있습니다.

  • 사용자가 급여 명세서 시스템에서 자신의 급여 명세서에 액세스하는 개인 계정을 갖습니다. 이 경우 엔터프라이즈 응용 프로그램에서 개인 계정을 사용합니다.

  • 급여 명세서 데이터에 액세스하는 데 사용되는 웹 파트에서 보안 권한 부여를 적용합니다. 이 경우 웹 파트에서 사용자 자격 증명에 따라 사용자 권한 부여를 수행하고 급여 명세서 시스템에서 모든 사용자에 대한 그룹 계정을 사용합니다. 따라서 이 경우 엔터프라이즈 응용 프로그램 정의에 그룹 계정이 사용됩니다.

또한 그룹 계정이 사용되는 경우 엔터프라이즈 응용 프로그램 정의를 구성하여 권한 있는 계정을 사용할 수 있습니다. 권한 있는 계정을 선택하면 자격 증명이 일반 자격 증명과 별도로 저장되고 다른 API를 사용하여 권한 있는 계정에 액세스합니다. 권한 있는 계정은 비즈니스 데이터 카탈로그 등의 중간 응용 프로그램에서 자격 증명에 따라 검색된 데이터에 대해 보안 조정을 세밀하게 적용할 때 사용됩니다.

제한된 자격 증명을 사용하는 응용 프로그램에서는 권한 있는 자격 증명을 사용하여 반환된 데이터에 따라 권한 부여 및 데이터 트리밍을 추가로 수행해야 합니다. 팜 관리자는 권한 있는 계정을 사용하는 모든 응용 프로그램에서 이러한 권한 부여 및 데이터 트리밍을 일관적으로 수행하는지 확인해야 합니다. 그렇지 않으면 이러한 권한 부여 및 트리밍을 추가로 수행하지 않는 응용 프로그램에서 권한 있는 계정에 액세스할 수 있는 경우 권한 있는 자격 증명을 사용하여 트리밍되지 않은 데이터에 액세스하게 되므로 응용 프로그램의 보안이 손상될 수 있습니다.

다음과 같은 경우에만 권한 있는 계정을 사용하는 그룹을 선택합니다.

  • 계정이 그룹 계정입니다.

  • 비즈니스 데이터 카탈로그를 사용하여 엔터프라이즈 응용 프로그램에 연결합니다.

  • 엔터프라이즈 응용 프로그램에 연결하는 중간 응용 프로그램이 권한 있는 계정을 사용할 때의 지침에 따릅니다.

  • 데이터가 매우 중요합니다.

인증 유형

인증 유형은 Office SharePoint Server 2007 서버가 엔터프라이즈 응용 프로그램에 연결하는 방법(Windows 인증 또는 인증 없음)을 나타냅니다. 이 인증은 Office SharePoint Server 2007을 실행하는 서버에서 엔터프라이즈 응용 프로그램에 로그온하는 데 사용하는 자격 증명에만 적용되며 사용자 자격 증명의 인증에는 영향이 없습니다.

엔터프라이즈 응용 프로그램이 Windows를 실행하는 컴퓨터에 호스팅된 경우 Windows 인증을 선택하고, 엔터프라이즈 응용 프로그램이 Windows를 실행하지 않는 컴퓨터에 호스팅된 경우에는 이 설정을 비워 둡니다. Windows 인증을 사용하지 않으면 로그온 자격 증명이 암호화되지 않습니다. Windows 인증을 선택한 경우 엔터프라이즈 응용 프로그램 시스템에서 Windows 인증을 지원하지 않으면 SSO 연결이 실패합니다.

사용자의 로그온 계정 정보

로그온 계정 정보를 위해 제공되는 필드에 따라 로그온하는 데 필요한 정보가 달라집니다. 기본적으로는 사용자 이름과 암호만 지정되지만, 로그온 계정 정보를 최대 다섯 개까지 포함하도록 지정할 수 있습니다. 예를 들어 SAP 서버 이름 또는 SAP 클라이언트 번호를 입력하도록 요청할 수 있습니다. 다음과 같은 경우 사용자에게 자격 증명을 입력하라는 메시지가 표시됩니다.

  • 인증에 실패했거나 자격 증명이 없는 경우

  • 사용자가 자격 증명을 입력하도록 웹 파트가 프로그래밍된 경우

로그온 계정 정보는 개인 계정을 사용하는 엔터프라이즈 응용 프로그램 정의에 사용됩니다. 엔터프라이즈 응용 프로그램 정의에서 그룹 계정을 사용하는 경우에는 로그온 계정 정보를 입력하지 않는 것이 좋습니다.

여기에 구성하는 로그온 계정 정보는 엔터프라이즈 응용 프로그램의 로그온 요구 사항과 일치해야 합니다. 또한 사용자가 자격 증명을 입력할 때 시스템에서 이러한 자격 증명을 숨겨야 하는지 여부를 결정해야 합니다.

일반적으로는 사용자 이름과 암호만 필요합니다. 보안이 강화된 환경에서는 사용자의 신원과 관련된 정보를 추가로 입력해야 할 수 있습니다. 또한 일부 시스템에서는 사용자가 응용 프로그램을 식별하는 추가 정보를 입력해야 할 수 있습니다. 예를 들어 Oracle에 액세스하려는 경우 사용자는 다음 표에 나와 있는 정보를 입력해야 합니다.

필드 입력할 정보

필드 1

Oracle 사용자 이름

필드 2

Oracle 사용자 암호(마스크 옵션에서 선택)

필드 3

Oracle 데이터베이스 이름

SAP 응용 프로그램에 액세스하려면 사용자가 다음 표에 나와 있는 정보를 입력해야 합니다.

필드 입력할 정보

필드 1

SAP 사용자 이름

필드 2

SAP 암호(마스크 옵션에서 선택)

필드 3

SAP 시스템 번호

필드 4

SAP 클라이언트 번호

필드 5

언어

엔터프라이즈 응용 프로그램의 계정 정보

그룹 계정을 사용하여 엔터프라이즈 응용 프로그램에 연결하는 경우 계정 자격 증명을 제공해야 합니다. 엔터프라이즈 응용 프로그램 정의를 추가한 후 SSO 관리자 또는 엔터프라이즈 응용 프로그램 관리자 계정의 구성원은 중앙 관리 사이트에서 엔터프라이즈 응용 프로그램 정의의 계정 정보 관리를 클릭하여 외부 서버 컴퓨터에 연결하는 데 사용되는 계정 이름과 암호를 지정합니다.

워크시트 작업

Single Sign-On 엔터프라이즈 응용 프로그램 정의 워크시트 (영문)(https://go.microsoft.com/fwlink/?linkid=73335&clcid=0x412)를 사용하여 그룹 계정의 이름을 기록합니다.

중앙 관리 사이트에서 계정 정보를 입력하는 관리자는 그룹 계정의 암호도 알아야 합니다.

개인 계정을 사용하여 엔터프라이즈 응용 프로그램에 연결하는 경우 중앙 관리 사이트에 계정 정보를 입력할 필요가 없습니다.

SSO 작업 계획

암호화 키 관리

암호화 키는 SSO와 함께 사용되는 자격 증명을 암호화하는 프로세스의 일부로 사용됩니다. 키를 통해 SSO 데이터베이스에 암호화되어 저장된 자격 증명을 해독할 수 있습니다. 중앙 관리의 Single Sign-On의 서버 설정 관리 페이지에서 SSO 및 엔터프라이즈 응용 프로그램 정의를 처음 구성하면 암호화 키가 자동으로 만들어집니다. 암호화 키 관리에는 암호화 키 감사 및 암호화 키 생성이 포함됩니다.

암호화 키 감사

암호화 키의 변경 내용을 감사할 수 있습니다. 키를 읽거나 쓰면 보안 로그에 보안 이벤트가 기록되며 이벤트 뷰어를 사용하여 보안 로그를 볼 수 있습니다. 로깅을 사용하도록 설정하는 작업에는 다음 작업이 포함됩니다.

  • SSO 레지스트리 키 수정

  • 그룹 정책 개체 편집기에서 로컬 컴퓨터 정책 만들기

암호화 키 다시 생성

암호화 키는 보안 자격 증명을 보호하므로 매 90일 등의 정기적인 일정에 따라 키를 다시 생성해야 합니다. 계정 자격 증명이 노출된 경우에도 암호화 키를 다시 생성해야 합니다.

다시 암호화하는 프로세스는 시간이 많이 걸리는 작업이므로 처리량이 낮은 시간대에 암호화 키를 변경하는 것이 좋습니다. 암호화 키를 다시 암호화하는 경우 SSO 환경에 다음과 같은 영향을 줍니다.

  • 다시 암호화하는 동안 자격 증명을 업데이트하거나 엔터프라이즈 응용 프로그램 정의를 변경하는 등의 쓰기 작업을 수행할 수 없습니다.

  • 자격 증명 검색 등의 읽기 작업은 계속 정상적으로 작동합니다.

암호화 키를 다시 암호화하려면 암호화 키 서버에 로컬로 로그온해야 합니다. 또한 SSO 관리자 계정의 구성원이어야 합니다.

암호화 키 서버가 다시 시작되거나 다시 암호화하는 동안 암호화 키 서버에서 Single Sign-On 서비스가 중단된 경우 이벤트 로그에서 오류를 찾아야 합니다. 이벤트 로그에 오류가 보고되는 경우 다시 암호화하는 프로세스를 다시 시작해야 합니다. 다시 암호화하는 프로세스가 취소되면 원래 상태로 돌아가므로 프로세스를 다시 시작해야 합니다.

암호화 키를 만들 때 기존 자격 증명을 새 키로 다시 암호화할지 여부를 선택할 수 있습니다. 기존 자격 증명을 새 암호화 키로 다시 암호화하지 않으면 사용자가 개별 엔터프라이즈 응용 프로그램 정의에 대한 자신의 자격 증명을 다시 입력해야 하고 그룹 엔터프라이즈 응용 프로그램 정의의 관리자가 그룹 자격 증명을 다시 입력해야 합니다.

Single Sign-On 서비스 자격 증명 저장소를 다시 암호화하면 Microsoft Windows Server 2003 응용 프로그램 이벤트 로그에 이벤트가 기록됩니다. 다시 암호화가 시작된 후 응용 프로그램 이벤트 로그를 모니터링하여 자격 증명 저장소가 다시 암호화되었는지 확인할 수 있습니다. 다시 암호화가 시작되면 응용 프로그램 이벤트 로그에 이벤트 ID 1032가 기록되고, 다시 암호화가 끝나면 응용 프로그램 이벤트 로그에 이벤트 ID 1033이 기록됩니다. 다시 암호화하는 도중 오류가 발생하면 로그에 이벤트가 기록됩니다.

암호화 키 관리에 대한 계획 선택 사항을 결정할 때는 다음을 고려해야 합니다.

  • 암호화 키를 다시 암호화할 간격

  • 기존 자격 증명을 새 암호화 키로 동시에 다시 암호화할지 여부

  • 그 외에 암호화 키를 다시 암호화해야 하는 경우

워크시트 작업

Single Sign-On 서버 팜 설정 워크시트 (영문)(https://go.microsoft.com/fwlink/?linkid=73336&clcid=0x412)를 사용하여 계획 선택 사항을 기록합니다.

SSO 환경 백업

SSO 환경을 백업하면 다음과 같은 별도의 두 엔터티가 백업됩니다.

  • 암호화 키

  • SSO 데이터베이스

초기에 SSO를 설정한 후 암호화 키를 백업한 다음 키를 다시 생성할 때마다 키를 다시 백업해야 합니다. 암호화 키를 다시 생성하는 작업과 관련되지 않은 경우에는 암호화 키를 일정 간격으로 백업할 필요가 없습니다. 암호화 키는 원격으로 백업할 수 없습니다. 암호화 키를 백업하려면 SSO 관리자 계정의 구성원이어야 하며 암호화 키 서버에 로컬로 로그온해야 합니다. 암호화 키는 이동식 저장 미디어에만 백업할 수 있으며 로컬 하드 디스크에는 백업할 수 없습니다. 중앙 관리의 암호화 키 관리 페이지에서 암호화 키를 백업할 수 있습니다.

SSO 데이터베이스를 초기에 만든 후 백업한 다음 자격 증명을 다시 암호화할 때마다 다시 백업해야 합니다. 또한 서버 팜에서 정기적으로 예약된 데이터베이스 백업에 SSO 데이터베이스 백업을 포함할 수 있습니다. 정기적으로 예약된 백업에는 새 엔터프라이즈 응용 프로그램 정의 및 업데이트된 자격 증명 등의 SSO 데이터베이스에 대한 기타 변경 내용이 포함됩니다.

암호화 키에 대한 백업 미디어를 SSO 데이터베이스에 대한 백업 미디어와 같은 위치에 저장하지 마십시오. 사용자가 데이터베이스와 키 모두의 복사본을 입수하면 데이터베이스에 저장된 자격 증명이 노출될 수 있습니다. 암호화 키의 백업은 안전한 장소에 보관하는 것이 좋습니다.

SSO 환경 백업에 대한 계획 선택 사항을 결정할 때는 다음을 고려해야 합니다.

  • 암호화 키를 백업할 간격

  • SSO 데이터베이스 백업 계획. 가장 효율적인 계획은 정기적인 팜 백업에 SSO 데이터베이스를 포함하는 것입니다.

워크시트 작업

Single Sign-On 서버 팜 설정 워크시트 (영문)(https://go.microsoft.com/fwlink/?linkid=73336&clcid=0x412)를 사용하여 계획 선택 사항을 기록합니다.

SSO 환경 복원

여러 가지 경우에 SSO 환경을 복원해야 합니다. 암호화 키만 복원하거나 SSO 데이터베이스만 복원해야 하는 경우도 있습니다. 다음 표에서는 몇 가지 복원 시나리오 및 복원 대상을 보여 줍니다.

시나리오 복원 대상

암호화 키 서버 역할을 다른 서버 컴퓨터로 이동합니다.

암호화 키

SSO 서비스 계정을 변경합니다.

암호화 키

실패한 데이터베이스 서버 컴퓨터를 복원합니다.

SSO 데이터베이스

Office SharePoint Server 2007 팜을 다른 서버 컴퓨터 집합으로 마이그레이션합니다.

암호화 키 및 SSO 데이터베이스

팜 수준 재해를 복구합니다.

암호화 키 및 SSO 데이터베이스

이 섹션의 나머지 부분에서는 각 시나리오에 따라 SSO 복원에 포함되는 작업을 구체적으로 설명합니다.

암호화 키 서버 역할을 다른 서버 컴퓨터로 이동하려면 다음 단계를 수행합니다.

암호화 키 서버 역할을 다른 서버 컴퓨터로 이동

  1. 암호화 키를 백업합니다.

  2. 팜의 모든 컴퓨터에서 Single Sign-On 서비스를 비활성화합니다.

  3. 새 암호화 키 서버에 로그온합니다.

  4. Single Sign-On 서비스를 시작합니다.

  5. 중앙 관리 사이트에서 SSO 팜 수준 설정을 구성하고 기존 SSO 데이터베이스를 지정합니다.

  6. 암호화 키를 복원합니다.

  7. 서버 팜의 모든 웹 서버 컴퓨터에서 Single Sign-On 서비스를 시작합니다.

SSO 서비스 계정 변경

SSO 서비스 계정의 SID(보안 식별자)는 SSO 자격 증명을 암호화하는 공식의 일부로 사용되므로 SSO 서비스 계정을 변경하려면 SSO 환경을 다시 구성해야 합니다. 다음 단계에 따라 SSO 서비스 계정을 변경합니다.

SSO 서비스 계정 변경

  1. 암호화 키를 백업합니다.

  2. 팜에서 Single Sign-On 서비스를 실행하는 모든 서버 컴퓨터에서 새 서비스 계정을 사용하여 서비스를 다시 구성합니다.

  3. 새 SSO 서비스 계정을 사용하여 중앙 관리 사이트의 SSO 팜 수준 설정을 다시 구성하고 기존 SSO 데이터베이스를 지정합니다.

  4. 암호화 키를 복원합니다.

  5. SSO 데이터베이스의 자격 증명을 다시 암호화합니다. 복원된 암호화 키는 자격 증명을 다시 암호화하는 데 사용됩니다.

SSO 데이터베이스 서버만 복원

SSO 데이터베이스를 호스팅하는 서버 컴퓨터에서 오류가 발생하는 경우 SSO 데이터베이스만 복원해야 합니다. Office SharePoint Server 2007 환경의 다른 데이터베이스를 복원할 때와 같은 방법으로 데이터베이스를 복원합니다. SSO 데이터베이스를 다른 서버 컴퓨터로 복원하는 경우 새 데이터베이스 서버 컴퓨터의 이름을 사용하여 SSO 팜 수준 설정을 다시 구성합니다.

전체 SSO 환경 복원

여러 가지 경우에 암호화 키와 SSO 데이터베이스를 모두 복원해야 합니다. 다음 단계에 따라 전체 SSO 환경을 복원합니다.

전체 SSO 환경 복원

  1. SSO 데이터베이스를 원하는 데이터베이스 서버 컴퓨터에 복원합니다.

  2. 새 SSO 환경을 구성하는 경우와 같이 SSO를 설정 및 구성합니다. 단, 기존 SSO 데이터베이스의 서버 이름과 데이터베이스 이름을 입력해야 합니다.

  3. 암호화 키를 새 SSO 환경으로 복원합니다.

SSO 보안 손상에 대처

보안 손상에는 백업 미디어 분실, 암호 노출 또는 SSO 데이터베이스에 저장된 자격 증명이나 엔터프라이즈 응용 프로그램에 저장된 데이터가 노출될 수 있는 기타 사고가 포함됩니다. SSO 환경에 영향을 줄 수 있는 보안 손상이 발생한 경우 다음을 수행하여 손상에 대처합니다.

보안 손상에 대처

  1. 암호화 키를 다시 생성합니다.

  2. 새 암호화 키를 사용하여 SSO 데이터베이스의 자격 증명을 다시 암호화합니다.

  3. 암호가 노출되었을 가능성이 있는 경우 엔터프라이즈 응용 프로그램의 암호를 변경합니다.

  4. 사용자의 암호가 노출되었을 수 있는 경우 사용자가 암호를 변경하도록 유도합니다.

심각한 보안 손상이 발생한 경우 Single Sign-On 서비스를 중지하여 SSO 데이터베이스에 저장된 자격 증명에 대한 액세스를 즉시 차단할 수 있습니다. Single Sign-On 서비스를 중지해야 하는 경우 다음 단계에 따라 서비스를 기존 Office SharePoint Server 2007 서버 팜으로 안전하게 복원할 수 있습니다.

Single Sign-On 서비스를 기존 서버 팜에 복원

  1. 격리된 서버 컴퓨터에 SSO 환경을 복원합니다.

  2. 암호화 키를 다시 생성합니다.

  3. SSO 데이터베이스의 자격 증명을 다시 암호화합니다.

  4. SSO 환경을 백업합니다.

  5. SSO 환경을 기존 Office SharePoint Server 2007 서버 팜에 복원합니다.

워크시트

다음 워크시트를 사용하여 Single Sign-On을 계획합니다.

이 문서의 다운로드

이 항목은 다운로드 가능한 다음 문서에도 포함되어 있어 더 쉽게 읽고 인쇄할 수 있습니다.

사용 가능한 문서의 전체 목록은 다운로드 가능한 Office SharePoint Server 2007 관련 콘텐츠 (영문)를 참조하십시오.