비즈니스 데이터 카탈로그의 인증 관리
업데이트 날짜: 2009년 4월
적용 대상: Office SharePoint Server 2007
마지막으로 수정된 항목: 2015-03-09
Microsoft Office SharePoint Server 2007의 비즈니스 데이터 카탈로그는 SSO(Single Sign-On)을 사용하여 사용자 자격 증명을 저장하는 두 가지 인증 모델과 세 가지 인증 모드를 지원합니다.
이 문서의 내용
기본 설정 인증 모델 및 인증 모드 선택
백 엔드 응용 프로그램의 계정 구성
단일 Single Sign-On 서비스 사용 및 구성
엔터프라이즈 응용 프로그램 정의 만들기 및 구성
응용 프로그램에 대한 응용 프로그램 정의 수정 및 가져오기
작업 요구 사항
SSO를 사용하여 비즈니스 데이터 카탈로그의 인증을 관리하려면 배포에 통합할 각 데이터베이스나 웹 서비스에 대해 이 문서의 단계를 완료합니다.
기본 설정 인증 모델 및 인증 모드 선택
비즈니스 데이터 카탈로그의 응용 프로그램에서는 두 가지 고유한 인증 모델 중 하나를 활용할 수 있는 여러 가지 인증 모드를 사용할 수 있습니다.
인증 모델 선택
비즈니스 데이터 카탈로그에서 사용하는 인증 모델은 개념적 모델로, 특정 XML이나 다른 구성 설정과 일치하지 않습니다. 특정 계정을 사용하여 백 엔드 서버에 연결하도록 응용 프로그램 정의 XML 파일을 구성하여 인증 모델을 구현합니다.
비즈니스 데이터 카탈로그는 다음 인증 모델을 지원합니다.
신뢰할 수 있는 하위 시스템
가장 및 위임
신뢰할 수 있는 하위 시스템 모델에서는 백 엔드 서버가 고정 ID로 중간 계층(보통 웹 서버)을 인증합니다. 가장 및 위임 모델에서는 클라이언트가 중간 계층으로 인증을 위임합니다. 그러면 중간 계층이 클라이언트를 가장하고 클라이언트를 대신하여 백 엔드에 대해 인증합니다. 각 모델은 서로 다른 통합 시나리오에서 사용할 수 있는 여러 가지 인증 모드를 지원합니다.
신뢰할 수 있는 하위 시스템 모델의 장점은 다음과 같습니다.
데이터베이스 연결 풀링
보다 간단한 관리
응용 프로그램의 백 엔드 서버 관리자만 단일 계정의 사용 권한 관리
새로 배포할 때는 신뢰할 수 있는 하위 시스템을 선택하는 것이 좋습니다. 사용자가 많은 경우에는 응용 프로그램 관리자가 백 엔드 서버에 대한 인증 사용 권한을 구성할 필요가 없습니다. 대신 각 응용 프로그램에 대해 하나의 계정을 구성한 다음 Office SharePoint Server에서 인증을 구성할 수 있습니다.
신뢰할 수 있는 하위 시스템 모델은 엔터프라이즈 응용 프로그램 정의의 그룹 계정과 연결된 서비스 계정이나 데이터베이스 계정을 사용합니다.
가장 및 위임 모델에는 다음과 같은 장점이 있습니다.
백 엔드 서버에서 감사
추가 구성 없이 백 엔드 서버에서 사용자별 인증
사용자별 인증을 위해 구성된 기존 응용 프로그램의 경우 가장 및 위임을 선택하는 것이 좋습니다. 가장 및 위임 모델을 구성한 후에는 백 엔드 응용 프로그램의 구성을 사용하여 각 사용자를 계속 인증합니다. Office SharePoint Server 배포에 통합된 여러 기간 업무(LOB) 응용 프로그램을 관리하는 경우에는이 방법이 번거로울 수 있습니다. 각 응용 프로그램의 고유한 인증 설정을 지속적으로 관리해야 하기 때문입니다. 백 엔드 서버에서 감사할 필요가 없는 경우 초기 배초에 한해 신뢰할 수 있는 하위 시스템 모델을 구성할 수 있을 때까지 가장 및 위임 모델을 사용하는 것이 적절한 경우가 많습니다.
가장 및 위임 모델은 개별 계정에 연결된 데이터베이스 사용자 계정(데이터베이스에만 해당)이나 폼 기반 인증 사용자(웹 서비스에만 해당) 중 하나를 개별 Windows 사용자 계정과 함께 사용합니다.
인증 모드 선택 및 구성
다음 표에서는 비즈니스 데이터 카탈로그에서 지원하는 인증 모드 및 해당 모드에서 SSO를 사용하는지 여부를 설명합니다.
인증 모드 |
설명 |
SSO 사용 |
PassThrough |
로그온한 사용자의 자격 증명을 사용하여 백 엔드 서버의 응용 프로그램에 인증합니다. 이 모드는 가장 및 위임 인증 모델에만 사용할 수 있습니다. PassThrough 인증을 사용하려면 Kerberos 위임을 사용하도록 설정해야 합니다. |
아니요 |
RevertToSelf |
응용 프로그램 풀 ID 계정을 사용하여 사용자를 백 엔드 서버에 인증합니다. 항상 개별 계정 대신 서비스 계정이 사용되므로 RevertToSelf는 신뢰할 수 있는 하위 시스템 인증 모델을 사용합니다. |
아니요 |
WindowsCredentials |
웹 서비스와 데이터베이스 모두에 사용됩니다. 비즈니스 데이터 카탈로그는 엔터프라이즈 응용 프로그램 정의에서 자격 증명이 있는 Windows 사용자 계정을 가장하여 Windows 인증을 수행합니다. |
예 |
Credentials |
Windows 인증 대신 기본 또는 다이제스트 인증을 사용하는 웹 서비스에 사용됩니다. Credentials 인증 모드를 사용할 때 보안을 유지하려면 SSL(Secure Sockets Layer) 또는 IPSec(인터넷 프로토콜 보안)를 사용하여 비즈니스 데이터 카탈로그와 백 엔드 서버 간의 채널을 보호하는 것이 좋습니다. |
예 |
RdbCredentials |
백 엔드 데이터베이스에만 사용됩니다. 비즈니스 데이터 카탈로그가 엔터프라이즈 응용 프로그램 정의에서 자격 증명을 사용하여 인증합니다. |
예 |
이러한 모드에서는 대부분 SSO를 사용하여 응용 프로그램의 자격 증명을 저장합니다. 이때 엔터프라이즈 응용 프로그램 정의로 구성된 개별 ID와 그룹 ID 중 하나를 사용합니다. PassThrough 모드에서는 로그온한 사용자의 자격 증명을 사용하고 RevertToSelf 모드에서는 응용 프로그램 풀 ID 계정을 사용하여 사용자를 인증합니다.
모든 SSO 인증 모드에서 엔터프라이즈 응용 프로그램 정의는 신뢰할 수 있는 하위 시스템 모델의 그룹 계정과 가장 및 위임 모델의 개별 계정을 사용합니다. 엔터프라이즈 응용 프로그램 정의에 대한 자세한 내용은 이 문서의 “엔터프라이즈 응용 프로그램 정의 만들기 및 구성” 섹션을 참조하십시오.
선택한 인증 모드는 백 엔드 서버에서 구성하는 계정이나 자격 증명 및 SSO 설정에 영향을 줍니다. 응용 프로그램 정의 XML 파일에 대해 구성해야 하는 속성은 이 문서의 뒷부분에 나오는 “응용 프로그램 정의 XML 파일 수정 및 가져오기” 섹션에 설명되어 있습니다.
인증 모델 및 인증 모드에 대한 자세한 내용은 비즈니스 데이터 카탈로그 인증 (영문)(https://go.microsoft.com/fwlink/?linkid=100498&clcid=0x412)을 참조하십시오.
응용 프로그램의 계정 구성
응용 프로그램에 대해 SSO 또는 응용 프로그램 정의 XML 파일을 구성하기 전에 백 엔드 서버의 자격 증명 하나 이상에 대한 인증 사용 권한을 구성합니다.
신뢰할 수 있는 하위 시스템 인증 모델을 사용하는 경우 응용 프로그램에서 단일 계정이나 자격 증명 집합만 구성하면 됩니다.
가장 및 위임 인증 모델을 사용하는 경우 비즈니스 데이터 카탈로그가 SSO 그룹 계정에서 가장하는 모든 자격 증명에 대한 인증을 구성해야 합니다. 조직에서 응용 프로그램을 이미 사용하고 있는 경우에는 필요한 자격 증명을 이미 구성했을 수 있으므로 이 단계를 건너뛸 수 있습니다.
데이터베이스나 웹 서비스 내에서 구성되는 계정과 구성 세부 사항은 응용 프로그램의 구체적인 권한에 따라 달라집니다.
Single Sign-On 서비스 사용 및 구성
SSO를 사용하는 비즈니스 데이터 카탈로그에 대해 인증 모드를 선택한 경우 팜의 모든 프런트 엔드 웹 서버에서 Microsoft Single Sign-On 서비스(SSOSrv)를 사용하도록 설정하고 구성해야 합니다. 비즈니스 데이터 카탈로그에 대한 검색 기능도 사용하는 경우 인덱스 서버에서 SSOrv를 사용하도록 설정해야 합니다.
서비스의 로그온 계정은 다음 조건을 충족해야 합니다.
도메인 사용자 계정이어야 합니다. 그룹 계정은 사용할 수 없습니다.
Office SharePoint Server 팜 계정이어야 합니다.
암호화 키 서버에서 로컬 Administrators 그룹의 구성원이어야 합니다. 암호화 키 서버는 SSOSrv를 시작하는 첫 번째 서버입니다.
Microsoft SQL Server를 실행하는 컴퓨터에서 보안 관리자 역할 및 db_creator 역할이어야 합니다.
SSO 관리자 계정과 같은 계정이거나 SSO 관리자 그룹 계정의 구성원이어야 합니다.
SSO 서비스를 구성한 후에 중앙 관리 페이지에 대한 추가 설정을 구성합니다. SSO의 서버 설정에는 다른 SSO 관리자 계정, SSO 데이터베이스 서버 및 서버 이름, 시간 제한 및 감사 로그 설정 등에 대한 계정 정보가 있습니다.
SSO 관리자 계정으로 지정하는 사용자 또는 그룹은 다음 조건을 충족해야 합니다.
Windows 글로벌 그룹 또는 개별 사용자 계정이어야 합니다. 이 계정은 도메인 로컬 그룹 계정 또는 메일 그룹일 수 없습니다.
사용자가 지정된 경우 Single Sing-On 서비스 계정과 같은 계정이어야 합니다. 그룹이 지정된 경우 Single Sing-On 서비스 계정은 해당 그룹의 구성원이어야 합니다.
사용자가 지정된 경우 SSO의 구성 계정과 같은 계정이어야 합니다. 그룹이 지정된 경우 SSO의 구성 계정은 해당 그룹의 구성원이어야 합니다.
SharePoint Farm Administrators 그룹의 구성원이어야 합니다.
Single Sign-On 서비스를 사용하도록 설정하고 활성화하는 방법에 대한 자세한 내용은 Microsoft Single Sign-On 서비스 구성 및 시작을 참조하십시오. Single Sign-On 서비스를 구성하는 방법에 대한 자세한 내용은 Single Sign-on 구성(Office SharePoint Server)을 참조하십시오.
엔터프라이즈 응용 프로그램 정의 만들기 및 구성
Single Sign-On 서비스를 구성한 후에는 기간 업무(LOB) 응용 프로그램에 대한 엔터프라이즈 응용 프로그램 정의를 만들고 구성해야 합니다. 기간 업무(LOB) 응용 프로그램, 데이터베이스 및 웹 서비스에서 사용하는 저장된 각 자격 증명별로 하나의 엔터프라이즈 응용 프로그램 정의를 만듭니다. 같은 자격 증명 집합을 사용하는 응용 프로그램이 여러 개인 경우에는 해당 자격 증명을 사용하는 모든 응용 프로그램에 연결하는 데 사용할 수 있는 엔터프라이즈 응용 프로그램 정의를 하나만 만들면 되지만 일반적으로 각 응용 프로그램이나 서비스마다 하나의 엔터프라이즈 응용 프로그램 정의를 만듭니다.
참고
SSO에 대한 엔터프라이즈 응용 프로그램 정의는 각 응용 프로그램이나 서비스의 비즈니스 데이터 카탈로그로 가져온 응용 프로그램 정의 XML 파일과 다릅니다. 엔터프라이즈 응용 프로그램 정의를 만들고 응용 프로그램 정의 XML 파일에서 해당 엔터프라이즈 응용 프로그램 정의를 별도로 참조해야 합니다.
엔터프라이즈 응용 프로그램 정의를 만든 후에 엔터프라이즈 응용 프로그램 정의에 대한 계정 정보를 구성해야 합니다. 이 절차를 완료하려면 서버에 로컬 관리자로 로그온해야 합니다.
엔터프라이즈 응용 프로그램 정의를 만드는 방법에 대한 자세한 내용은 비즈니스 데이터 카탈로그용 엔터프라이즈 응용 프로그램 정의 만들기를 참조하십시오. 엔터프라이즈 응용 프로그램 정의를 구성하는 방법에 대한 자세한 내용은 비즈니스 데이터 카탈로그용 엔터프라이즈 응용 프로그램 정의 구성을 참조하십시오.
응용 프로그램 정의 XML 파일 수정 및 가져오기
SSO를 구성하고 엔터프라이즈 응용 프로그램 정의를 만들어 구성한 후에는 응용 프로그램의 인증 모드, 응용 프로그램에서 사용하는 ISsoProvider 인터페이스의 구현 및 응용 프로그램의 엔터프라이즈 응용 프로그램 ID를 포함하도록 응용 프로그램 정의를 수정해야 합니다. 이러한 속성은 응용 프로그램 정의 XML 파일의 LOBSystemInstance 개체에서 구성합니다.
응용 프로그램의 다른 속성을 수정할 수도 있습니다. 데이터베이스와 웹 서비스 모두의 인증을 구성하는 데 사용할 수 있는 속성을 보여주는 전체 목록은 LOBSystemInstance (영문)(https://go.microsoft.com/fwlink/?linkid=124545&clcid=0x412)를 참조하십시오. 예제도 제공됩니다.
비즈니스 데이터 카탈로그의 인증 설정을 사용하려면 먼저 응용 프로그램 정의 XML 파일을 비즈니스 데이터 카탈로그로 가져와야 합니다.
비즈니스 데이터 카탈로그의 응용 프로그램 정의를 만들고, 수정하고, 가져오는 방법에 대한 자세한 내용은 응용 프로그램 정의 관리를 참조하십시오.
응용 프로그램 정의 XML 파일을 작성하는 일반적인 작업은 다음 하위 섹션에 설명되어 있습니다.
데이터베이스에 대해 SSO 인증 구성
웹 서비스에 대해 SSO 인증 구성
응용 프로그램에 대해 SSO 공급자 구성
RevertToSelf 인증 구성
PassThrough 인증 구성
응용 프로그램에 대해 응용 프로그램 수준 인증 구성
데이터베이스에 대해 SSO 인증 구성
데이터베이스 시스템에서 SSO를 사용하려면 다음 속성이 필요합니다.
LOBSystemInstance 개체의 AuthenticationMode가 WindowsCredentials 또는 RdbCredentials로 설정되어 있습니다.
SsoProviderImplementation이 ISsoProvider 인터페이스의 정규화된 이름으로 설정되어 있습니다.
참고
Office SharePoint Server ISsoProvider 인터페이스가 아닌 타사 ISsoProvider 인터페이스를 사용 중이라면 해당 공급업체의 정규화된 이름을 포함해야 합니다.
SsoApplicationId가 응용 프로그램의 엔터프라이즈 응용 프로그램 ID 값으로 설정되어 있습니다. 이 값은 엔터프라이즈 응용 프로그램 정의를 만들 때 지정한 이름입니다.
웹 서비스에 대해 SSO 인증 구성
웹 서비스 시스템에서 SSO를 사용하려면 다음 속성을 지정해야 합니다.
LOBSystemInstance 개체의 WebServiceAuthenticationMode가 WindowsCredentials 또는 Credentials로 설정되어 있습니다.
SsoProviderImplementation이 ISsoProvider 인터페이스의 정규화된 이름으로 설정되어 있습니다.
참고
Office SharePoint Server ISsoProvider 인터페이스가 아닌 타사 ISsoProvider 인터페이스를 사용 중이라면 해당 공급업체의 정규화된 이름을 포함해야 합니다.
WebServiceSsoApplicationId가 응용 프로그램의 엔터프라이즈 응용 프로그램 ID 값으로 설정되어 있습니다.
응용 프로그램에 대해 SSO 공급자 구성
SSO를 사용하여 사용자를 인증하는 기간 업무(LOB) 응용 프로그램에서 타사 SSO 공급자를 사용하도록 SsoProviderImplementation 속성 및 ISsoProvider 인터페이스를 설정할 수 있습니다. Office SharePoint Server SSO 공급자가 아닌 다른 SSO 공급자를 사용하려면 해당 공급자를 구성하고 이 속성의 응용 프로그램 정의에 공급자의 정규화된 이름을 포함해야 합니다. 자세한 내용은 ISsoProvider 구성원 (영문)(https://go.microsoft.com/fwlink/?linkid=124546&clcid=0x412)을 참조하십시오.
응용 프로그램에 대해 RevertToSelf 인증 구성
SSO를 사용하는 대신 RevertToSelf 인증 모드를 사용하여 응용 프로그램을 응용 프로그램 풀 계정 ID로 실행하고 각 사용자의 개별 사용 권한을 사용하여 응용 프로그램에 인증하도록 구성할 수 있습니다. RevertToSelf 인증 모드를 사용하려면 인증 속성을 다음과 같이 설정해야 합니다.
데이터베이스에 대해 인증하려면 LOBSystemInstance 개체의 AuthenticationMode 속성을 RevertToSelf로 설정합니다.
웹 서비스에 대해 인증하려면 LOBSystemInstance 개체의 WebServiceAuthenticationMode 속성을 RevertToSelf로 설정합니다.
응용 프로그램에 대해 PassThrough 인증 구성
PassThrough 인증은 SSO를 사용하지 않고 계정을 저장하며 백 엔드 응용 프로그램에서 각 계정의 사용 권한을 사용하여 직접 각 사용자를 인증합니다. PassThrough 인증 모드를 사용하려면 인증 속성을 다음과 같이 설정해야 합니다.
데이터베이스에 대해 인증하려면 LOBSystemInstance 개체의 AuthenticationMode 속성을 PassThrough로 설정합니다.
웹 서비스에 대해 인증하려면 LOBSystemInstance 개체의 WebServiceAuthenticationMode 속성을 PassThrough로 설정합니다.
응용 프로그램에 대해 응용 프로그램 수준 인증 구성
비즈니스 데이터 카탈로그는 응용 프로그램 수준의 보조 인증도 지원합니다. 이 인증은 시스템에 대해 구성된 기본 인증과 함께 사용됩니다. 예를 들어 백 엔드 응용 프로그램에서 사용자를 인증하기 위해 메서드 호출에서 보안 자격 증명을 전달해야 하는 경우에 특히 유용합니다. 응용 프로그램 수준 인증을 사용하려면 다음 단계를 수행합니다.
LobSystemInstance 개체의 SecondarySsoApplicationId 속성에서 자격 증명이 포함된 SSO 응용 프로그램을 지정합니다.
UsernameCredentialFilter 및 PasswordCredentialFilter 속성을 정의하고 각 속성을 입력 매개 변수와 연결합니다.
익명 액세스 구성
2007 Microsoft Office Servers 서비스 팩 1은 응용 프로그램 정의에 대해 새로운 AllowAnonymousExecute 속성을 추가하여 비즈니스 데이터 웹 파트의 비즈니스 데이터에 대한 익명 액세스를 사용할 수 있도록 합니다. 이 속성의 값을 true로 설정하면 익명 액세스를 사용할 수 있습니다. 이 속성에 대한 XML은 다음과 같습니다.
<Properties>
<Property Name="AllowAnonymousExecute" Type="System.Boolean">true</Property>
</Properties>
비즈니스 데이터 목록 웹 파트 또는 비즈니스 데이터 항목 웹 파트의 데이터에 대한 익명 액세스를 사용하도록 설정하려면 해당 웹 파트에서 사용하는 메서드 인스턴스에 이 속성을 추가합니다.
예를 들어 익명 사용자가 음악가에 대한 정보를 표시하는 비즈니스 데이터 항목 웹 파트에 대한 ArtistRead 메서드 인스턴스를 실행할 수 있도록 하려면 다음을 수행합니다.
<MethodInstance Type="SpecificFinder" ReturnParameterName="ArtistRead" Name="ArtistRead">
<Properties>
<Property Name="AllowAnonymousExecute" Type="System.Boolean">true</Property>
</Properties>
</MethodInstance>
작업 요구 사항
이 작업의 절차를 수행하려면 다음 요구 사항을 충족해야 합니다.
비즈니스 데이터 카탈로그에서 백 엔드 기간 업무(LOB) 응용 프로그램의 계정을 구성하려면 계정 사용 권한을 구성할 수 있는 응용 프로그램 사용 권한이 있어야 합니다.
서버에서 Single Sign-On 서비스를 사용하도록 설정하려면 로컬 Administrators 그룹의 구성원이어야 합니다.
중앙 관리에서 SSO 관리자 계정을 구성하려면 팜 관리자인 동시에 로컬 Administrators 그룹의 구성원이어야 합니다.
중앙 관리에서 엔터프라이즈 응용 프로그램 정의를 만들고 구성하려면 팜 관리자인 동시에 로컬 Administrators 그룹의 구성원이어야 합니다.
응용 프로그램에 대한 기존 응용 프로그램 정의 XML 파일을 수정하거나 가져오려면 비즈니스 데이터 카탈로그의 응용 프로그램에 대한 편집 사용 권한이 있어야 합니다.
비즈니스 데이터 카탈로그에 대한 인증을 관리하려면 다음 절차를 나열된 순서대로 수행합니다.