비즈니스 데이터 카탈로그의 인증 관리
업데이트 날짜: 2008년 8월
적용 대상: Office SharePoint Server 2007
마지막으로 수정된 항목: 2008-09-17
비즈니스 데이터 카탈로그는 기간 업무(LOB) 데이터를 Microsoft Office SharePoint Server 2007과 통합하는 데 사용할 수 있는 서비스입니다. 여기에는 일관된 형식으로 기간 업무(LOB) 응용 프로그램에 대한 메타데이터를 저장하는 데이터베이스와 응용 프로그램에서 데이터를 추출하고 클라이언트를 데이터베이스에 연결하는 해당 API가 포함됩니다.
비즈니스 데이터 카탈로그의 클라이언트에는 비즈니스 데이터 프로필, 웹 파트, SharePoint 목록, 사용자 프로필 등이 포함됩니다. 클라이언트에서 비즈니스 데이터에 액세스하려고 시도할 때마다 인증 계정의 인증 설정에 따라 현재 계정이 인증되고 데이터에 대한 액세스 권한이 부여됩니다. 계정에 올바른 사용 권한이 있으면 중간 계층 데이터베이스에서 데이터가 검색되고 클라이언트로 반환됩니다.
데이터베이스 또는 웹 서비스와 같은 기간 업무(LOB) 응용 프로그램의 데이터에 대한 액세스는 백 엔드 서버의 응용 프로그램을 통해 인증될 수 있습니다. 신뢰할 수 있는 하위 시스템 인증 모델이 사용되는 경우 클라이언트 액세스는 비즈니스 데이터 카탈로그 서비스 사용 권한을 사용하여 인증될 수 있습니다. 인증 모델에 대한 자세한 내용은 비즈니스 데이터 카탈로그의 인증 관리를 참조하십시오.
이 문서의 내용
백 엔드 인증
중간 계층 인증
백 엔드 인증
백 엔드 인증에서는 응용 프로그램용 백 엔드 서버가 서버의 데이터에 대한 액세스 권한을 부여하고 응용 프로그램에서 정의한 사용 권한에 따라 개별적으로 사용자를 식별하고 인증합니다. 이렇게 하면 일부 시나리오에서 비즈니스 데이터 트랜잭션을 감사할 수 있는 이점이 있지만 백 엔드 서버에서 추가 구성 작업을 수행해야 합니다. 백 엔드 인증을 사용하는 기간 업무(LOB) 응용 프로그램은 백 엔드 서버의 인증에 따라 사용자에게 액세스 제어를 부여합니다. 이러한 응용 프로그램의 데이터는 각 서버의 인증에 따라 클라이언트 응용 프로그램에서 사용할 수 있게 됩니다. 백 엔드 인증을 사용할 때는 비즈니스 데이터 카탈로그의 서비스 권한을 사용하여 보다 구체적인 액세스 제어를 적용할 수 없습니다.
중간 계층 인증
중간 계층 인증에서는 단일 ID를 사용하여 백 엔드 서버의 모든 사용자를 인증합니다. 비즈니스 데이터 카탈로그 서비스 권한을 구성하여 개별 사용자에 대해 보다 구체적인 액세스 제어를 적용할 수 있습니다. 이렇게 하면 모든 응용 프로그램에서 단일 인증 모델이 제공되므로 데이터베이스 연결 풀링을 사용할 수 있고 백 엔드 인증이 가능하지 않은 시나리오를 지원할 수 있습니다.
비즈니스 데이터 카탈로그의 서비스 권한을 통해 사용자는 비즈니스 데이터 카탈로그로 가져온 기간 업무(LOB) 응용 프로그램의 비즈니스 데이터에 액세스할 수 있습니다. 이 권한은 Windows SharePoint Services 3.0 보안 및 권한 모델에 속해 있지 않으며 공유 서비스 관리 사이트의 공유 서비스 권한 페이지에서 관리됩니다.
기본적으로 SSP(공유 서비스 공급자)에 대한 공유 서비스 관리 사이트를 만드는 데 사용된 계정에는 비즈니스 데이터 카탈로그의 모든 서비스 권한이 있습니다. 공유 서비스 관리 사이트의 사이트 관리자로 추가된 계정을 비롯한 다른 계정에는 서비스 권한이 자동으로 부여되지 않습니다.
공유 서비스 관리 사이트에 대한 보기 전용 이상의 권한이 있는 계정에는 하나 이상의 서비스 권한이 부여될 수 있습니다.
비즈니스 데이터 카탈로그의 서비스 권한은 다음과 같습니다.
사용 권한 설정 권한
비즈니스 데이터 카탈로그의 사용 권한 관리자가 사용 권한 설정 권한을 포함한 다른 사용자의 서비스 권한을 관리할 수 있습니다.
편집 권한
응용 프로그램 정의 관리자가 기간 업무(LOB) 응용 프로그램에 대한 응용 프로그램 정의를 가져오고 업데이트 및 삭제할 수 있습니다.
클라이언트에서 선택 권한
주로 기간 업무(LOB) 응용 프로그램의 비즈니스 데이터를 표시하는 SharePoint 사이트의 사이트 관리자 또는 소유자인 정보 근로자가 웹 파트의 비즈니스 데이터, SharePoint 목록의 열 및 비즈니스 데이터 카탈로그의 데이터에 액세스할 수 있는 다른 클라이언트를 선택할 수 있습니다. 이 사용 권한이 부여된 사용자는 공유 서비스 관리 사이트에 대한 액세스 권한이 없어도 됩니다. SharePoint 목록 및 웹 파트와 같은 클라이언트의 비즈니스 데이터를 사용하는 방법에 대한 자세한 내용은 사이트, 목록 및 라이브러리의 비즈니스 데이터(https://go.microsoft.com/fwlink/?linkid=107616&clcid=0x412) 및 SharePoint 목록의 비즈니스 데이터를 사용한 작업(https://go.microsoft.com/fwlink/?linkid=107617&clcid=0x412)을 참조하십시오.
실행 권한
개발자가 비즈니스 데이터 엔터티의 메서드 인스턴스를 실행할 수 있습니다. 이 사용 권한이 부여된 사용자는 공유 서비스 관리 사이트에 대한 액세스 권한이 없어도 됩니다. 비즈니스 데이터 엔터티의 메서드 인스턴스를 실행하는 방법에 대한 자세한 내용은 SharePoint Server 2007 SDK: 소프트웨어 개발 키트 (영문)를 참조하십시오.
이러한 사용 권한은 비즈니스 데이터 카탈로그에 있는 기간 업무(LOB) 응용 프로그램에 대한 응용 프로그램 정의 XML 파일에 사용된 개체 이름에 해당하는 5가지 계층 구조 수준의 ACL(액세스 제어 목록)로 설정될 수 있습니다.
비즈니스 데이터 카탈로그(최상위 수준. 스키마에서 응용 프로그램 레지스트리라고 함)
응용 프로그램(스키마에서 LobSystem)
엔터티 또는 비즈니스 데이터 형식(스키마에서 Entity)
메서드
메서드 인스턴스(스키마에서 MethodInstance)
응용 프로그램 정의 파일의 예제는 예제: AdventureWorks2000 PassThrough 메타데이터 (영문)(https://go.microsoft.com/fwlink/?linkid=124631&clcid=0x412)를 참조하십시오.
각 수준의 사용 권한은 개별적으로 설정됩니다. 예를 들어 비즈니스 데이터 카탈로그 수준에서 편집 권한이 있는 사용자는 새 응용 프로그램 정의를 가져올 수 있지만 응용 프로그램 수준에서 편집 권한이 있는 경우에는 기존 응용 프로그램 정의를 편집하거나 삭제할 수만 있습니다. 공유 서비스 관리 사이트의 사용 권한 관리 페이지에서 상위 3가지 수준에 대해 사용 권한을 보고 관리할 수 있습니다. 메서드 및 메서드 인스턴스 권한은 관련 응용 프로그램 정의 파일에서만 볼 수 있습니다.
한 수준의 사용 권한 관리자는 해당 수준에서 모든 하위 수준으로 사용 권한을 복사할 수 있습니다. 예를 들어 비즈니스 데이터 카탈로그에 대한 액세스 권한이 있는 사용자는 모든 기존 응용 프로그램 및 엔터티에 대해 동일한 사용 권한을 부여 받을 수 있고, 응용 프로그램에 대한 액세스 권한이 있는 사용자는 해당 응용 프로그램의 모든 엔터티에 대한 사용 권한을 부여 받을 수 있습니다.
비즈니스 데이터 카탈로그를 처음 구성하는 동안 비즈니스 데이터 카탈로그 전체에 대한 사용 권한을 구성하고, 개별 응용 프로그램에 대한 사용 권한으로 이동하기 전에 해당 수준에서 어떤 사용자가 각 서비스 권한이 필요한지 고려하는 것이 좋습니다. 그런 다음 각 응용 프로그램에 사용자의 사용 권한을 추가한 후 각 엔터티, 메서드 또는 메서드 인스턴스에 대한 사용 권한을 구성합니다. 지속적으로 작업을 수행하는 동안에는 시간이 흐르면서 비즈니스 요구 사항 및 방법이 변경됨에 따라 응용 프로그램 정의 관리자가 응용 프로그램 및 엔터티에 대한 사용 권한을 추가하거나 제거할 수 있습니다.
최상위 비즈니스 데이터 카탈로그 권한
공유 서비스 관리 사이트를 만드는 데 사용된 계정은 기본적으로 비즈니스 데이터 카탈로그의 최상위 수준에서 모든 서비스 권한을 갖습니다. 여기에는 사용 권한 설정 권한이 포함됩니다. 이 사용자는 사용 권한 관리자로서 일반적으로 비즈니스 데이터 카탈로그의 최상위 수준에서 소수의 사용자에게 서비스 권한을 추가합니다. 이러한 사용자는 사용 권한 관리자, 응용 프로그램 정의 관리자 또는 이 두 가지에 모두 해당하는 비즈니스 데이터 카탈로그 관리자입니다.
응용 프로그램 정의 관리자는 각 기간 업무(LOB) 응용 프로그램의 응용 프로그램 정의를 작성하는 디자이너나 개발자와 함께 작업합니다. 응용 프로그램 정의에는 모든 가져온 엔터티, 메서드 및 메서드 인스턴스의 ACL이 포함됩니다. 응용 프로그램 정의를 작성할 때 이러한 사용 권한을 세부적으로 추가하거나 최소한의 사용자를 추가한 다음 응용 프로그램 정의를 가져온 후 편집할 수 있습니다.
최상위 응용 프로그램 정의 관리자는 일반적으로 각 응용 프로그램에 국한되는 사용 권한을 다른 사용자에게 추가합니다. 이러한 방식을 사용하면 많은 수의 사용자에게 모든 응용 프로그램에 대한 사용 권한을 부여하지 않고 서로 다른 사용자에게 각 응용 프로그램에 대한 비즈니스 데이터 권한 관리 책임을 부여할 수 있습니다.
각 수준에서 사용 권한을 추가할 때는 각 사용자에게 관련 비즈니스 데이터를 사용하여 작업하는 데 필요한 최소한의 사용 권한을 부여하는 것이 좋습니다.
응용 프로그램 관리자는 응용 프로그램 수준에서 모든 사용 권한을 갖습니다. 일반적으로 응용 프로그램 관리자는 소수이며 이러한 사용자에게만 응용 프로그램 수준의 사용 권한 설정 권한과 편집 권한이 부여됩니다.
정보 근로자는 클라이언트에서 선택 권한을 가지며 다른 사용 권한은 갖지 않습니다.
개발자 및 디자이너는 개발 및 디자인하고 있는 응용 프로그램과 엔터티에 대한 실행 권한을 가지며 다른 사용 권한은 갖지 않습니다.
응용 프로그램 및 엔터티 수준의 초기 사용 권한은 응용 프로그램의 응용 프로그램 정의를 작성한 사람이 구성합니다. 응용 프로그램 정의 작성자는 응용 프로그램 및 선택적으로 하나 이상의 응용 프로그램 엔터티에 대해 사용자 및 그룹의 사용 권한을 구성할 수도 있습니다. 응용 프로그램 정의 관리자가 응용 프로그램 정의를 비즈니스 데이터 카탈로그로 가져올 때 이러한 사용자가 ACL에 추가되고 관련 응용 프로그램 및 엔터티의 데이터를 볼 수 있도록 권한이 부여됩니다. 각 수준의 사용 권한에 대한 변경 사항은 응용 프로그램 정의의 기본 XML에 영향을 줍니다.
작업 요구 사항
이 작업의 절차를 수행하려면 다음 요구 사항을 충족해야 합니다.
- 관리자에게 공유 서비스 관리 사이트에 대한 액세스 권한이 있고, 비즈니스 데이터 카탈로그에 대한 사용 권한 설정 권한을 사용할 수 있도록 설정되어 있어야 합니다. 공유 서비스 관리 사이트를 만드는 데 사용된 계정은 이 사용 권한을 가지며 다른 사용자에게 사용 권한을 부여할 수 있습니다.
비즈니스 데이터 카탈로그에 대한 사용 권한을 관리하려면 다음 절차를 수행합니다.