Single Sign-on 구성(Office SharePoint Server)

  • 아티클

업데이트 날짜: 2009년 3월

적용 대상: Office SharePoint Server 2007

 

마지막으로 수정된 항목: 2015-03-09

SSO(Single Sign-on)는 계정 이름 및 암호 등의 자격 증명을 저장 및 매핑하는 Microsoft Office SharePoint Server 기능입니다. SSO를 사용하면 포털 사이트 기반 응용 프로그램에서 ERP(엔터프라이즈 리소스 계획) 및 CRM(고객 관계 관리) 시스템 등의 백 엔드 시스템과 타사 응용 프로그램에서 정보를 검색할 수 있습니다.

사용자는 Single Sign-on을 통해 다른 비즈니스 응용 프로그램 및 시스템에서 정보를 가져와야 하는 포털 사이트 기반 응용 프로그램에 액세스할 때만 인증을 수행할 수 있습니다.

Single Sign-on 구성은 다음의 다섯 가지 작업으로 이루어집니다.

  • Microsoft Single Sign-On 서비스 구성 및 시작

  • Office SharePoint Server 2007에 대해 Single Sign-on 구성

  • 암호화 키 관리

  • 엔터프라이즈 응용 프로그램 정의 관리

  • 엔터프라이즈 응용 프로그램 정의의 계정 정보 관리

Office SharePoint Server 2007에 대해 SSO(Single Sign-on)를 구성하려면 팜 서버의 SharePoint 중앙 관리 웹 사이트에 로그인해야 합니다. 팜 서버가 아닌 컴퓨터나 워크스테이션에서 SSO를 구성하려고 하면 "이 서버에서 Single Sign-on을 구성할 수 없습니다. Single Sign-on을 구성하려면 Single Sign-on 서비스가 실행 중인 컴퓨터로 이동하여 로컬에서 이 설정을 지정하십시오."라는 오류 메시지가 표시됩니다.

다음 섹션의 절차에 따라 Office SharePoint Server 2007 환경에 대해 SSO를 구성합니다.

Microsoft Single Sign-On 서비스 구성 및 시작

Single Sign-on을 사용하려면 팜의 모든 Microsoft Windows 프런트 엔드 웹 서버에 Microsoft Single Sign-On 서비스(SSOSrv)가 설치되어 있어야 합니다. 또한 Excel 서비스를 실행하는 모든 서버에도 SSOSrv가 설치되어 있어야 합니다. 비즈니스 데이터 카탈로그 검색을 사용하는 경우에는 인덱스 서버에도 SSOSrv가 설치되어 있어야 합니다.

SSOSrv는 서비스 콘솔을 사용하여 구성합니다. 이 서비스를 구성하려면 다음과 같은 기준을 모두 충족하는 로그온 계정이 필요합니다.

  • 도메인 사용자 계정이어야 합니다. 그룹 계정은 사용할 수 없습니다.

  • Office SharePoint Server 팜 계정이어야 합니다.

  • 암호화 키 서버에서 로컬 관리자 그룹의 구성원이어야 합니다. 여기에서 암호화 키 서버는 SSOSrv를 시작하는 첫 번째 서버입니다.

  • Microsoft SQL Server를 실행하는 컴퓨터에서 보안 관리자 역할 및 db_creator 역할의 구성원이어야 합니다.

  • Single Sign-on 관리자 계정인 그룹 계정의 구성원 또는 Single Sign-on 관리자 계정이어야 합니다.

Microsoft Single Sign-On 서비스 구성 및 시작

  1. 서버에서 시작, 제어판, 관리 도구를 차례로 클릭하고 컴퓨터 관리를 클릭합니다.

  2. 컴퓨터 관리 콘솔에서 서비스 및 응용 프로그램을 확장하고 서비스를 클릭합니다.

  3. Microsoft Single Sign-on 서비스를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.

  4. 일반 탭에서 시작 유형자동으로 변경합니다.

  5. 일반 탭의 서비스 상태에서 시작을 클릭합니다.

  6. 확인을 클릭하여 변경 내용을 저장하고 속성 창을 닫습니다.

  7. 팜의 해당하는 각 서버에 대해 1-6단계를 반복합니다.

Office SharePoint Server 2007에 대해 Single Sign-on 구성

Single Sign-on의 서버 설정 관리에는 적절한 관리자 계정 지정, Single Sign-on 데이터베이스 서버 및 서버 이름, 시간 초과 및 감사 로그 설정 등이 포함됩니다.

참고

Single Sign-on의 서버 설정을 관리하려면 Office SharePoint Server 2007을 실행하는 컴퓨터에서 중앙 관리를 열어야 합니다.

Office SharePoint Server 2007에 대해 SSO 구성

  1. 중앙 관리의 위쪽 탐색 모음에서 작업을 클릭합니다.

  2. 작업 페이지의 보안 구성 섹션에서 Single Sign-on 설정 관리를 클릭합니다.

  3. Single Sign-on 설정 관리 페이지의 서버 설정 섹션에서 서버 설정 관리를 클릭합니다.

  4. Single Sign-on 설정 관리 페이지에서 Single Sign-on 관리자 계정 섹션의 계정 이름 상자에 도메인/그룹 또는 도메인/사용자 이름 형식으로 Single Sign-on 관리자 계정 이름을 입력합니다.

    참고

    Single Sign-on 관리자 계정은 응용 프로그램 정의를 생성, 삭제 또는 수정할 수 있는 사용자 집합을 지정합니다. 또한 관리자 계정은 암호화 키를 백업할 수 있습니다.

    Single Sign-on 관리자로 지정하는 사용자 또는 그룹은 다음 요구 사항을 모두 충족해야 합니다.

    • Windows 글로벌 그룹 또는 개별 사용자 계정이어야 합니다. 이 계정은 도메인 로컬 그룹 계정 또는 메일 그룹일 수 없습니다.

    • 사용자가 지정된 경우 Single Sing-on 서비스 계정과 같은 계정이어야 합니다. 그룹이 지정된 경우 Single Sing-on 서비스 계정은 해당 그룹의 구성원이어야 합니다.

    • 사용자가 지정된 경우 Single Sing-on의 구성 계정과 같은 계정이어야 합니다. 그룹이 지정된 경우 Single Sing-on의 구성 계정은 해당 그룹의 구성원이어야 합니다.

    • 중앙 관리에 있는 팜 관리자 그룹의 구성원이어야 합니다.

    그룹이 지정된 경우 Single Sign-on 관리를 위해 그룹에 추가된 모든 사용자는 암호화 키 서버에 있는 로컬 관리자 그룹의 구성원이어야 합니다. 이 계정을 암호화 키 서버에서 로컬 Administrators 그룹의 구성원으로 지정하지 마십시오.

  5. 엔터프라이즈 응용 프로그램 정의 관리자 계정 섹션의 계정 이름 상자에 도메인/그룹 또는 도메인/사용자 이름 형식으로 엔터프라이즈 응용 프로그램 정의를 설정하고 관리할 수 있는 그룹이나 사용자의 계정 이름을 입력합니다.

    엔터프라이즈 응용 프로그램 정의 관리자 계정은 그룹 엔터프라이즈 응용 프로그램 정의의 암호 변경, 개별 엔터프라이즈 응용 프로그램 정의에 대한 자격 증명 변경 또는 삭제 등 엔터프라이즈 응용 프로그램 정의의 자격 증명을 관리할 수 있습니다.

    지정하는 사용자 또는 그룹은 다음 요구 사항을 충족해야 합니다.

    • Windows 글로벌 그룹 또는 개별 사용자 계정이어야 합니다. 이 계정은 도메인 로컬 그룹 계정 또는 메일 그룹일 수 없습니다.

    • 중앙 관리에서 Reader SharePoint 그룹의 구성원이어야 합니다.

  6. 데이터베이스 설정 섹션에서 서버 이름 상자에 Single Sign-on 데이터베이스 서버의 NetBIOS 이름을 입력합니다(예: 컴퓨터_이름 또는 컴퓨터_이름\SQL_Server_인스턴스). 정규화된 도메인 이름을 입력하지 마십시오.

  7. 데이터베이스 이름 상자에 Single Sign-on 데이터베이스 서버의 이름을 입력합니다.

    참고

    데이터베이스를 미리 만드는 경우 외에는 기본 데이터베이스 서버 및 Single Sign-on 데이터베이스 서버를 사용하는 것이 좋습니다.

  8. 시간 초과 설정 섹션에서 티켓 시간 초과(분) 상자에 Single Sign-on 티켓이 만료되기 전까지의 경과 시간을 분 단위 값으로 입력합니다. 시간 초과는 티켓이 발행된 시간부터 엔터프라이즈 응용 프로그램에서 티켓을 전환하는 시간까지 지속되는 데 충분할 만큼 길어야 합니다. 이 값은 2분으로 지정하는 것이 좋습니다.

  9. 다음보다 오래된 감사 로그 기록 삭제 상자에 감사 로그에서 기록을 삭제하기 전까지 기록을 보관하는 기간을 일 단위로 입력합니다.

  10. 확인을 클릭합니다.

암호화 키 관리

SSOSrv가 활성화되는 첫 번째 서버가 암호화 키 서버가 됩니다. 암호화 키 서버는 암호화 키를 생성하고 저장합니다. 암호화 키는 SSO 데이터베이스에 저장된 자격 증명을 암호화하고 암호 해독하는 데 사용됩니다.

암호화 키는 보안 자격 증명을 보호하므로 정기적으로 새 암호화 키를 만드는 것이 좋습니다. 예를 들어 90일마다 새 암호화 키를 만듭니다. 또한 계정 자격 증명이 도용된 것으로 의심되는 경우에도 즉시 새 암호화 키를 만드는 것이 좋습니다.

암호화 키는 새 암호화 키를 만들 때마다 백업해야 합니다. 이외의 경우에는 암호화 키 서버 역할을 한 서버에서 다른 서버로 이동할 때를 제외하고는 백업할 필요가 없습니다. 암호화 키는 암호화 키 서버에서 로컬로 백업해야 하며 원격으로 백업할 수 없습니다.

암호화 키 백업본을 사용하여 복원하면 암호화 키 서버 역할을 한 서버에서 다른 서버로 이동할 수 있습니다. 이때 암호화 키 서버 역할을 이동하는 데 필요한 다른 작업도 모두 수행해야 합니다.

참고

암호화 키를 관리하려면 Office SharePoint Server 2007을 실행하는 컴퓨터에서 중앙 관리를 열어야 합니다.

암호화 키 관리

  1. 중앙 관리의 위쪽 탐색 모음에서 작업을 클릭합니다.

  2. 작업 페이지의 보안 구성 섹션에서 Single Sign-on 설정 관리를 클릭합니다.

  3. Single Sign-on 설정 관리 페이지의 서버 설정 섹션에서 암호화 키 관리를 클릭합니다.

암호화 키 관리 페이지에서는 세 가지 관리 작업을 수행할 수 있습니다.

  • 새 암호화 키 만들기

  • 암호화 키 백업

  • 암호화 키 복원

새 암호화 키 만들기

  1. 암호화 키 관리 페이지의 암호화 키 섹션에서 암호화 키 만들기를 클릭합니다.

  2. 암호화 키 만들기 페이지에서 새 암호화 키를 사용하여 모든 자격 증명을 다시 암호화합니다. 확인란을 선택합니다.

    중요

    새 암호화 키로 기존 자격 증명을 다시 암호화하지 않으려면 사용자가 각 응용 프로그램 정의에 대해 해당 자격 증명을 다시 입력하고 관리자가 그룹 응용 프로그램 정의에 대해 그룹 자격 증명을 다시 입력해야 합니다.

  3. 확인을 클릭합니다.

암호화 키 백업

  1. 암호화 키 관리 페이지의 암호화 키 백업 섹션에 있는 드라이브 목록에서 암호화 키 백업본을 저장할 이동식 미디어 드라이브를 클릭합니다.

  2. 백업을 클릭합니다.

암호화 키 복원

암호화 키가 없으면 Single Sign-on 데이터베이스가 무용지물이 되므로 이러한 데이터베이스를 백업할 때는 항상 암호화 키를 백업해야 합니다. 또한 암호화 키 서버를 교체하기 전에 새 암호화 키 서버에서 복원할 수 있도록 암호화 키도 백업해야 합니다.

  1. 암호화 키 관리 페이지의 암호화 키 복원 섹션에 있는 드라이브 목록에서 암호화 키 백업본을 복원할 이동식 미디어 드라이브를 클릭합니다.

  2. 복원을 클릭합니다.

엔터프라이즈 응용 프로그램 정의 관리

Single Sign-on 환경에서는 백 엔드 외부 데이터 원본 및 시스템을 엔터프라이즈 응용 프로그램이라고 합니다. Office SharePoint Server 2007에서 연결하는 각 엔터프라이즈 응용 프로그램에 대해 해당 엔터프라이즈 응용 프로그램 정의를 구성해야 합니다.

  1. 중앙 관리의 위쪽 탐색 모음에서 작업을 클릭합니다.

  2. 작업 페이지의 보안 구성 섹션에서 Single Sign-on 설정 관리를 클릭합니다.

  3. Single Sign-on 설정 관리 페이지에서 엔터프라이즈 응용 프로그램 정의의 설정 관리를 클릭합니다.

엔터프라이즈 응용 프로그램 정의의 계정 정보 관리

그룹을 사용하여 엔터프라이즈 응용 프로그램에 연결하는 경우 사용할 그룹에 대한 계정 자격 증명을 제공해야 합니다. 개별 사용자가 엔터프라이즈 응용 프로그램에 직접 연결되어 있는 경우 사용자 암호를 미리 설정하거나 재설정할 수 있으며, 엔터프라이즈 응용 프로그램 정의에서 사용자를 삭제할 수도 있습니다.

  1. 중앙 관리의 위쪽 탐색 모음에서 작업을 클릭합니다.

  2. 작업 페이지의 보안 구성 섹션에서 Single Sign-on 설정 관리를 클릭합니다.

  3. Single Sign-on 설정 관리 페이지의 엔터프라이즈 응용 프로그램 정의 설정 섹션에서 엔터프라이즈 응용 프로그램 정의의 계정 정보 관리를 클릭합니다.

  4. 엔터프라이즈 응용 프로그램 정의의 계정 정보 관리 페이지에 있는 계정 정보 섹션의 엔터프라이즈 응용 프로그램 정의 목록에서 계정 정보를 관리할 응용 프로그램 정의를 클릭합니다.

  5. 그룹 계정 이름 상자에 엔터프라이즈 응용 프로그램에 대한 액세스가 허용된 그룹의 이름을 입력합니다.

  6. 엔터프라이즈 응용 프로그램 정의 섹션에서 다음 중 하나를 선택합니다.

    옵션 용도

    계정 정보 업데이트

    처음으로 자격 증명을 입력하거나 엔터프라이즈 응용 프로그램에 연결하는 데 사용되는 자격 증명을 업데이트합니다.

    엔터프라이즈 응용 프로그램 정의에서 이 계정의 저장된 자격 증명 삭제

    엔터프라이즈 응용 프로그램에 연결하기 위해 현재 사용하는 자격 증명을 삭제합니다.

    모든 엔터프라이즈 응용 프로그램 정의에서 이 계정의 저장된 자격 증명 삭제

    모든 엔터프라이즈 응용 프로그램 정의에서 선택한 엔터프라이즈 응용 프로그램에 연결하기 위해 현재 사용하는 자격 증명을 삭제합니다. 저장된 자격 증명을 삭제하면 개별 계정의 자격 증명만 삭제되며 그룹 계정의 자격 증명은 삭제되지 않습니다.

    계정 정보 업데이트를 선택하는 경우 다음 단계를 수행합니다.

    1. 설정을 클릭합니다.

    2. 계정 정보 제공 페이지의 로그온 정보 섹션에서 엔터프라이즈 응용 프로그램에 연결하는 데 사용할 계정의 사용자 이름과 암호를 입력합니다.

    3. 확인을 클릭합니다.

  7. 완료를 클릭합니다.

이 문서의 다운로드

이 항목은 다운로드 가능한 다음 문서에도 포함되어 있어 더 쉽게 읽고 인쇄할 수 있습니다.

사용 가능한 문서의 전체 목록은Office SharePoint Server 기술 라이브러리 (영문)를 참조하십시오.