인증 방법 계획(SharePoint Foundation 2010)

  • 아티클

 

적용 대상: SharePoint Foundation 2010

마지막으로 수정된 항목: 2016-11-30

이 문서에서는 Microsoft SharePoint Foundation 2010에서 지원되는 인증 방법 및 인증 모드에 대해 설명합니다. 인증은 사용자의 신원을 확인하는 프로세스입니다. 사용자의 신원이 확인되면 권한 부여 프로세스에서 사용자가 액세스할 수 있는 사이트, 콘텐츠 및 기타 기능을 결정합니다. 인증 모드는 SharePoint Foundation 2010 내부에서 계정이 사용되는 방식을 결정합니다.

이 문서의 내용

  • 지원되는 인증 방법

  • 인증 모드 — 클래식 또는 클레임 기반

  • Windows 인증 구현

  • 양식 기반 인증 구현

  • SAML 토큰 기반 인증 구현

  • LDAP 환경을 위한 인증 선택

  • 웹 응용 프로그램의 영역 계획

  • SAML 토큰 기반 공급자 아키텍처

지원되는 인증 방법

SharePoint Foundation 2010에서는 이전 버전에 포함된 인증 방법을 지원하는 것은 물론 SAML(Security Assertion Markup Language)을 기반으로 하는 토큰 기반 인증이 옵션으로 도입되었습니다. 다음 표에는 지원되는 인증 방법이 나와 있습니다.

인증 방법 참고

Windows

  • NTLM

  • Kerberos

  • 익명

  • 기본

  • 다이제스트

현재 Windows 인증서 인증은 지원되지 않습니다.

양식 기반 인증

  • LDAP(Lightweight Directory Access Protocol)

  • SQL 데이터베이스 또는 기타 데이터베이스

  • 사용자 지정 또는 타사 멤버 자격 및 역할 공급자

SAML 토큰 기반 인증

  • AD FS(Active Directory Federation Services) 2.0

  • 타사 ID 공급자

  • LDAP(Lightweight Directory Access Protocol)

WS-Federation Passive 프로필을 사용하는 SAML 1.1을 사용할 경우에만 지원됩니다.

인증 모드(클래식 또는 클레임 기반)

SharePoint Foundation 2010에는 Windows Identity Foundation(WIF)를 기반으로 하는 클레임 기반 인증이 도입되었습니다. 클레임 기반 인증은 지원되는 모든 인증 방법과 함께 사용할 수 있습니다. 또는 Windows 인증을 지원하는 클래식 기반 인증을 사용할 수도 있습니다.

웹 응용 프로그램을 만드는 경우 두 인증 모드(클레임 기반 또는 클래식 모드) 가운데 해당 웹 응용 프로그램과 함께 사용할 인증 모드 하나를 선택합니다.

클레임 기반 또는 클래식 모드 인증

클래식 모드를 선택하는 경우 Windows 인증을 구현할 수 있으며 사용자 계정은 SharePoint Foundation 2010에서 AD DS(Active Directory Domain Services) 계정으로 취급됩니다.

클레임 기반 인증을 선택하는 경우 SharePoint Foundation 2010에서는 모든 사용자 계정을 클레임 ID로 변경하여 각 사용자에 대해 클레임 토큰이 생성됩니다. 클레임 토큰에는 사용자 관련 클레임이 포함되어 있습니다. Windows 계정은 Windows 클레임으로 변환되고 양식 기반 멤버 자격 사용자는 양식 기반 인증 클레임으로 변환됩니다. SAML 기반 토큰에 포함된 클레임은 SharePoint Foundation 2010에서 사용할 수 있습니다. 또한 SharePoint 개발자 및 관리자는 추가 클레임으로 사용자 토큰을 확장할 수 있습니다. 예를 들어 사용자 Windows 계정 및 양식 기반 계정은 SharePoint Foundation 2010에서 사용되는 추가 클레임을 통해 확장할 수 있습니다.

다음 차트에는 인증 모드별로 지원되는 인증 유형이 요약되어 있습니다.

유형 클래식 모드 인증 클레임 기반 인증

Windows

  • NTLM

  • Kerberos

  • 익명

  • 기본

  • 다이제스트

양식 기반 인증

  • LDAP

  • SQL 데이터베이스 또는 다른 데이터베이스

  • 사용자 지정 또는 타사 멤버 자격 및 역할 공급자

아니요

SAML 토큰 기반 인증

  • AD FS 2.0

  • Windows Live ID

  • 타사 ID 공급자

  • LDAP

아니요

SharePoint Foundation 2010 팜에서는 두 모드를 모두 사용하는 웹 응용 프로그램을 혼합하여 사용할 수 있습니다. 기존 Windows 계정에 해당하는 사용자 계정과 Windows 클레임 계정 간에 서비스 차이는 없습니다. 따라서 혼합된 인증 모드를 사용하도록 구성된 사이트에 속해 있는 사용자는 웹 응용 프로그램에 대해 구성된 모드에 관계없이 사용자가 액세스할 수 있는 모든 사이트의 결과가 포함된 검색 결과를 받게 됩니다. 사용자는 두 개의 서로 다른 사용자 계정으로 해석되지 않습니다. 이는 서비스 및 서비스 응용 프로그램에서 웹 응용 프로그램 및 사용자에 대해 사용하도록 선택된 모드에 관계없이 팜 간 통신에 클레임 ID를 사용하기 때문입니다.

하지만 SharePoint Server 웹 응용 프로그램에서 인식되는 두 개 이상의 사용자 저장소에 속해 있는 사용자는 로그인 시 사용하는 ID에 따라 별개의 사용자 계정으로 취급됩니다.

다음은 선택할 모드를 결정하는 데 도움이 되는 지침입니다.

  • SharePoint Foundation 2010을 새로 구현하는 경우에는 클레임 기반 인증을 사용합니다. 이 옵션을 사용하면 웹 응용 프로그램에 지원되는 모든 인증 유형을 사용할 수 있습니다. 환경에 Windows 계정만 포함되어 있더라도 새로운 배포 환경에 클래식 모드 인증을 선택할 만한 실질적인 근거는 없습니다. Windows 인증은 선택한 모드에 관계없이 동일한 방식으로 구현됩니다. 클레임 기반 인증 모드를 사용하는 경우 Windows 인증을 구현하기 위해 수행할 추가 단계는 없습니다.

  • 이전 버전의 솔루션을 SharePoint Foundation 2010으로 업그레이드하는 중이고 솔루션에 Windows 계정만 포함되어 있는 경우 클래식 모드 인증을 사용할 수 있습니다. 이렇게 하면 영역과 URL에 동일한 디자인을 사용할 수 있습니다.

  • 양식 기반 인증을 사용해야 하는 솔루션을 업그레이드하는 경우에는 클레임 기반 인증으로만 업그레이드해야 합니다.

이전 버전을 SharePoint Foundation 2010으로 업그레이드하는 중이고 클레임 기반 인증을 선택하는 경우에는 다음 사항을 고려해야 합니다.

  • 사용자 지정 코드를 업데이트해야 합니다. Windows ID를 사용하는 웹 파트 또는 다른 사용자 지정 코드를 업데이트해야 합니다. 사용자 지정 코드에서 Windows ID를 사용하는 경우 코드가 업데이트될 때까지 클래식 모드 인증을 사용합니다.

  • 많은 Windows 사용자를 클레임으로 마이그레이션하려면 어느 정도 시간이 걸립니다. 업그레이드 도중 웹 응용 프로그램을 클래식 모드에서 클레임 기반으로 변경하는 경우 Windows PowerShell을 사용하여 Windows ID를 클레임 ID로 변환해야 하는데, 이 과정에 시간이 많이 소요될 수 있습니다. 따라서 업그레이드 과정에 이 작업을 완료하기 위한 충분한 시간을 할애해야 합니다.

  • 현재 클레임 기반 인증을 사용할 경우에는 검색 경고가 지원되지 않습니다.

클레임 인증은 WIF를 기반으로 합니다. WIF 클레임 인증에서는 WS-Federation, WS-Trust 같은 표준과 SAML 등의 프로토콜을 활용합니다. 클레임 인증에 대한 자세한 내용은 다음 리소스를 참조하십시오.

SharePoint Foundation 2010에서 클레임 인증을 사용하기 위해 클레임 설계자가 될 필요는 없지만 SAML 토큰 기반 인증을 구현하려면 이 문서 뒷부분에 설명된 대로 해당 클레임 기반 환경 관리자와 협력해야 합니다.

Windows 인증 구현

Windows 인증 방법을 구현하는 절차는 두 인증 모드(클래식 또는 클레임 기반)가 모두 비슷합니다. 웹 응용 프로그램에 대해 클레임 기반 인증을 선택하더라도 Windows 인증 방법을 구현하는 과정이 더 복잡해지지는 않습니다. 이 섹션에서는 각 방법에 대한 구현 절차를 간략히 설명합니다.

Windows 통합 인증 — Kerberos 및 NTLM

Kerberos 프로토콜과 NTLM은 모두 Windows 통합 인증 모드로, 클라이언트가 자격 증명에 대한 메시지를 표시하지 않고 원할하게 인증을 수행할 수 있도록 합니다. Windows 탐색기에서 SharePoint 사이트에 액세스하는 사용자는 Internet Explorer 프로세스를 실행하는 데 사용되는 자격 증명으로 인증을 수행합니다. 기본적으로 이러한 자격 증명은 사용자가 컴퓨터에 로그온할 때 사용하는 자격 증명입니다. Windows 통합 인증 모드로 SharePoint Server에 액세스하는 서비스 또는 응용 프로그램은 기본적으로 프로세스의 ID인 실행되는 스레드의 자격 증명을 사용하여 인증을 시도하게 됩니다.

NTLM은 Windows 인증을 가장 단순한 형태로 구현한 것입니다. 웹 응용 프로그램을 만드는 경우에는 간편하게 이 옵션을 선택합니다.

Kerberos는 티켓 인증을 지원하는 보안 프로토콜입니다. Kerberos 프로토콜을 사용하려면 환경을 추가로 구성해야 합니다. Kerberos 인증을 사용하도록 설정하려면 클라이언트 컴퓨터와 서버 컴퓨터에 도메인 KDC(키 배포 센터)에 대한 트러스트된 연결이 있어야 합니다. Kerberos 프로토콜을 구성하려면 SharePoint Foundation 2010을 설치하기 전에 AD DS에서 SPN(서비스 사용자 이름)을 설정해야 합니다.

다음 단계에는 Kerberos 인증을 구성하는 절차가 요약되어 있습니다.

  1. AD DS에 SQL Server 서비스 계정의 SPN을 만들어 SQL 통신에 대해 Kerberos 인증을 구성합니다.

  2. Kerberos 인증을 사용할 웹 응용 프로그램의 SPN을 만듭니다.

  3. SharePoint Foundation 2010 팜을 설치합니다.

  4. 특정 계정을 사용할 특정 서비스를 팜 내에 구성합니다.

  5. Kerberos 인증을 사용할 웹 응용 프로그램을 만듭니다.

자세한 내용은 Kerberos 인증 계획(SharePoint Server 2010)을 참조하십시오.

또한 클레임 인증 웹 응용 프로그램의 경우 제한된 위임을 사용하도록 Windows 토큰 서비스에 대한 클레임을 구성해야 합니다. 클레임을 Windows 토큰으로 변환하려면 제한된 위임을 사용해야 합니다. 여러 개의 포리스트가 포함된 환경의 경우 Windows 토큰 서비스에 대한 클레임을 사용하려면 포리스트 간에 양방향 트러스트가 적용되어 있어야 합니다. 이 서비스를 구성하는 방법에 대한 자세한 내용은 Windows 토큰 서비스에 대한 인증으로 Kerberos 인증 구성(SharePoint Server 2010)을 참조하십시오.

Kerberos 인증을 사용하면 클라이언트 자격 증명을 위임하여 백 엔드 데이터 시스템에 액세스할 수 있는데, 이렇게 하려면 시나리오에 따라 추가 구성 작업을 수행해야 합니다. 다음 표에는 이에 대한 예가 나와 있습니다.

시나리오 추가 구성

백 엔드 서버에 클라이언트 ID 위임

인증된 콘텐츠에 대해 RSS 피드 표시

컴퓨터 및 서비스 계정에 대해 제한된 Kerberos 위임을 구성합니다.

Microsoft SQL Server Reporting Services(SSRS)에 대한 ID 위임

SQL Server Reporting Services 계정의 SPN을 구성합니다.

SQL Server Reporting Services에 대해 위임을 구성합니다.

SharePoint의 Excel Services에 대한 ID 위임

Excel Services를 실행하는 서버에 대해 제한된 위임을 구성합니다.

Excel Services 계정에 대해 제한된 위임을 구성합니다.

일반적인 시나리오에 대한 구성 단계를 포함하여 Kerberos 인증을 구성하는 방법에 대한 자세한 내용은 Microsoft SharePoint 2010 제품 및 기술에 대해 Kerberos 인증 구성(백서)(영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=197178&clcid=0x412)(영문일 수 있음)을 참조하십시오.

다이제스트 및 기본

다이제스트 및 기본 인증을 구현하려면 이러한 인증 방법을 IIS(인터넷 정보 서비스)에서 직접 구성해야 합니다.

양식 기반 인증 구현

양식 기반 인증은 ASP.NET 멤버 자격 및 역할 공급자 인증을 기반으로 하는 ID 관리 시스템입니다. SharePoint Foundation 2010에서는 클레임 기반 인증을 사용하는 경우에만 양식 기반 인증을 사용할 수 있습니다.

양식 기반 인증은 AD DS, SQL Server 데이터베이스 등의 데이터베이스 또는 Novell eDirectory, NDS(Novell Directory Services), Sun ONE 같은 LDAP 데이터 저장소에 저장된 자격 증명에 대해 사용할 수 있습니다. 양식 기반 인증을 사용하면 로그온 양식의 자격 증명 입력에 대한 유효성 검사를 기반으로 사용자를 인증할 수 있습니다. 인증되지 않은 요청은 로그온 페이지로 리디렉션되며 사용자는 이 페이지에 유효한 자격 증명을 제공하고 양식을 전송해야 합니다. 요청을 인증할 수 있는 경우 시스템에서는 후속 요청에 대해 ID를 다시 설정하기 위한 키가 포함된 쿠키를 발급합니다.

양식 기반 인증을 사용하여 외부에 있거나 Windows를 기반으로 하지 않는 ID 관리 시스템에 대해 사용자를 인증하려면 Web.config 파일에 멤버 자격 공급자 및 역할 관리자를 등록해야 합니다. 역할 관리자를 등록하는 것은 SharePoint Foundation 2010의 새로운 요구 사항이며 이전 버전에서는 선택 사항이었습니다. SharePoint Foundation 2010서는 표준 ASP.NET 역할 관리자 인터페이스를 사용하여 현재 사용자에 대한 그룹 정보를 수집합니다. 각 ASP.NET 역할은 SharePoint Foundation 2010의 권한 부여 프로세스에서 도메인 그룹으로 간주됩니다. 인증을 위해 멤버 자격 공급자를 등록하는 것과 같은 방법으로 Web.config 파일에 역할 관리자를 등록합니다.

SharePoint 중앙 관리 사이트에서 멤버 자격 사용자 또는 역할을 관리하려면 멤버 자격 공급자와 역할 관리자를 중앙 관리 웹 사이트의 Web.config 파일에는 물론 콘텐츠를 호스팅하는 웹 응용 프로그램의 Web.config 파일에도 등록해야 합니다.

양식 기반 인증을 구성하는 방법에 대한 자세한 내용은 다음 리소스를 참조하십시오.

SAML 토큰 기반 인증 구현

SAML 토큰 기반 인증을 사용하려면 고유한 내부 환경이든 파트너 환경이든 관계없이 클레임 기반 환경의 관리자와 협력해야 합니다. AD FS 2.0은 클레임 기반 환경의 예입니다.

클레임 기반 환경에는 IP-STS(ID 공급자 Security Token Service)가 포함되어 있습니다. IP-STS는 연결된 사용자 디렉터리에 포함된 사용자를 대신하여 SAML 토큰을 발급합니다. 토큰에는 사용자 이름 및 사용자가 속한 그룹 같은 사용자에 대한 클레임이 수에 제한없이 포함될 수 있습니다.

SharePoint Foundation 2010에서는 IP-STS에서 사용자에게 권한을 부여하기 위해 제공하는 토큰에 포함된 클레임을 활용합니다. 클레임 환경에서 SAML 토큰을 받아들이는 응용 프로그램을 RP-STS(신뢰 당사자 STS)라고 합니다. 신뢰 당사자 응용 프로그램에서는 SAML 토큰을 수신하고 내부의 클레임을 사용하여 요청된 자원에 대해 클라이언트 액세스를 부여할지 여부를 결정합니다. SharePoint 2010 제품에서 SAML 공급자를 사용하도록 구성된 각 웹 응용 프로그램은 IP-STS에 별도의 RP-STS 항목으로 추가됩니다. SharePoint 팜에는 여러 개의 RP-STS 항목이 포함될 수 있습니다.

SharePoint 2010 제품에 대해 SAML 토큰 기반 인증을 구현하려면 사전 계획이 필요한 다음 프로세스를 수행해야 합니다.

  1. IP-STS에서 토큰 서명 인증서(ImportTrustCertificate)를 내보냅니다. 인증서를 SharePoint Foundation 2010 팜에 있는 서버 컴퓨터에 복사합니다.

  2. 사용자의 고유 식별자로 사용할 ID 클레임이라는 클레임을 정의합니다. 이 프로세스의 많은 예에서는 사용자 전자 메일 이름을 사용자 식별자로 사용합니다. IP-STS 소유자만이 사용자별로 항상 고유한 토큰의 값을 알고 있으므로 IP-STS 관리자와 협력하여 올바른 식별자를 확인합니다. 사용자의 고유한 식별자를 확인하는 것은 클레임 매핑 프로세스의 일부입니다. 클레임 매핑은 Windows PowerShell을 사용하여 만듭니다.

  3. 추가 클레임 매핑을 정의합니다. SharePoint Foundation 2010 팜에서 사용할 받는 토큰의 추가 클레임을 정의합니다. 사용자 역할은 SharePoint Foundation 2010 팜의 자원에 사용 권한을 부여하는 데 사용할 수 있는 클레임의 예입니다. 매핑이 없는 받는 토큰의 모든 클레임은 삭제됩니다.

  4. Windows PowerShell을 사용하여 토큰 서명 인증서를 가져오는 방식으로 새 인증 공급자를 만듭니다. 이 프로세스를 수행하면 SPTrustedIdentityTokenIssuer가 만들어집니다. 이 프로세스를 수행하는 도중 매핑한 ID 클레임 및 추가 클레임을 지정합니다. 또한 SAML 토큰 기반 인증을 사용하도록 구성하는 첫 번째 SharePoint 웹 응용 프로그램과 연결된 영역을 만들고 지정해야 합니다. SPTrustedIdentityTokenIssuer가 만들어진 후에는 추가 SharePoint 웹 응용 프로그램에 대해 영역을 만들고 추가할 수 있습니다. 이렇게 하면 여러 웹 응용 프로그램에서 동일한 SPTrustedIdentityTokenIssuer를 사용하도록 구성됩니다.

  5. SPTrustedIdentityTokenIssuer에 추가되는 각 영역에 대해 IP-STS에 RP-STS 항목을 만들어야 합니다. 이는 SharePoint 웹 응용 프로그램이 만들어지기 전에 수행할 수 있습니다. 아울러 이와 관계없이 웹 응용 프로그램을 만들기 전에 URL을 계획해야 합니다.

  6. 새 SharePoint 웹 응용 프로그램을 만들고 새로 만들어진 인증 공급자를 사용하도록 구성합니다. 이 인증 공급자는 웹 응용 프로그램에 대해 클레임 모드를 선택한 경우 중앙 관리에서 옵션으로 나타납니다.

여러 SAML 토큰 기반 인증 공급자를 구성할 수 있지만 토큰 서명 인증서는 팜에서 한 번만 사용할 수 있습니다. 구성된 모든 공급자는 중앙 관리에서 옵션으로 나타납니다. 클레임이 각기 다른 트러스트된 STS 환경에 있어도 서로 충돌하지 않습니다.

파트너 회사에 대해 SAML 토큰 기반 인증을 구현하고 사용자의 환경에 IP-STS가 포함되어 있는 경우에는 내부 클레임 환경 관리자와 협력하여 내부 IP-STS에서 파트너 STS로 트러스트 관계를 설정하는 것이 좋습니다. 이 방식을 수행하기 위해 SharePoint Foundation 2010 팜에 인증 공급자를 추가할 필요는 없습니다. 또한 이 방식을 사용하면 클레임 관리자가 전체 클레임 환경을 관리할 수 있습니다.

참고

부하 분산 구성에 여러 개의 웹 서버가 있는 SharePoint Foundation 2010 팜에서 SAML 토큰 기반 인증과 AD FS를 함께 사용하는 경우 클라이언트 웹 페이지 보기의 성능 및 기능에 영향을 줄 수 있습니다. AD FS에서 클라이언에 인증 토큰을 제공하면 해당 토큰이 사용 권한이 제한된 각 페이지 요소에 대해 SharePoint Foundation 2010으로 전송됩니다. 부하가 분산된 솔루션에서 선호도를 사용하지 않는 경우 각 보안 요소가 두 개 이상의 SharePoint Foundation 2010 서버에 대해 인증되므로 토큰이 거부될 수 있습니다. 토큰이 거부되는 경우 SharePoint Foundation 2010에서는 AD FS 서버에 대해 다시 인증하도록 클라이언트를 리디렉션합니다. 이러한 상황이 발생하면 AD FS 서버에서는 단기간에 만들어진 여러 요청을 거부할 수 있습니다. 이 동작은 디자인상 서비스 거부 공격으로부터 보호하기 위한 것입니다. 성능이 저하되거나 페이지가 완전히 로드되지 않는 경우에는 네트워크 부하 분산을 단일 선호도로 설정하는 것이 좋습니다. 이렇게 하면 SAML 토큰에 대한 요청이 단일 웹 서버로 격리됩니다.

SAML 토큰 기반 인증을 구성하는 방법에 대한 자세한 내용은 다음 리소스를 참조하십시오.

LDAP 환경을 위한 인증 선택

LDAP 환경은 양식 기반 인증 또는 SAML 토큰 기반 인증을 사용하여 구현할 수 있습니다. 양식 기반 인증이 덜 복잡하므로 이 인증 방법을 사용하는 것이 좋습니다. 하지만 해당 환경에서 WS-Federation 1.1 및 SAML Token 1.1을 지원하는 경우에는 SAML을 사용하는 것이 좋습니다. ADFS 2.0과 연결되어 있지 않은 LDAP 공급자를 사용하는 경우에는 프로필 동기화가 지원되지 않습니다.

웹 응용 프로그램의 영역 계획

영역은 웹 응용 프로그램의 동일한 사이트에 액세스하기 위한 각기 다른 논리적 경로를 나타냅니다. 각 웹 응용 프로그램에는 다섯 개의 영역이 포함될 수 있습니다. 웹 응용 프로그램을 만들면 기본 영역이 함께 만들어집니다. 웹 응용 프로그램을 확장하고 나머지 영역 이름(인트라넷, 엑스트라넷, 인터넷 또는 사용자 지정) 중 하나를 선택하면 추가 영역이 만들어집니다.

이전 버전에서는 영역이 각기 다른 네트워크 또는 인증 공급자로부터 접속하는 사용자에 대해 서로 다른 유형의 인증을 구현하는 데 사용됩니다. 현재 버전에서는 클레임 인증을 사용하여 동일한 영역에 여러 인증 유형을 구현할 수 있습니다.

인증에 대한 계획은 웹 응용 프로그램에 대해 선택하는 다음과 같은 모드에 따라 달라집니다.

  • 클래식 모드 — 이전 버전과 마찬가지로 영역당 한 가지 인증 유형만 구현할 수 있습니다. 하지만 현재 버전에서는 클래식 모드를 선택할 경우 Windows 인증만 구현할 수 있습니다. 따라서 여러 Windows 인증 유형을 구현하거나, 서로 다른 Active Directory 저장소에 대해 동일한 Windows 인증 유형을 구현하기 위해서만 여러 개의 영역을 사용할 수 있습니다.

  • 클레임 인증 — 단일 영역에 여러 개의 인증 공급자를 구현할 수 있고 여러 개의 영역을 사용할 수 있습니다.

단일 영역에 두 개 이상의 인증 유형 구현

클레임 인증을 사용하는 상황에서 두 개 이상의 인증 유형을 구현하는 경우에는 기본 영역에 여러 인증 유형을 구현하는 것이 좋습니다. 이렇게 하면 모든 사용자가 동일한 URL을 사용하게 됩니다.

동일한 영역에 여러 인증 유형을 구현하는 경우에는 다음과 같은 제한이 적용됩니다.

  • 영역당 하나의 양식 기반 인증 인스턴스만 구현할 수 있습니다.

  • 중앙 관리를 사용하면 Windows 통합 인증 방법과 기본 인증 방법을 동시에 사용할 수 있습니다. 하지만 그렇지 않을 경우에는 Windows 인증을 영역당 두 개 이상 구현할 수 없습니다.

팜 하나에 여러 개의 SAML 토큰 기반 인증 공급자가 구성되어 있는 경우 웹 응용 프로그램이나 새 영역을 만들면 이러한 공급자가 모두 옵션으로 나타납니다. 동일한 영역에 여러 개의 SAML 공급자를 구성할 수 있습니다.

다음 다이어그램에서는 파트너 공동 작업 사이트의 기본 영역에 구현된 여러 인증 유형을 보여 줍니다.

한 영역에 있는 여러 인증 유형

다이어그램에서는 각기 다른 디렉터리 저장소의 사용자가 동일한 URL을 사용하여 파트너 웹 사이트에 액세스합니다. 파트너 회사로 둘러싸인 파선으로 된 상자는 사용자 디렉터리와 기본 영역에 구성된 인증 유형 간의 관계를 보여 줍니다. 이 디자인 예제에 대한 자세한 내용은 디자인 예제: 회사 배포(SharePoint Server 2010)를 참조하십시오.

콘텐츠 크롤링 계획

크롤링 구성 요소에서는 NTLM을 사용하여 콘텐츠에 액세스해야 합니다. 하나 이상의 영역에서 NTLM 인증을 사용하도록 구성할 수 있습니다. NTLM 인증이 기본 영역에 구성되어 있지 않으면 크롤링 구성 요소에서는 NTLM 인증을 사용하도록 구성된 다른 영역을 사용할 수 있습니다.

두 개 이상의 영역 구현

웹 응용 프로그램에 대해 두 개 이상의 영역을 구현하려는 경우에는 다음 지침을 따르십시오.

  • 기본 영역을 사용하여 가장 안전한 인증 설정을 구현합니다. 요청을 특정 영역과 연결할 수 없는 경우 기본 영역의 인증 설정 및 기타 보안 정책이 적용됩니다. 기본 영역은 처음 웹 응용 프로그램을 만들 때 만들어지는 영역입니다. 일반적으로 가장 안전한 인증 설정은 최종 사용자 액세스용으로 디자인됩니다. 따라서 최종 사용자는 기본 영역에 액세스할 가능성이 높습니다.

  • 사용자가 액세스할 수 있도록 하는 데 필요한 최소 영역 수만 사용합니다. 각 영역은 웹 응용 프로그램 액세스를 위해 새 IIS 사이트 및 도메인에 연결됩니다. 새 액세스 지점은 필요한 경우에만 추가하십시오.

  • 최소한 하나 이상의 영역이 크롤링 구성 요소에 대해 NTLM 인증을 사용하도록 구성되어 있는지 확인합니다. 필요한 경우가 아니면 인덱스 구성 요소에 대해 전용 영역을 만들지 마십시오.

다음 다이어그램에서는 파트너 공동 작업 사이트에 대한 서로 다른 인증 유형을 수용하도록 구현된 여러 개의 영역을 보여 줍니다.

인증 유형당 하나의 영역

이 다이어그램에서 기본 영역은 원격 직원에 대해 사용됩니다. 각 영역은 서로 다른 URL과 연결되어 있습니다. 직원은 근무 장소가 사무실인지 아니면 원거리 위치인지에 따라 각기 다른 영역을 사용합니다. 이 디자인 예제에 대한 자세한 내용은 디자인 예제: 회사 배포(SharePoint Server 2010)를 참조하십시오.

SAML 토큰 기반 공급자 아키텍처

SAML 토큰 기반 공급자를 구현하기 위한 아키텍처에는 다음 구성 요소가 포함되어 있습니다.

SharePoint Security Token Service   이 서비스에서는 팜에서 사용되는 SAML 토큰을 만듭니다. 이 서비스는 서버 팜에 있는 모든 서버에서 자동으로 만들어고 시작됩니다. 모든 팜 간 통신에는 클레임 인증이 사용되므로 이 서비스는 팜 간 통신에 사용됩니다. 또한 이 서비스는 Windows 인증, 양식 기반 인증 및 SAML 토큰 기반 인증 같은 클레임 인증을 사용하는 웹 응용 프로그램에 대해 구현되는 인증 방법에도 사용됩니다. Security Token Service는 배포 과정에 구성해야 합니다. 자세한 내용은 Security Token Service 구성(SharePoint Server 2010)을 참조하십시오.

토큰 서명 인증서(ImportTrustCertificate)   이 인증서는 IP-STS에서 내보내는 인증서로, 팜의 서버 하나에 복사됩니다. 이 인증서를 사용하여 SPTrustedIdentityTokenIssuer를 한 번 만든 후에는 해당 인증서를 다시 사용하여 또 다른 SPTrustedIdentityTokenIssuer를 만들 수 없습니다. 이 인증서를 사용하여 다른 SPTrustedIdentityTokenIssuer를 만들려면 먼저 기존 항목을 삭제해야 합니다. 기존 항목을 삭제하기 전에 이를 사용할 수 있는 모든 웹 응용 프로그램에서 해당 항목의 연결을 해제해야 합니다.

ID 클레임   ID 클레임은 사용자의 고유한 식별자에 해당하는 SAML 토큰의 클레임입니다. IP-STS의 소유자만이 각 사용자에게 항상 고유한 토큰 값을 알고 있습니다. ID 클레임은 모든 필요한 클레임을 매핑하는 과정에 정규 클레임 매핑으로 만들어집니다. SPTrustedIdentityTokenIssuer가 만들어지면 ID 클레임 역할을 하는 클레임이 선언됩니다.

기타 클레임   이러한 클레임은 사용자에 대해 설명하는 SAML 티켓의 추가 클레임으로 구성되어 있으며, 여기에는 사용자 역할, 사용자 그룹 또는 다른 유형의 클레임(예: 나이)이 포함될 수 있습니다. 모든 클레임 매핑은 SharePoint Foundation 팜의 서버 간에 복제되는 개체로 만들어집니다.

영역   SharePoint 클레임 아키텍처에서 SAML 토큰 기반 공급자를 사용하도록 구성된 SharePoint 웹 응용 프로그램과 연결된 URI 또는 URL은 영역을 나타냅니다. 팜에 SAML 기반 인증 공급자를 만드는 경우 IP-STS에서 인증하도록 할 영역(즉, 웹 응용 프로그램 URL)을 한 번에 하나씩 지정합니다. 첫 번째 영역은 SPTrustedIdentityTokenIssuer를 만들 때 지정됩니다. SPTrustedIdentityTokenIssuer를 만든 후 영역을 추가할 수 있습니다. 영역은 $realm = "urn:sharepoint:mysites" 같은 구문을 사용하여 지정합니다. SPTrustedIdentityTokenIssuer에 영역을 추가한 후에는 IP-STS에서 영역과의 RP-STS 신뢰를 만들어야 하는데, 이 과정에 웹 응용 프로그램에 대한 URL을 지정합니다

SPTrustedIdentityTokenIssuer   이 개체는 IP-STS와 통신하고 IP-STS로부터 토큰을 수신하는 데 필요한 값이 들어 있는 SharePoint 팜에 만들어집니다. SPTrustedIdentityTokenIssuer를 만드는 경우 사용할 토큰 서명 인증서, 첫 번째 영역, ID 클레임을 나타내는 클레임, 모든 추가 클레임을 지정합니다. STS의 토큰 서명 인증서는 하나의 SPTrustedIdentityTokenIssuer에만 연결할 수 있습니다. 하지만 SPTrustedIdentityTokenIssuer를 만든 후 추가 웹 응용 프로그램을 위한 영역을 추가할 수 있습니다. SPTrustedIdentityTokenIssuer에 영역이 추가된면 IP-STS에도 해당 영역을 신뢰 당사자로 추가해야 합니다. PTrustedIdentityTokenIssuer 개체는 SharePoint Foundation 팜에 있는 서버 간에 복제됩니다.

RP-STS(신뢰 당사자 Security Token Service)   SharePoint Foundation 2010에서는 SAML 공급자를 사용하도록 구성된 각 웹 응용 프로그램이 IP-STS 서버에 RP-STS 항목으로 추가됩니다. SharePoint Foundation 팜 하나에 여러 개의 RP-STS 항목이 포함될 수 있습니다.

IP-STS(ID 공급자 Security Token Service)   이 서비스는 연결된 사용자 디렉터리에 포함된 사용자를 대신하여 SAML 토큰을 발급하는 클레임 환경의 Security Token Service입니다.

다음 다이어그램에서는 SharePoint 2010 제품 클레임 아키텍처를 보여 줍니다.

SharePoint 클레임 인증 구성 요소

SPTrustedIdentityTokenIssuer 개체는 여러 매개 변수를 사용하여 만듭니다. 다음 다이어그램에서는 주요 매개 변수를 보여 줍니다.

SPTrustedIdentityTokenIssuer 디자인

다이어그램에 나와 있듯이 SPTrustedIdentityTokenIssuer에는 ID 클레임 하나, SignInURL 매개 변수 하나 그리고 Wreply 매개 변수 하나만 포함될 수 있습니다. 하지만 여러 개의 영역 및 클레임 매핑이 포함될 수 있습니다. SignInURL 매개 변수는 IP-STS에 대해 인증하기 위해 사용자 요청을 리디렉션할 URL을 지정합니다. 일부 IP-STS 서버에서는 Wreply 매개 변수를 사용해야 하는데, 이 매개 변수는 True 또는 False로 설정되며 기본값은 False입니다. Wreply 매개 변수는 IP-STS에서 요구하는 경우에만 사용합니다.