Analysis Services에서 지원하는 인증 방법
클라이언트 응용 프로그램에서 Analysis Services 인스턴스로 연결하려면 Windows 인증(통합)이 필요합니다. 다음 방법 중 하나를 사용하여 Windows 사용자 ID를 제공할 수 있습니다.
NTLM
Kerberos(Kerberos 제한 위임에 대해 Analysis Services 구성 참조)
연결 문자열의 EffectiveUserName
기본 또는 익명(HTTP 액세스에 대해 구성 필요)
저장된 자격 증명
클레임 인증은 지원되지 않습니다. Windows 클레임 토큰을 사용하여 Analysis Services에 액세스할 수 없습니다. Analysis Services 클라이언트 라이브러리는 Windows 보안 주체와만 작동합니다. BI 솔루션에 클레임 ID가 포함된 경우 각 사용자에 대한 Windows ID 섀도 계정이 필요하며 저장된 자격 증명을 사용하여 Analysis Services 데이터에 액세스해야 합니다.
BI 및 Analysis Services 인증 흐름에 대한 자세한 내용은 Microsoft BI 인증 및 ID 위임을 참조하십시오.
인증 대체 방법 이해
Analysis Services 데이터베이스에 연결하려면 Windows 사용자 또는 그룹 ID 및 연결된 사용 권한이 필요합니다. 이 ID는 보고서를 보려는 사용자가 사용하는 일반적인 목적의 로그인이지만, 개별 사용자의 ID를 포함할 가능성이 높습니다.
테이블 형식 또는 다차원 모델은 대개 요청하는 대상에 따라 개체에 의해 또는 데이터 자체 내에서 서로 다른 수준의 데이터 액세스 권한을 갖게 됩니다. 이 요구 사항을 충족하기 위해 NTLM, Kerberos, EffectiveUserName 또는 기본 인증을 사용할 수 있습니다. 이러한 모든 기술은 각 연결을 통해 서로 다른 사용자 ID에 전달하기 위한 방법을 제공합니다. 그러나, 이러한 선택 기술 중 대부분에는 단일 홉 제한이 적용됩니다. 위임을 사용한 Kerberos 인증을 통해서만 기존 사용자 ID로 원격 서버의 백 엔드 데이터 저장소에 대한 여러 컴퓨터 연결을 넘어 이동할 수 있습니다.
NTLM
SSPI=Negotiate를 지정하는 연결의 경우, NTLM은 Kerberos 도메인 컨트롤러를 사용할 수 없을 때 사용되는 백업 인증 하위 시스템입니다. NTLM을 사용하는 경우 요청이 클라이언트에서 서버로의 직접 연결이고, 연결을 요청하는 사람은 해당 리소스에 대한 권한을 갖고 있으며, 클라이언트 및 서버 컴퓨터가 같은 도메인에 있는 한 모든 사용자 또는 클라이언트 응용 프로그램은 서버 리소스에 액세스할 수 있습니다.
다중 계층 솔루션에서는 NTLM의 단일 홉 제한이 주요 제약 조건일 수 있습니다. 요청을 만드는 사용자 ID는 정확히 하나의 원격 서버에서 가장될 수 있지만 더 이상 이동하지는 않습니다. 현재 작업에 여러 컴퓨터에서 실행 중인 서비스가 필요한 경우, 백 엔드 서버에서 보안 토큰을 다시 사용하여 Kerberos 제한 위임을 구성해야 합니다. 또는 저장된 자격 증명이나 기본 인증을 사용하여 단일 홉 연결에 대한 새 ID 정보에 전달할 수 있습니다.
Kerberos 인증 및 Kerberos 제한 위임
Kerberos 인증은 Active Directory 도메인에서 Windows 통합 보안의 기준입니다. NTLM과 마찬가지로, Kerberos를 통한 가장은 위임을 사용하도록 설정하지 않는 한 단일 홉으로 제한됩니다.
다중 홉 연결을 지원하려면 Kerberos는 제한 위임과 비제한 위임 모두를 제공해야 하지만, 대부분의 시나리오에서 제한 위임이 보안을 위한 최선의 방법으로 고려됩니다. 제한 위임을 통해 서비스에서는 원격 컴퓨터의 지정된 하위 서비스에 사용자 ID의 보안 토큰을 전달할 수 있습니다. 다중 계층 응용 프로그램의 경우 중간 계층 응용 프로그램 서버에서 Analysis Services와 같은 백 엔드 데이터베이스로 사용자 ID를 위임하는 것은 일반적인 요구 사항입니다. 예를 들어, 사용자 ID에 따라 서로 다른 데이터를 반환하는 표 형식 또는 다차원 모델에서는 사용자가 자격 증명을 다시 입력하지 않아도 되도록 중간 계층 서비스에서의 ID 위임이 필요합니다. 또는 보안 자격 증명을 기타 다른 방법으로 받습니다.
요청의 전송 끝점 및 수신 끝점 모두에서 서비스가 위임에 대해 명시적으로 권한이 부여된 Active Directory에서는 제한 위임에 추가 구성이 필요합니다. 사전에 구성 비용이 들겠지만, 일단 서비스가 구성되면 암호 업데이트가 Active Directory 내에서 독립적으로 관리됩니다. 앞서 설명한 저장된 자격 증명 옵션을 사용하는 경우 응용 프로그램에 저장된 계정 정보를 업데이트할 필요가 없습니다.
제한 위임에 대해 Analysis Services를 구성하는 방법에 대한 자세한 내용은 Kerberos 제한 위임에 대해 Analysis Services 구성을 참조하십시오.
[!참고]
Windows Server 2012에서는 도메인 간의 제한 위임을 지원합니다. 반면 Windows Server 2008 또는 2008 R2와 같이 더 낮은 기능 수준에서 도메인의 Kerberos 제한 위임을 구성하려면 클라이언트 및 서버 컴퓨터가 모두 같은 도메인의 멤버여야 합니다.
EffectiveUserName
EffectiveUserName은 ID 정보를 Analysis Services에 전달하는 데 사용된 연결 문자열 속성입니다. SharePoint용 PowerPivot은 이 속성을 사용하여 사용자 작업을 사용 현황 로그에 기록합니다. Excel Services 및 PerformancePoint Services에서는 이 속성을 사용하여 SharePoint의 통합 문서 또는 대시보드에서 사용된 데이터를 검색할 수 있습니다. 또한 Analysis Services 인스턴스에서 작업을 수행하는 사용자 지정 응용 프로그램 또는 스크립트에서도 이 속성을 사용할 수 있습니다.
SharePoint에서 EffectiveUserName을 사용하는 방법에 대한 자세한 내용은 SharePoint Server 2010에서 Analysis Services EffectiveUserName 사용을 참조하십시오.
기본 인증 및 익명 사용자
기본 인증은 특정 사용자로 백 엔드 서버에 연결하는 네 번째 방법을 제공합니다. 기본 인증을 사용하여 Windows 사용자 이름 및 암호가 연결 문자열에 전달되며, 전송 중에 중요한 정보가 보호되도록 추가 연결 암호화 요구 사항이 적용됩니다. 기본 인증 사용의 중요한 장점 중 하나는 이 인증 요청이 도메인 경계를 넘을 수 있다는 점입니다.
익명 인증의 경우 익명 사용자 ID를 특정 Windows 사용자 계정(기본적으로 IUSR_GUEST) 또는 응용 프로그램 풀 ID로 설정할 수 있습니다. 익명 사용자 계정은 Analysis Services 연결에서 사용되며 Analysis Services 인스턴스에서 데이터 액세스 권한을 갖고 있어야 합니다. 이 방법을 사용할 경우 익명 계정에 연결된 사용자 ID만이 연결에 사용됩니다. 응용 프로그램에서 추가 ID 관리가 필요한 경우 기타 인증 방법 중에 선택하거나 사용자가 제공하는 ID 관리 솔루션으로 보완해야 할 수 있습니다.
기본 및 익명 인증은 HTTP 액세스에 대해 Analysis Services를 구성하는 경우에만 사용할 수 있으며, IIS 및 msmdpump.dll을 사용하여 연결을 설정합니다. 자세한 내용은 IIS(인터넷 정보 서비스) 7.0에서 Analysis Services에 대한 HTTP 액세스 구성을 참조하십시오.
저장된 자격 증명
대부분의 중간 계층 응용 프로그램 서비스에는 나중에 Analysis Services 또는 SQL Server 관계형 엔진과 같은 하위 데이터 저장소에서 데이터를 검색하는 데 사용되는 사용자 이름 및 암호 저장 기능이 포함됩니다. 따라서 저장된 자격 증명은 데이터를 가져오는 다섯 번째 방법을 제공합니다. 이 방법의 제한 사항에는 사용자 이름 및 암호를 최신으로 유지하는 데 관련된 유지 관리 오버헤드 및 연결 시 단일 ID 사용이 포함됩니다. 사용자 솔루션에서 원래 호출자의 ID를 요구하는 경우, 저장된 자격 증명은 실행 가능한 대체 방법이 아닙니다.
저장된 자격 증명에 대한 자세한 내용은 공유 데이터 원본 만들기, 수정 및 삭제(SSRS) 및 SharePoint Server 2013에서 Secure Store Service와 함께 Excel Services 사용을 참조하십시오.
참고 항목
개념
IIS(인터넷 정보 서비스) 7.0에서 Analysis Services에 대한 HTTP 액세스 구성
Kerberos 제한 위임에 대해 Analysis Services 구성
Analysis Services 인스턴스에 대한 SPN 등록