내보내기(0) 인쇄
모두 확장

SharePoint 2013의 새로운 인증 기능

SharePoint 2013
 

적용 대상: SharePoint Server 2013 Standard, SharePoint Server 2013 Enterprise, SharePoint Foundation 2013

마지막으로 수정된 항목: 2013-12-18

요약:새로운 서버 간 인증 및 앱 인증 시나리오를 가능하게 하는 SharePoint 2013의 개선된 클레임 인프라 및 인증 기능에 대해 설명합니다.

SharePoint 2013에서는 인증이 향상되어 클레임 기반 인증을 보다 쉽게 사용하고 Exchange Server 2013, Lync Server 2013 및 SharePoint 스토어나 앱 카탈로그의 앱에 대해 새로운 시나리오와 기능을 사용할 수 있습니다. SharePoint 2013에서는 OAuth(Open Authorization) 2.0 웹 권한 부여 프로토콜을 활용 및 확장함으로써 서버 간 인증 및 앱 인증을 지원합니다. OAuth는 일시적인 리디렉션 기반 권한 부여를 제공하는 업계 표준 프로토콜입니다. 사용자 또는 사용자 대신 작동하는 웹 응용 프로그램이 리소스 소유자의 지정된 네트워크 리소스에 일시적으로 액세스하기 위한 권한 부여를 요청할 수 있습니다.

SharePoint 2013에서는 OAuth가 지원되므로 사용자가 SharePoint 스토어 및 앱 카탈로그의 앱에 대해 지정한 보호되어 있는 사용자 리소스 및 데이터(연락처 목록, 문서, 사진, 비디오 포함) 액세스 권한을 부여할 수 있으며, 이때 앱이 사용자 자격 증명을 가져오거나 저장하거나 제출하도록 요구하지 않아도 됩니다. OAuth를 사용하는 경우 앱과 서비스가 사용자 대신 작업을 수행하여 SharePoint 리소스에 제한적으로 액세스할 수 있습니다. 예를 들어 사용자가 앱에 대해 사용 권한을 승인하여 문서 라이브러리의 특정 폴더에 대한 액세스 권한을 부여할 수 있습니다. 그러면 타사 사진 인쇄 앱 등의 앱이 사용자 요청 시 사용자 계정의 자격 증명을 사용하거나 확인할 필요 없이 특정 폴더의 파일에 액세스하여 파일을 복사할 수 있습니다.

SharePoint 2013에서 사용자 인증은 SharePoint 웹 응용 프로그램 액세스를 요청하는 사용자의 ID를 확인하는 프로세스입니다. 인증 공급자는 사용자에 대한 클레임 기반 어설션 집합을 캡슐화하며, 사용자에게 할당된 사용 권한 집합을 확인하는 데 사용되는 보안 토큰을 인증된 사용자에게 발급합니다. SharePoint 2013의 사용자 권한 부여는 SharePoint 웹 응용 프로그램 내에서 지정된 리소스에 대해 정의된 작업을 수행할 수 있는 사용자를 결정하는 프로세스입니다. SharePoint 2013에서는 다음 방법을 기반으로 하는 사용자 인증을 지원합니다.

  • Windows 클레임

  • SAML(Security Assertion Markup Language) 기반 클레임

  • 양식 기반 인증 클레임

이러한 클레임 기반 인증 방법은 현재 SharePoint 2013에 대한 권장 인증 방법입니다.

SharePoint 2013의 앱 인증 및 서버 간 인증 기능을 사용하려면 클레임 기반 인증이 필요합니다. 따라서 SharePoint 2013에서 새 웹 응용 프로그램에는 클레임 기반 인증이 기본적으로 사용됩니다. 중앙 관리에서 웹 응용 프로그램을 만들 때는 클레임 기반 인증용 인증 방법만 지정할 수 있습니다. Windows 클래식 모드 인증도 SharePoint 2013에서 계속 사용할 수 있으며 Windows PowerShell을 통해 구성할 수는 있지만, 클레임 기반 인증을 사용하는 것이 좋습니다. Windows 클래식 모드 인증은 SharePoint 2013에서 더 이상 사용되지 않습니다.

SharePoint 2013에서는 클레임 인증 인프라도 다음과 같이 개선되었습니다.

  • 새로운 Convert-SPWebApplication Windows PowerShell cmdlet을 통해 클래식 모드에서 Windows 기반 클레임 모드로 보다 쉽게 마이그레이션할 수 있습니다.

    각 콘텐츠 데이터베이스와 각 웹 응용 프로그램에 대해 마이그레이션을 실행할 수 있습니다. SharePoint 2010 제품에서는 각 웹 응용 프로그램에 대해 마이그레이션이 실행되었습니다. 자세한 내용은 SharePoint 2013에서 클래식 모드에서 클레임 기반 인증으로 마이그레이션을 참조하세요.

  • 이제는 로그인 토큰이 새로운 배포된 캐시 서비스에서 캐시됩니다.

    SharePoint 2013에서는 새롭게 제공되는 배포된 캐시 서비스를 사용하여 로그인 토큰을 캐시합니다. SharePoint 2010 제품에서는 로그인 토큰이 각 웹 프런트 엔드 서버의 메모리에 저장되었습니다. 사용자는 특정 웹 프런트 엔드 서버에 액세스할 때마다 인증을 해야 합니다. 웹 프런트 엔드에서 네트워크 부하 분산 장치를 사용하는 경우에는 사용자가 부하 분산 장치를 통해 액세스하는 각 웹 프런트 엔드 서버에 대해 인증을 해야 하므로 여러 번 다시 인증해야 할 수 있습니다. 다시 인증 및 그로 인한 지연을 방지하려면 부하 분산 장치 선호도(고정 세션이라고도 함)를 설정 및 구성하는 것이 좋습니다. SharePoint 2013에서는 로그인 토큰이 배포된 캐시 서비스에 저장되므로 더 이상 부하 분산 솔루션에서 선호도를 구성할 필요가 없습니다. 또한 전용 캐시 서비스가 사용되므로 웹 프런트 엔드를 수평 확장할 수 있으며 메모리 사용률이 감소한다는 이점도 있습니다.

  • 로깅이 증가하므로 인증 문제를 보다 쉽게 해결할 수 있습니다.

    SharePoint 2013에서는 인증 문제를 쉽게 해결할 수 있도록 훨씬 많은 로깅이 제공됩니다. 향상된 로깅 지원의 예는 다음과 같습니다.

    • 각 인증 모드에 대해 별도로 분류된 클레임 관련 로그

    • 배포된 캐시 서비스의 FedAuth 쿠키 추가/제거 관련 정보

    • FedAuth 쿠키를 사용할 수 없는 이유 관련 정보(예: 쿠키 만료 또는 암호 해독 실패)

    • 인증 요청이 리디렉션되는 위치에 대한 정보

    • 특정 사이트 모음의 사용자 마이그레이션 실패 관련 정보

SharePoint 2013에서는 OAuth가 확장되어 서버 간 인증 프로토콜이 구현됩니다. SharePoint 2013 등의 서비스는 이 프로토콜을 사용하여 Exchange Server 2013 또는 Lync Server 2013와 같은 기타 서비스나 서버 간 인증 프로토콜과 호환되는 서비스를 인증할 수 있습니다.

SharePoint 2013에는 서버 간의 인증된 액세스가 가능하도록 사용자 ID 클레임이 포함된 서버 간 보안 토큰을 제공하는 전용 로컬 서버 간 STS(Security Token Service)가 포함되어 있습니다. 이러한 사용자 ID 클레임은 다른 서비스에서 자체 ID 공급자에 대해 사용자를 조회하는 데 사용됩니다. 서버 간 인증이 가능하도록 하는 핵심 기능은 로컬 STS(SharePoint 2013 서버 간 STS)와 기타 서버 간 호환 서비스(Exchange Server 2013 또는 Lync Server 2013 서버 간 STS) 간에 설정된 트러스트입니다. 온-프레미스 배포의 경우에는 다른 서버 간 호환 서비스의 JSON(JavaScript Object Notation) 메타데이터 끝점을 구성하여 이 트러스트 관계를 설정합니다. 온라인 서비스의 경우에는 Windows Azure ACS(액세스 제어 서비스) 인스턴스가 세 가지 서버 유형 간의 서버 간 통신을 가능하도록 하는 트러스트 브로커 역할을 합니다.

SharePoint 2013의 새로운 서버 간 STS는 서버 간 인증용 액세스 토큰을 발급합니다. SharePoint 2013 및 SharePoint 2010 제품에서는 WS-Federation 프로토콜과 호환되는 신뢰할 수 있는 ID 공급자가 지원됩니다. 그러나 SharePoint 2013의 서버 간 STS는 임시 액세스 토큰이 Exchange Server 2013 및 Lync Server 2013와 같은 기타 서비스에 액세스할 수 있도록 하는 기능만 수행합니다. 서버 간 STS는 사용자 인증에 사용되지 않으며 사용자 로그인 페이지, 중앙 관리의 인증 공급자 UI 또는 SharePoint 2013 제품의 사용자 선택에 표시되지 않습니다.

SharePoint 2013에서는 OAuth 2.0을 사용하여 SharePoint 스토어 및 앱 카탈로그의 앱이 사용자 대신 SharePoint 리소스에 액세스하려는 요청에 권한을 부여합니다. 사용자는 SharePoint 스토어 및 앱 카탈로그의 앱이 사용자 대신 SharePoint 리소스에 액세스할 수 있는 권한을 앱 설치 시(예: 사용자가 SharePoint 스토어에서 앱을 설치할 때)에 부여합니다. SharePoint 사이트에는 앱이 렌더링하는 HTML 인라인 프레임(IFRAME)이 포함되어 있는데, 이 프레임에서는 앱이 사용자 목록에 액세스해야 합니다. 웹 브라우저에서 사이트를 표시하면 앱은 SharePoint 2013를 실행하는 서버를 다시 호출하여 사용자 대신 목록에 액세스합니다. 앱은 목록에서 데이터를 가져온 후 IFRAME의 콘텐츠를 표시합니다.

SharePoint 2013의 앱 인증 프로세스는 OAuth를 사용하여 앱이 수행하는 클레임을 확인하고 앱이 인증된 사용자 대신 작업을 수행할 수 있음을 증명합니다. SharePoint 2013에서는 Windows Azure ACS 인스턴스가 앱 ID 공급자 역할을 합니다. ACS 없이도 앱 인증을 사용할 수 있습니다. 권한 부여 프로세스에서는 인증된 앱에 정의된 작업을 수행하거나 지정된 리소스에 액세스할 권한이 있음을 확인합니다.

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.
Microsoft는 MSDN 웹 사이트에 대한 귀하의 의견을 이해하기 위해 온라인 설문 조사를 진행하고 있습니다. 참여하도록 선택하시면 MSDN 웹 사이트에서 나가실 때 온라인 설문 조사가 표시됩니다.

참여하시겠습니까?
표시:
© 2014 Microsoft