SharePoint Server의 인증 개요

적용 대상:2013 2016 2019 Subscription Edition SharePoint in Microsoft 365

SharePoint Server에서는 다음 유형의 상호 작용을 위한 인증이 필요합니다.

• 온-프레미스 SharePoint 리소스에 액세스하는 사용자

• 온-프레미스 SharePoint 리소스에 액세스하는 앱

• 온-프레미스 SharePoint 리소스에 액세스하는 온-프레미스 서버 또는 온-프레미스 서버에 액세스하는 온-프레미스 SharePoint 리소스

Microsoft 365의 SharePoint 인증에 대해 알아봅니다.

SharePoint Server의 사용자 인증

사용자 인증은 사용자의 자격 증명을 포함하고 사용자가 올바르게 제출했는지 확인할 수 있는 디렉터리 또는 데이터베이스인 인증 공급자에 대한 사용자 ID의 유효성 검사입니다. 사용자가 SharePoint 리소스를 시도하면 사용자 인증이 수행됩니다.

SharePoint Server에서는 클레임 기반 인증을 지원합니다.

클레임 기반 인증을 사용하는 경우 SharePoint STS(보안 토큰 서비스)에서 클레임 기반 보안 토큰을 생성합니다.

SharePoint Server는 Windows, 양식 기반, SAML(Security Assertion Markup Language) 및 OIDC(Open ID Connect) 기반 클레임 인증을 지원합니다. Windows, 양식 기반 및 SAML 기반 인증 방법의 작동 방식에 대한 자세한 내용은 다음 비디오를 참조하세요. OIDC 인증의 작동 방식에 대한 자세한 내용은 OIDC 설정 가이드를 참조하세요.

SharePoint Server 2013 및 2016의 Windows 클레임 인증 동영상

SharePoint Server 2013 및 2016의 양식 기반 클레임 인증 동영상

SharePoint Server 2013 및 2016의 SAML 기반 클레임 인증 동영상

자세한 내용은 SharePoint Server의 사용자 인증 방법 계획을 참조하세요.

SharePoint Server의 앱 인증

앱 인증은 보안 SharePoint 리소스 요청에서 원격 SharePoint 앱의 ID 유효성과 해당 앱 및 연결된 사용자의 권한 부여를 검사하는 작업입니다. SharePoint 스토어 앱 또는 앱 카탈로그 앱의 외부 구성 요소(예: 인트라넷이나 인터넷에 있는 웹 서버)가 보안 SharePoint 리소스 액세스를 시도하면 앱 인증이 수행됩니다.

예를 들어 사용자가 SharePoint 앱의 IFRAME을 포함하는 SharePoint 페이지를 여는데 이 IFRAME이 페이지를 렌더링하기 위해 보안 SharePoint 리소스에 액세스하려면 인트라넷이나 인터넷의 서버와 같은 외부 구성 요소가 필요하다고 가정해 보겠습니다. 이 경우 SharePoint에서 요청된 정보를 제공하고 앱이 사용자를 위해 페이지를 렌더링할 수 있도록 SharePoint 앱의 외부 구성 요소를 인증하고 권한을 부여해야 합니다.

SharePoint 앱에서 사용자를 위해 페이지를 렌더링하는 데 SharePoint 보안 리소스가 필요하지 않은 경우 앱 인증이 필요하지 않습니다. 예를 들어 일기 예보 정보를 제공하고 인터넷의 날씨 정보 서버에만 액세스해야 하는 SharePoint 앱은 앱 인증을 사용할 필요가 없습니다.

앱 인증은 다음의 두 프로세스가 결합된 것입니다.

• 인증

  응용 프로그램이 일반적으로 신뢰할 수 있는 ID 브로커에 올바르게 등록되었는지 확인

• 권한 부여

  요청에 대한 응용 프로그램 및 연결된 사용자에게 작업(예: 폴더나 목록 액세스 또는 쿼리 실행) 수행을 위한 적절한 권한이 있는지 확인

앱 인증을 수행하기 위해 애플리케이션은 Microsoft Azure ACS(Access Control Service)에서 또는 SharePoint Server가 신뢰하는 인증서를 사용하여 액세스 토큰에 자체 서명하여 액세스 토큰을 가져옵니다. 액세스 토큰은 특정 SharePoint 리소스에 대한 액세스 요청을 어설션하고 사용자의 자격 증명 유효성 검사 대신 앱과 연결된 사용자를 식별하는 정보를 포함합니다. 액세스 토큰은 로그인 토큰이 아닙니다.

SharePoint 스토어 앱의 경우 인증 프로세스의 예는 다음과 같습니다.

1. 사용자가 인터넷에서 호스트되고 ACS를 신뢰 브로커로 사용하는 SharePoint 스토어 앱에서 렌더링해야 하는 IFRAME이 포함된 SharePoint 웹 페이지를 엽니다. 사용자에 대한 IFRAME을 렌더링하려면 SharePoint 스토어 앱이 SharePoint 리소스에 액세스해야 합니다.

2. SharePoint STS가 ACS에서 컨텍스트 토큰을 요청 및 수신합니다.

3. SharePoint가 요청된 웹 페이지를 컨텍스트 토큰과 함께 사용자 웹 브라우저로 보냅니다.

4. 사용자 웹 브라우저에서 IFRAME 콘텐츠 요청과 컨텍스트 토큰을 인터넷의 SharePoint 스토어 앱 서버로 보냅니다.

5. SharePoint 스토어 앱 서버가 ACS에서 액세스 토큰을 요청 및 수신합니다.

6. SharePoint 스토어 앱 서버가 SharePoint 리소스 요청과 액세스 토큰을 SharePoint 서버로 보냅니다.

7. SharePoint 서버에서 앱 설치 시 지정된 앱의 권한 및 연결된 사용자의 권한을 모두 확인하여 액세스 권한을 부여합니다.

8. 액세스가 허용되면 SharePoint가 요청된 데이터를 인터넷의 SharePoint 스토어 앱 서버로 보냅니다.

9. 인터넷의 SharePoint 스토어 앱 서버가 IFRAME 결과를 웹 브라우저로 보내며, 웹 브라우저는 사용자를 위해 페이지의 IFRAME 부분을 렌더링합니다.

SharePoint 스토어 앱이 사용자의 자격 증명을 가져올 필요 없이 SharePoint 서버 리소스에 액세스한 방법을 확인합니다. 액세스는 ACS를 통해 인증되고 SharePoint Server를 실행하는 서버에 의해 신뢰되며 앱 및 사용자 권한 집합을 통해 권한이 부여됩니다.

SharePoint 앱 카탈로그 앱의 경우 인증 프로세스의 예는 다음과 같습니다.

1. 사용자가 인트라넷에서 호스트되고 자체 서명된 인증서를 액세스 토큰에 사용하는 앱 카탈로그 앱에서 렌더링해야 하는 IFRAME이 포함된 SharePoint 웹 페이지를 엽니다. 사용자에 대한 IFRAME을 렌더링하려면 앱 카탈로그 앱이 SharePoint 리소스에 액세스해야 합니다.

2. SharePoint가 요청된 페이지를 IFRAME과 함께 사용자 웹 브라우저로 보냅니다.

3. 사용자 웹 브라우저에서 IFRAME 콘텐츠 요청을 인트라넷의 앱 카탈로그 앱 서버로 보냅니다.

4. 앱 카탈로그 앱 서버가 사용자를 인증하고 자체 서명 인증서로 서명된 액세스 토큰을 생성합니다.

5. 앱 카탈로그 앱 서버가 SharePoint 리소스 요청과 액세스 토큰을 SharePoint 서버로 보냅니다.

6. SharePoint 서버에서 앱 설치 시 지정된 앱의 권한 및 연결된 사용자의 권한을 모두 확인하여 액세스 권한을 부여합니다.

7. 액세스가 허용되면 SharePoint 서버가 요청된 데이터를 인트라넷의 앱 카탈로그 앱 서버로 보냅니다.

8. 앱 카탈로그 앱 서버가 IFRAME 결과를 웹 브라우저로 보내며, 웹 브라우저는 사용자를 위해 페이지의 IFRAME 부분을 렌더링합니다.

자세한 내용은 SharePoint Server의 앱 인증 계획을 참조하십시오.

SharePoint Server의 서버 간 인증

서버 간 인증은 SharePoint Server를 실행하는 서버의 STS와 SharePoint Server를 실행하는 온-프레미스와 같은 OAuth 서버 간 프로토콜을 지원하는 다른 서버의 STS 간에 설정된 신뢰 관계를 기반으로 하는 리소스에 대한 서버 요청의 유효성 검사입니다Exchange Server 2016년 비즈니스용 Skype 2016 또는 Azure Workflow Service 및 Microsoft 365에서 실행되는 SharePoint Server. 요청을 하는 서버는 이 트러스트 관계를 기반으로 하여 서버 및 사용자 권한에 따라 지정된 사용자 계정 대신 SharePoint 서버의 보안 리소스에 액세스할 수 있습니다.

예를 들어 Exchange Server 2016을 실행하는 서버는 특정 사용자 계정에 대해 SharePoint Server를 실행하는 서버의 리소스를 요청할 수 있습니다. 이 프로비전은 앱이 사용자 계정 자격 증명 정보에 액세스할 수 없는 앱 인증과 대조됩니다. 사용자는 서비스와 요청에 따라 리소스 요청을 수행하는 서버에 현재 로그인되어 있을 수도 있고 그렇지 않을 수도 있습니다.

SharePoint Server를 실행하는 서버가 다른 서버의 리소스 액세스를 시도하거나, 다른 서버가 SharePoint Server를 실행하는 서버의 리소스 액세스를 시도하는 경우 들어오는 액세스 요청을 인증해야 서버가 들어오는 액세스 요청 및 후속 데이터를 수락할 수 있습니다. 서버-서버 인증은 SharePoint Server를 실행하는 서버와 해당 서버가 나타내는 사용자를 신뢰할 수 있는지 확인합니다.

서버 간 인증에 사용되는 토큰은 로그인 토큰이 아니라 서버 간 토큰입니다. 서버 간 토큰은 액세스를 요청하는 서버 및 해당 서버가 대신 작업을 수행하는 사용자 계정에 대한 정보를 포함합니다.

온-프레미스 서버의 경우 기본 프로세스의 예는 다음과 같습니다.

1. 사용자가 다른 서버의 정보가 요구되는(예: SharePoint Server 및 Exchange Server 2016 둘 다의 작업 목록을 표시해야 함) SharePoint 웹 페이지를 엽니다.

2. SharePoint Server에서 서버 간 토큰을 생성합니다.

3. SharePoint Server에서 서버 간 토큰을 다른 서버로 보냅니다.

4. 다른 서버에서 SharePoint 서버 간 토큰 유효성을 검사합니다.

5. 다른 서버가 SharePoint Server에 메시지를 보내 발송된 서버 간 토큰이 유효함을 알립니다.

6. SharePoint Server를 실행하는 서버의 서비스가 서버의 데이터에 액세스합니다.

7. SharePoint Server를 실행하는 서버의 서비스가 페이지를 렌더링합니다.

두 서버에서 모두 Microsoft 365를 실행하는 경우의 프로세스 예는 다음과 같습니다.

1. 사용자가 다른 서버의 정보가 요구되는(예: SharePoint 및 Exchange Online 둘 다의 작업 목록을 표시해야 함) SharePoint 웹 페이지를 엽니다.

2. SharePoint가 ACS에서 서버 간 토큰을 요청 및 수신합니다.

3. SharePoint에서 서버 간 토큰을 Microsoft 365 서버로 보냅니다.

4. Microsoft 365 서버가 ACS를 사용하여 서버 간 토큰의 사용자 ID를 확인합니다.

5. Microsoft 365 서버가 SharePoint에 메시지를 보내 전송된 서버 간 토큰이 유효함을 알립니다.

6. SharePoint의 서비스가 Microsoft 365 서버의 데이터에 액세스합니다.

7. SharePoint의 서비스가 사용자를 위해 페이지를 렌더링합니다.

자세한 내용은 SharePoint Server에서 서버 간 인증 계획을 참조하세요.