인증 방법 계획(Office SharePoint Server)
업데이트 날짜: 2009년 4월
적용 대상: Office SharePoint Server 2007
마지막으로 수정된 항목: 2015-03-09
이 문서의 내용
인증
지원되는 인증 방법
인증 구성
콘텐츠 크롤링을 위한 인증 계획
인증 디자인에 대한 영역 계획
환경에서 허용되는 인증 방법 선택
워크시트
이 문서에서는 Microsoft Office SharePoint Server 2007에서 지원하는 인증 방법에 대해 설명합니다. 이 문서를 읽고 나면 다음을 수행할 수 있습니다.
Office SharePoint Server 2007에서 인증이 구현되는 방식 이해
사용 중인 환경에 적합한 인증 방법 식별
인증
인증은 사용자의 신원을 확인하는 프로세스입니다. 사용자의 신원을 확인한 후 권한 부여 프로세스에서 사용자가 액세스할 수 있는 사이트, 콘텐츠 또는 기타 기능을 결정합니다.
Office SharePoint Server 2007에서 인증 프로세스는 IIS(인터넷 정보 서비스)를 통해 관리됩니다. IIS에서 사용자 인증을 수행한 후 Office SharePoint Server 2007의 보안 기능을 통해 권한 부여 프로세스가 수행됩니다.
Office SharePoint Server 2007 권한 부여를 구현하는 방법에 대한 자세한 내용은 사이트 및 콘텐츠 보안 계획(Office SharePoint Server)을 참조하십시오.
인증 계획은 사용자의 신원을 확인하여 솔루션을 보호하는 데 중요할 뿐 아니라 네트워크에서 사용자 자격 증명을 보호하는 데도 중요합니다.
지원되는 인증 방법
Office SharePoint Server 2007에서는 Microsoft Windows 운영 체제를 기반으로 하는지 여부에 관계없이 ID 관리 시스템의 인증을 지원하는 유동적이고 광범위한 인증 시스템을 제공합니다. Office SharePoint Server 2007에는 ASP.NET 플러그형 인증이 통합되어 있어 다양한 폼 기반 인증 체계가 지원됩니다. Office SharePoint Server 2007의 인증 지원 기능을 통해 다음과 같은 다양한 인증 시나리오를 구현할 수 있습니다.
표준 Windows 인증 방법 사용
간단한 사용자 이름 및 암호 데이터베이스 사용
조직의 ID 관리 시스템에 직접 연결
두 가지 이상의 방법을 사용하여 파트너 응용 프로그램에 액세스(예: 파트너 회사의 ID 관리 시스템에 연결하여 파트너 직원을 인증하는 동시에 windows 인증 방법을 사용하여 내부 직원 인증)
연결된 ID 관리 시스템에 참가
다음 표에는 지원되는 인증 방법이 나와 있습니다.
| 인증 방법 | 설명 | 예제 |
|---|---|---|
Windows |
표준 IIS Windows 인증 방법이 지원됩니다. |
|
ASP.NET 폼 |
Office SharePoint Server 2007에는 Microsoft ASP.NET 폼 인증 시스템이 통합됨으로써 비 Windows 기반 ID 관리 시스템에 대한 지원이 추가되었습니다. ASP.NET 인증을 통해 Office SharePoint Server 2007이 MembershipProvider 인터페이스를 구현하는 ID 관리 시스템에 대한 작업을 수행할 수 있습니다. 이때 보안 관리 페이지를 다시 작성하거나 섀도 Active Directory 디렉터리 서비스 계정을 관리할 필요가 없습니다. |
|
웹 SSO(Single Sign-On) |
Office SharePoint Server 2007에서는 웹 SSO 공급업체를 통한 연결된 인증이 지원됩니다. 웹 SSO를 사용하면 서로 다른 플랫폼에서 실행 중인 서비스를 포함하는 환경에서 SSO를 사용할 수 있습니다. 별도의 Active Directory 계정을 관리할 필요는 없습니다. |
|
시스템 계정 인증
ASP.NET 폼 인증 및 웹 SSO를 통해서는 사용자 계정만을 인증할 수 있습니다. 대체 인증 방법을 사용하여 사용자를 인증하는 경우에도 Microsoft SQL Server 데이터베이스 소프트웨어에 연결하고 웹 팜을 실행하는 데 사용하는 프로세스 계정은 Windows 계정이어야 합니다.
Office SharePoint Server 2007에서는 Active Directory를 실행하지 않는 팜에 대해 SQL Server 인증 및 로컬 컴퓨터 프로세스 계정을 지원합니다. 예를 들어 팜 내의 모든 서버에 대해 동일한 사용자 이름 및 암호를 사용하여 로컬 계정을 구현할 수 있습니다.
인증 구성
Windows 인증을 구성하는 것이 간편하기는 하지만, ASP.NET 폼이나 웹 SSO를 사용하도록 인증을 구성하려면 추가적인 계획이 필요합니다. 이 섹션에서는 Office SharePoint Server 2007에서 인증을 구성하는 방법에 대해 간단하게 설명합니다. 이 정보를 통해 솔루션에 대한 인증 전략을 통합하고 조직에서 인증 계획에 참여해야 하는 구성원을 결정할 수 있습니다.
SharePoint 웹 응용 프로그램의 인증 구성
Office SharePoint Server 2007의 인증은 SharePoint 웹 응용 프로그램 수준에서 구성됩니다. 다음 다이어그램에서는 여러 회사의 사이트를 호스팅하도록 구성되는 Windows SharePoint Services 서버 팜을 보여 줍니다. 각 회사에 대해 별도의 인증이 구성됩니다.
.gif "두 개의 다른 회사에 대한 호스팅 인증")
웹 응용 프로그램을 처음으로 만들거나 배포하면 제한적인 인증 옵션(Kerberos, NTLM, 익명)이 제공됩니다. 이러한 방법 중 하나를 사용하는 경우에는 웹 응용 프로그램을 만들거나 확장할 때 인증을 구성할 수 있습니다.
다음 그림에서는 웹 응용 프로그램을 처음으로 만들거나 확장할 때 사용 가능한 제한적인 인증 선택 항목을 보여 줍니다.
.gif "기본 인증 설정")
그러나 다른 인증 설정을 사용하는 경우에는 기본 인증 옵션을 선택한 다음 웹 응용 프로그램을 만들거나 확장한 후에 인증을 구성합니다. 이렇게 하려면 중앙 관리의 응용 프로그램 관리 페이지에 있는 응용 프로그램 보안 섹션에서 인증 공급자를 선택하고 해당 영역을 클릭하여 인증 편집 페이지를 엽니다. 이 페이지에서 구성되는 설정은 Windows, 폼, 웹 SSO 등 선택한 인증 유형에 따라 다릅니다.
다음 그림에서는 인증 편집 페이지를 보여 줍니다.
.gif "인증 편집 페이지")
중앙 관리에서 선택하는 인증 방법에 따라 추가 구성이 필요할 수 있습니다. 다음 표에는 인증 방법에 따른 구성 단계가 간략하게 설명되어 있으며, SharePoint 관리자 이외에 전문 역할이 필요한지 여부가 나와 있습니다.
| 인증 방법 | 추가 구성 | 전문 역할 |
|---|---|---|
익명 |
없음 |
없음 |
기본 |
없음 |
없음 |
다이제스트 |
IIS에서 직접 다이제스트 인증 구성 |
없음 |
인증서 |
|
Windows Server 2003 관리자(인증서 받기 및 구성) |
NTLM(Windows 통합) |
없음 |
없음 |
Kerberos(Windows 통합) |
|
IIS 관리자 |
폼 |
|
|
웹 SSO |
ASP.NET 폼 인증에 필요한 구성 단계 이외에 웹 SSO 공급자에 대해 HTTP 모듈을 등록합니다. |
|
외부에 있거나 또는 Windows를 기반으로 하지 않는 ID 관리 시스템에 연결
ASP.NET 폼 또는 웹 SSO를 사용하여 외부에 있거나 Windows를 기반으로 하지 않는 ID 관리 시스템에 대해 사용자를 인증하려면 Web.config 파일에 멤버 자격 공급자를 등록해야 하며, 역할 관리자도 등록할 수 있습니다. Office SharePoint Server 2007에서는 표준 ASP.NET 역할 관리자 인터페이스를 사용하여 현재 사용자에 대한 그룹 정보를 수집합니다. 각 ASP.NET 역할은 Office SharePoint Server 2007의 권한 부여 프로세스에서 도메인 그룹으로 간주됩니다. 인증용으로 멤버 자격 공급자를 등록하는 것과 같은 방법으로 Web.config 파일에 역할 관리자를 등록합니다.
중앙 관리 사이트에서 멤버 자격 사용자 또는 역할을 관리하려면 멤버 자격 공급자와 역할 관리자를 콘텐츠를 호스팅하는 웹 응용 프로그램의 Web.config 파일뿐만 아니라 경우에 따라 중앙 관리 사이트의 Web.config 파일에도 등록할 수 있습니다.
Web.config 파일에 등록하는 멤버 자격 공급자 이름과 역할 관리자 이름은 중앙 관리의 Authentication.aspx 페이지에 입력한 이름과 같아야 합니다. Web.config 파일에 역할 관리자를 입력하지 않으면 machine.config 파일에 지정되어 있는 기본 공급자가 대신 사용됩니다.
예를 들어 Web.config 파일의 다음 문자열은 SQL 멤버 자격 공급자를 지정합니다.
<membership defaultProvider="AspNetSqlMembershipProvider">
ASP.NET 폼 인증을 사용하여 SQL Server 인증 공급자에 연결하는 방법에 대한 자세한 내용은 인증 예제를 참조하십시오.
마지막으로 웹 SSO를 사용하여 외부 ID 관리 시스템에 연결하는 경우에는 웹 SSO용 HTTP 모듈도 등록해야 합니다. HTTP 모듈은 응용 프로그램에 대한 모든 요청에서 호출되는 어셈블리로, ASP.NET 요청 파이프라인의 일부로 호출됩니다. 자세한 내용은 HTTP 모듈 소개(https://go.microsoft.com/fwlink/?linkid=77954&clcid=0x412)를 참조하십시오.
ASP.NET 폼 인증을 통합하면 인증 공급자에 추가적인 요구 사항이 적용됩니다. 즉, Web.config 파일에 다양한 요소를 등록하는 것 외에도 다음 표에 나와 있는 것처럼 멤버 자격 공급자, 역할 관리자 및 HTTP 모듈이 Office SharePoint Server 2007 및 ASP.NET 메서드와 상호 작용하도록 프로그래밍해야 합니다.
| 범주 | 설명 |
|---|---|
멤버 자격 공급자 |
Office SharePoint Server 2007에서 사용하려면 멤버 자격 공급자가 다음 메서드를 구현해야 합니다.
|
역할 관리자 |
역할 관리자는 다음 메서드를 구현해야 합니다.
|
HTTP 모듈 |
HTTP 모듈은 다음 이벤트를 처리해야 합니다.
|
익명 액세스 사용
보다 안전한 인증 방법을 구성하는 동시에 웹 응용 프로그램에 대한 익명 액세스를 사용하도록 설정할 수 있습니다. 이 구성을 사용하는 경우 웹 응용 프로그램 내의 사이트 관리자가 익명 액세스를 허용하도록 선택할 수 있습니다. 보안 리소스 및 기능에 액세스하려는 익명 사용자는 로그온 단추를 클릭하여 자격 증명을 제출하면 됩니다.
여러 인증 방법을 사용하여 단일 사이트에 액세스
최대 5가지의 서로 다른 인증 방법이나 ID 관리 시스템을 통해 Office SharePoint Server 2007의 웹 응용 프로그램에 액세스하도록 구성할 수 있습니다. 다음 그림에서는 서로 다른 두 ID 관리 시스템에서 사용자가 액세스하도록 구성되는 파트너 응용 프로그램을 보여 줍니다. 이 그림에서 내부 직원은 표준 Windows 인증 방법 중 하나를 사용하여 인증되고, 파트너 회사의 직원은 해당 회사의 ID 관리 시스템을 통해 인증됩니다.
.gif "인증 관리 옵션 다이어그램")
서로 다른 둘 이상의 인증 시스템에서 웹 응용 프로그램에 액세스하도록 구성하려면 웹 응용 프로그램에 대해 영역을 추가로 구성해야 합니다. 영역은 동일한 실제 응용 프로그램에 액세스할 수 있는 서로 다른 논리적 경로를 나타냅니다. 일반적인 파트너 응용 프로그램에서 파트너 회사의 직원은 인터넷을 통해 응용 프로그램에 액세스하고, 내부 직원은 인트라넷을 통해 직접 응용 프로그램에 액세스합니다.
새 영역을 만들려면 웹 응용 프로그램을 확장합니다. 다른 IIS 웹 사이트로 웹 응용 프로그램 확장 페이지의 부하 분산된 URL 섹션에서 URL 및 영역 유형을 지정합니다. 영역 유형은 영역에 적용되는 범주 이름일 뿐이며 영역 구성에는 영향을 주지 않습니다.
웹 응용 프로그램을 확장한 후에는 새 영역에 대해 별도의 인증 방법을 구성할 수 있습니다. 다음 그림에서는 서로 다른 두 영역을 사용하여 구성되는 웹 응용 프로그램의 인증 공급자 페이지를 보여 줍니다. 기본 영역은 내부 직원이 사용하는 사이트입니다. 인터넷 영역은 파트너 액세스용으로 구성되며, ASP.NET 폼을 사용하여 파트너 ID 관리 시스템에 대해 파트너 직원을 인증합니다.
.gif "두 개의 영역으로 구성된 웹 응용 프로그램")
콘텐츠 크롤링을 위한 인증 계획
웹 응용 프로그램에서 콘텐츠 크롤링을 제대로 수행하려면 인덱스 서버의 인덱스 구성 요소(크롤러라고도 함)에 대한 인증 요구 사항을 파악해야 합니다. 이 섹션에서는 웹 응용 프로그램의 콘텐츠를 제대로 크롤링할 수 있도록 웹 응용 프로그램에 대해 인증을 구성하는 방법에 대해 설명합니다.
팜 관리자가 모든 기본 설정을 사용하여 웹 응용 프로그램을 만들면 해당 웹 응용 프로그램의 기본 영역이 NTLM을 사용하도록 구성됩니다. 팜 관리자는 기본 영역의 인증 방법을 Office SharePoint Server 2007에서 지원하는 인증 방법으로 변경할 수 있습니다.
팜 관리자는 웹 응용 프로그램을 한 번 이상 확장하여 추가 영역을 사용하도록 설정할 수도 있습니다. 최대 5개의 영역을 특정 웹 응용 프로그램과 연결할 수 있으며, 각 영역은 Office SharePoint Server 2007에서 지원하는 인증 방법을 사용하도록 구성할 수 있습니다.
기본적으로 크롤러는 콘텐츠를 크롤링할 때 NTLM을 사용합니다. 검색 서비스 관리자는 크롤링 규칙을 만들어 크롤러가 특정 URL 범위를 크롤링할 때 NTLM 대신 기본 인증 또는 클라이언트 인증서 등의 다른 인증 방법을 사용하도록 구성할 수도 있습니다. 크롤링 규칙에 대한 자세한 내용은 콘텐츠 크롤링 계획(Office SharePoint Server)을 참조하십시오.
크롤러의 영역 액세스 순서
웹 응용 프로그램의 영역을 계획할 때는 크롤러가 인증을 시도할 때 영역에 액세스하는 폴링 순서를 고려하십시오. 크롤러가 다이제스트 인증 또는 Kerberos 인증을 사용하도록 구성되어 있지만 표준 포트(80 또는 443)를 사용하지 않는 영역을 발견하는 경우 인증이 실패하며 크롤러가 폴링 순서의 다음 영역에 액세스하지 않기 때문에 폴링 순서는 중요합니다. 이러한 경우 크롤러는 해당 웹 응용 프로그램의 콘텐츠를 크롤링하지 않습니다.
팁
크롤러에 대해 구성한 인증 방법이 비표준 포트나 다이제스트 인증을 사용하는 Kerberos에 대해 구성된 영역보다 폴링 순서에서 앞에 있는지 확인하십시오.
크롤러는 다음 순서로 영역을 폴링합니다.
기본 영역
인트라넷 영역
인터넷 영역
사용자 지정 영역
익스트라넷 영역
다음 그림에서는 크롤러가 인증을 시도할 때 인증 시스템에서 내리는 결정을 보여 줍니다.
크롤러의 영역 폴링 방식
.gif "크롤러에서 사용하는 폴링 순서")
다음 표에서는 그림의 각 설명선에 연결되어 있는 작업을 설명합니다.
| 설명선 | 작업 |
|---|---|
1 |
크롤러가 기본 영역을 사용하여 인증을 시도합니다. 참고 크롤러는 인증을 시도할 때 항상 기본 영역을 먼저 사용합니다. |
2 |
크롤러 및 영역에 대해 구성된 인증 방법이 같으면 크롤러가 인증되며 권한 부여 단계로 진행됩니다. 그렇지 않으면 3단계로 진행됩니다. |
3 |
영역이 Kerberos인증용으로 구성되어 있는 경우 4단계로 진행하고, 그렇지 않으면 5단계로 진행합니다. |
4 |
영역이 포트 80 또는 443을 사용하도록 구성되어 있는 경우 크롤러가 인증되며 권한 부여 단계로 진행합니다. 그렇지 않으면 인증이 실패하고 크롤러가 다른 영역을 사용한 인증을 시도하지 않습니다. 즉, 콘텐츠가 크롤링되지 않습니다. |
5 |
폴링 순서에 다른 영역이 없으면 인증이 실패하고 콘텐츠가 크롤링되지 않습니다. 그렇지 않으면 6단계로 진행합니다. |
6 |
콘텐츠가 폴링 순서의 다음 영역을 사용하여 인증을 시도하며 2단계로 돌아갑니다. |
기본 영역에서 웹 SSO 등 크롤러가 지원하지 않는 인증 방법을 사용하도록 구성하는 경우에는 추가 영역을 최소한 하나 이상 만들고 이 영역에서 인증서, 기본 인증, 표준 포트를 사용하는 Kerberos 또는 NTLM을 사용하도록 구성해야 합니다. 인증서 또는 기본 인증을 사용하여 웹 응용 프로그램을 크롤링하는 경우에는 검색 서비스 관리자가 크롤링 규칙을 만들어 크롤러가 해당 웹 응용 프로그램을 크롤링할 때 적절한 인증 방법을 사용하도록 구성해야 합니다. 예를 들어 다음 경우를 참조하십시오.
인증 시나리오
팜 관리자가 웹 응용 프로그램을 만들고 폼 인증을 사용하도록 구성합니다. 팜 관리자는 웹 응용 프로그램의 콘텐츠를 크롤링 및 인덱싱하고자 하며, 크롤러에 NTLM, 기본 인증 또는 인증서로 구성된 영역이 필요함을 알고 있으므로 웹 응용 프로그램을 확장하고 인트라넷 영역이 NTLM을 사용하도록 구성합니다.
크롤러가 기본 영역을 사용하여 인증을 시도하면 인증 시스템에서 크롤러와 영역이 동일한 인증 방법을 사용하도록 구성되어 있지 않음을 인식하게 됩니다. 영역은 비표준 포트나 다이제스트 인증을 사용하는 Kerberos에 대해 구성되어 있지 않으며 폴링 순서에 추가 영역이 최소한 하나 이상 있으므로, 크롤러는 인트라넷 영역을 사용하여 인증을 시도합니다. 인트라넷 영역은 NTLM을 사용하도록 구성되어 있고 크롤러도 NTLM을 사용하므로 기본적으로 인증은 성공합니다.
팜 관리자가 NTLM이 아닌 기본 인증에 대해 인트라넷 영역을 구성한 경우에는 검색 서비스 관리자가 크롤링 규칙을 만들어 크롤러가 해당 웹 응용 프로그램을 크롤링할 때 기본 인증을 사용하도록 구성해야 합니다. 그렇지 않으면 인증이 실패하며 콘텐츠가 크롤링되지 않습니다. 마찬가지로 팜 관리자가 인트라넷 영역에서 클라이언트 인증서를 사용하도록 구성한 경우 검색 서비스 관리자는 크롤링 규칙을 만들어 크롤러가 해당 웹 응용 프로그램을 크롤링할 때 클라이언트 인증서를 사용하도록 구성해야 합니다. 또한 서버 관리자는 인덱스 서버에 클라이언트 인덱스를 등록해야 하며, 그렇지 않으면 인증이 실패하고 콘텐츠가 크롤링되지 않습니다.
팁
웹 응용 프로그램에 대한 인증과 해당 웹 응용 프로그램에 포함된 콘텐츠 크롤링을 효율적으로 계획하려면 웹 응용 프로그램을 만드는 팜 관리자와 크롤러를 구성하는 검색 서비스 관리자 간의 공동 작업이 필요합니다.
영역에서 기본 인증이나 인증서를 사용하도록 구성하는 경우 크롤러가 해당 영역을 사용하여 인증을 수행하도록 하려면 검색 서비스 관리자가 크롤링 규칙을 만들어 크롤러가 인증에 사용할 영역과 같은 인증 방법을 사용하도록 구성해야 합니다. 그렇지 않으면 크롤러는 사용 가능한 다음 영역을 사용합니다.
인증 방법을 적절하게 구성하는 것 외에, 크롤러가 웹 응용 프로그램 내에서 콘텐츠를 크롤링할 권한이 있는지도 확인해야 합니다. 검색 서비스 관리자는 콘텐츠 액세스 계정에 해당 영역을 통해 액세스하는 콘텐츠에 대한 읽기 권한 수준이 있는지 확인해야 합니다. 팜 관리자는 특정 웹 응용 프로그램에 대해 콘텐츠 액세스 계정에 읽기 권한 수준을 부여하는 정책을 만들어 이 작업을 수행할 수 있습니다.
인증 디자인에 대한 영역 계획
영역을 사용하여 웹 응용 프로그램에 대해 여러 인증 방법을 구현하려는 경우에는 다음 지침을 따르십시오.
기본 영역을 사용하여 가장 안전한 인증 설정을 구현합니다. 요청을 특정 영역과 연결할 수 없는 경우 기본 영역의 인증 설정 및 기타 보안 정책이 적용됩니다. 기본 영역은 웹 응용 프로그램을 처음으로 만들 때 함께 만들어지는 영역입니다. 일반적으로 가장 안전한 인증 설정은 최종 사용자 액세스용으로 디자인됩니다. 따라서 최종 사용자가 액세스하는 영역은 보통 기본 영역입니다.
응용 프로그램에 필요한 최소 영역 수만 사용합니다. 각 영역은 웹 응용 프로그램 액세스를 위해 새 IIS 사이트 및 도메인에 연결됩니다. 새 액세스 지점은 필요한 경우에만 추가하십시오.
웹 응용 프로그램 내의 콘텐츠를 검색 결과에 포함하려면 최소한 하나 이상의 영역이 NTLM 인증을 사용하도록 구성되어 있는지 확인합니다. 인덱스 구성 요소가 콘텐츠를 크롤링하려면 NTLM 인증을 수행해야 합니다. 필요한 경우가 아니면 인덱스 구성 요소에 대해 전용 영역을 만들지 마십시오.
환경에서 허용되는 인증 방법 선택
인증 계획 과정에는 인증 구성 방법 파악뿐 아니라 다음 작업도 포함됩니다.
Office SharePoint Server 2007의 웹 응용 프로그램 보안 컨텍스트나 환경 고려
각 인증 방법의 권장 사항 및 장단점 평가
Office SharePoint Server 2007에서 사용자 자격 증명 및 관련 ID 데이터를 캐시 및 사용하는 방식 이해
사용자 계정 관리 방식 이해
인증 방법이 사용자가 사용하는 브라우저와 호환되는지 확인
| 워크시트 작업 |
|---|
인증 방법 워크시트(https://go.microsoft.com/fwlink/?linkid=77970&clcid=0x412)를 사용하여 환경에서 지원할 인증 방법을 지정하고 각 인증 방법에 대한 결정 사항과 권장 사항을 기록합니다. Office SharePoint Server 2007의 개별 웹 응용 프로그램에 대한 인증 방법을 계획할 때 이 워크시트를 사용합니다. |
특정 보안 환경에 대한 권장 사항
주로 응용 프로그램의 보안 컨텍스트에 맞는 인증 방법을 선택하게 됩니다. 다음 표에서는 가장 일반적인 보안 환경을 기반으로 하는 권장 사항을 보여 줍니다.
| 환경 | 고려 사항 |
|---|---|
내부 인트라넷 |
최소한 일반 보기에서 사용자 자격 증명을 보호해야 합니다. 환경에서 구현되는 사용자 관리 시스템과 통합합니다. Active Directory를 구현하는 경우에는 IIS에서 기본 제공되는 Windows 인증 방법을 사용합니다. |
외부 보안 공동 작업 |
사이트에 연결하는 각 파트너 회사에 대해 별도의 영역을 구성합니다. 웹 SSO를 사용하여 각 파트너의 자체 ID 관리 시스템에 인증합니다. 그러면 사용 중인 ID 관리 시스템에 계정을 만들 필요가 없으며, 파트너 회사에서 제공자 ID를 계속 유지 관리하고 유효성을 검사합니다. 제공자가 더 이상 파트너 회사의 직원이 아니면 파트너 응용 프로그램에 계속 액세스할 수 없습니다. |
외부 익명 |
익명 액세스(인증 안 함)를 사용하도록 설정하고 인터넷에서 연결하는 사용자에 대해 읽기 전용 권한을 허용합니다. 대상 또는 역할 기반 콘텐츠를 제공하려는 경우에는 ASP.NET 폼 인증을 사용하여 간단한 사용자 이름 및 역할 데이터베이스를 통해 사용자를 등록할 수 있습니다. 등록 프로세스를 통해 사용자를 의사, 환자, 약사 등의 역할별로 식별합니다. 사용자가 로그온하면 해당 사용자 역할과 관련된 콘텐츠를 사이트에 표시할 수 있습니다. 이 시나리오에서는 인증을 사용하여 자격 증명의 유효성을 검사하거나 콘텐츠에 액세스할 수 있는 사용자를 제한하지 않으며, 인증 프로세스에서는 콘텐츠 대상 지정 방법만을 제공합니다. |
인증 방법의 권장 사항 및 장단점
각 인증 방법의 권장 사항과 장단점을 파악하면 환경에서 사용할 인증 방법을 결정하는 데 도움이 됩니다. 다음 표에서는 각 인증 방법의 권장 사항과 장단점을 중점적으로 보여 줍니다. IIS에서 지원하는 각 Windows 인증 방법에 대한 자세한 내용은 IIS 인증(https://go.microsoft.com/fwlink/?linkid=78066&clcid=0x412)을 참조하십시오.
| 인증 방법 | 장점 및 권장 사항 | 장단점 |
|---|---|---|
Windows |
|
|
ASP.NET 폼 |
|
|
웹 SSO |
|
|
사용자 ID 정보 관리
Office SharePoint Server 2007에서 사용자 자격 증명 및 기타 ID 정보를 처리하고 사용하는 방법은 원하는 용도에 가장 적합한 인증 옵션을 결정하는 데 영향을 줄 수 있습니다. 이 섹션에서는 다음과 같은 범주에서 사용자 ID 정보가 처리되는 방법에 대해 자세히 설명합니다.
바이너리 ID Office SharePoint Server 2007에서 사용자 바이너리 ID(식별자)를 만들거나 사용하는 방식입니다.
캐싱 각 요청에 대해 인증 프로세스가 반복되지 않도록 일정 시간 동안 사용자 ID를 보존하는 프로세스입니다.
역할 및 그룹 멤버 자격 인증 프로세스에서는 사용자를 결정하는 것 외에 사용자가 속하는 그룹 또는 역할도 결정합니다. 이 정보는 인증 프로세스 중에 사용자가 수행할 수 있는 권한을 가진 작업을 결정하는 데 사용됩니다. 인증과 관련해서 Office SharePoint Server 2007에서는 Active Directory 그룹과 ASP.NET 역할을 동일한 엔터티 유형으로 간주합니다.
다음 표에서는 Office SharePoint Server 2007에서 사용하는 인증 방법에 따라 사용자 바이너리 ID, 캐시된 사용자 데이터 및 역할과 그룹 멤버 자격 데이터를 관리하는 방법을 상세하게 보여 줍니다.
| 항목 | Windows 인증 | ASP.NET 폼 및 웹 SSO |
|---|---|---|
바이너리 ID |
Office SharePoint Server 2007에서는 Windows SID(보안 식별자)를 사용합니다. |
Office SharePoint Server 2007에서는 공급자 이름과 사용자 이름을 결합하여 고유한 바이너리 ID를 만듭니다. |
캐싱 |
IIS, Internet Explorer 및 Windows에서 사용자 자격 증명을 캐시 및 관리합니다. |
ASP.NET은 암호화된 쿠키를 사용하여 세션 기간 동안 사용자 자격 증명을 보관합니다. |
역할 및 그룹 멤버 자격 |
Windows에서는 사용자가 속하는 Active Directory 도메인 그룹 목록을 액세스 토큰에 보관합니다. Office SharePoint Server 2007에서는 액세스 토큰에 저장된 정보를 사용합니다. |
역할 관리자를 등록하면 Windows SharePoint Services에서는 표준 역할 관리자 인터페이스를 사용하여 현재 사용자에 대한 그룹 정보를 수집합니다. 인증 프로세스에서 각 ASP.NET 역할은 도메인 그룹과 같이 간주됩니다. ASP.NET은 Web.config 파일에 구성되는 설정에 따라 사용자가 속하는 역할을 쿠키에 캐시할 수 있습니다. |
사용자 계정 관리
Office SharePoint Server 2007에서 일반적인 사용자 계정 관리 작업을 처리하는 방법을 이해하면 선택하는 인증 방법이 달라질 수 있습니다. 일반적으로 특정 영역의 인증 공급자 구성원인 사용자는 사용 권한을 부여받으면 모든 영역의 계정을 관리할 수 있습니다. 다음 목록의 정보는 구현하는 인증 방법에 관계없이 적용됩니다.
새 사용자 추가 및 초대 멤버 자격 공급자 및 역할 관리자가 현재 Web.config 파일에 등록되어 있는 경우 구성되어 있는 모든 인증 방법과 영역에서 새 사용자를 추가하거나 초대할 수 있습니다. 새 사용자를 추가하면 Office SharePoint Server 2007은 다음 원본에 대해 다음 순서로 사용자 이름을 확인합니다.
Office SharePoint Server 2007에서 저장하는 UserInfoList 테이블. 사용자를 다른 사이트에 이미 추가한 경우에는 이 목록에 사용자 정보가 들어 있습니다.
현재 영역에 대해 구성되는 인증 공급자. 예를 들어 사용자가 기본 영역에 대해 구성된 인증 공급자의 구성원이면 Office SharePoint Server 2007은 먼저 이 연결된 멤버 자격 공급자를 확인합니다.
모든 기타 인증 공급자
사용자 삭제 사용자 계정은 Office SharePoint Server 2007 데이터베이스에서 삭제된 것으로 표시되지만 사용자 레코드는 제거되지 않습니다.
Office SharePoint Server 2007 내의 일부 사용자 계정 관리 동작은 인증 공급자에 따라 달라집니다. 다음 표에서는 구현하는 인증 방법에 따라 달라지는 몇 가지 일반 사용자 계정 작업을 중점적으로 보여 줍니다.
| 작업 | Windows 인증된 계정 | ASP.NET 폼 인증된 계정 및 웹 SSO 인증된 계정 |
|---|---|---|
새 사용자 추가 및 초대 |
Office SharePoint Server 2007은 Active Directory를 통해 사용자 ID 유효성을 검사합니다. |
Office SharePoint Server 2007은 멤버 자격 공급자 및 역할 관리자를 호출하여 사용자 및 역할이 있는지 확인합니다. |
로그온 이름 변경 |
Office SharePoint Server 2007에서 업데이트된 사용자 이름을 자동으로 인식합니다. 새 항목은 UserInfoList 테이블에 추가되지 않습니다. |
이전 계정 이름을 삭제한 후에 새 계정 이름을 추가해야 합니다. 사용 권한은 마이그레이션할 수 없습니다. |
로그온 |
Windows 통합 인증(Kerberos 또는 NTLM)을 사용하는 경우 브라우저에서 자동 로그온이 구성되어 있으면 사용자가 SharePoint 사이트에 수동으로 로그온할 필요가 없습니다. Internet Explore는 기본적으로 인트라넷 사이트에 자동으로 로그온하도록 구성됩니다. 사이트에서 서로 다른 자격 증명 집합이 필요한 경우 등 로그온이 필요한 경우에는 사용자에게 사용자 이름 및 암호를 입력하라는 메시지만 표시됩니다. 그러나 기본 인증을 사용하거나 사용자가 자동 로그온이 구성되어 있지 않은 브라우저를 사용하는 경우에는 SharePoint 사이트에 액세스할 때 로그온 자격 증명을 입력하라는 메시지가 표시될 수 있습니다. |
Office SharePoint Server 2007에서는 폼 인증에 사용하기 위한 표준 로그온 페이지가 제공됩니다. 이 페이지에는 사용자 이름, 암호, 자동 로그인(쿠키 유지) 필드가 포함되어 있습니다. 로그온 페이지를 직접 만들어 새 계정 만들기, 암호 다시 설정 등의 로그온 컨트롤을 더 추가할 수도 있습니다. |
브라우저 지원
모든 브라우저에서 지원되는 인증 방법을 사용할 수 있는 것은 아닙니다. 환경에서 허용할 인증 방법을 선택하기 전에 지원해야 하는 브라우저를 먼저 확인하고, 그런 다음 브라우저에서 지원하는 인증 방법을 확인하십시오. Internet Explorer에서는 지원되는 각 인증 방법을 사용할 수 있습니다. 그 외에 Office SharePoint Server 2007에서는 다음과 같은 브라우저가 추가로 지원됩니다.
Netscape 8.0
Netscape 7.2
Mozilla 1.7.12
Firefox 1.5
Safari 2.02
워크시트
다음 워크시트를 사용하여 환경에 적합한 인증 방법을 기록합니다.
다음 표에서는 작성이 완료된 워크시트의 예제를 보여 줍니다.
| 인증 방법 | 허용 | 허용 안 함 | 참고 및 권장 사항 |
|---|---|---|---|
익명 |
x |
||
기본 |
x |
||
다이제스트 |
x |
||
인증서 |
x |
||
NTLM(Windows 통합) |
x |
*"재무 부서 이외의 모든 부서 사이트에 NTLM을 사용합니다."* |
|
Kerberos(Windows 통합) |
x |
*"높은 보안 서비스 수준 계약이 적용되는 사이트에 Kerberos 인증을 사용합니다."* |
|
ASP.NET 폼 |
x |
*"파트너 회사가 파트너 익스트라넷에서 호스팅되는 사이트에 액세스할 수 있도록 하려면 폼 인증을 사용합니다. 현재 인증이 허용되는 ID 관리 시스템은 Active Directory 및 LDAP입니다. 박영아와 협력하여 폼 인증에 사용할 인증 설정을 개발하십시오."* |
|
웹 SSO |
x |
*"파트너 회사가 연결된 ID 관리 시스템에 참가하는 경우에만 파트너 응용 프로그램에 대해 이 방법을 사용합니다. 자세한 내용은 서한성에게 문의하십시오."* |
추가 참고 사항: "박민희와 협력하여 구현 전에 SharePoint 웹 응용 프로그램의 모든 인증 설정을 로그오프하십시오."
이 문서의 다운로드
이 항목은 다운로드 가능한 다음 문서에도 포함되어 있어 더 쉽게 읽고 인쇄할 수 있습니다.
사용 가능한 문서의 전체 목록은 다운로드 가능한 Office SharePoint Server 2007 관련 콘텐츠 (영문)를 참조하십시오.