PerformancePoint Services 보안 계획(SharePoint Server 2010)

  • 아티클

 

적용 대상: SharePoint Server 2010 Enterprise

마지막으로 수정된 항목: 2017-01-18

Microsoft SharePoint Server 2010의 PerformancePoint Services에서 목록 및 문서 라이브러리에 저장되는 개체는 Microsoft SharePoint Server 2010 보안 모델로 보호됩니다. PerformancePoint Services는 이러한 모델 외에도 기본 SharePoint Server 2010 프레임워크에 추가적인 제품 기능을 더해 보증되지 않은 액세스로부터 데이터 원본 및 대시보드 콘텐츠를 보호합니다. PerformancePoint Services가 SharePoint Server 2010 보안 모델에 종속되어 있긴 하지만 고려해야 할 특수한 보안 고려 사항이 있으므로 계획 및 관리하는 단계가 필요합니다. 모든 서버 기반 보안 설정은 공유 리소스 및 사용자 액세스를 간편하게 관리할 수 있도록 SharePoint Server 중앙 관리 웹 사이트 내에서 관리됩니다.

이 문서에서는 인증, 권한 부여 및 데이터 원본 인증 계획과 관련된 내용을 다룹니다.

인증

PerformancePoint Services에서는 데이터 원본 인증에 대해 세 가지 방법을 선택할 수 있습니다.

  • 사용자 ID별: 각 사용자의 고유 계정이 모든 데이터 원본에 액세스하는 데 사용됩니다. 이 방법을 사용하려면 Kerberos 위임이 필요합니다. 도메인 관리자가 PerformancePoint Services와 데이터 원본 간에 Kerberos 위임을 구성해야 합니다.

    참고

    외부 데이터 원본은 SharePoint Server 2010 팜과 동일한 도메인에 있어야 합니다. 외부 데이터 원본이 동일한 도메인에 있지 않으면 외부 데이터 원본에 대한 인증이 실패합니다. 자세한 내용은 “서비스 아키텍처 계획”의 외부 데이터 원본에 액세스하는 서비스의 계획 고려 사항을 참조하십시오.

  • 무인 서비스 계정: 단일 공유 사용자 계정으로 모든 데이터 원본에 액세스합니다. 이 계정은 Secure Store Service에 저장된 사용 권한 수준이 낮은 도메인 계정입니다. 무인 서비스 계정을 설정하려면 먼저 이 계정이 대시보드에서 필요하게 될 데이터 원본에 대해 적절한 액세스 권한을 가지고 있는지 확인해야 합니다.

  • 사용자 지정 데이터:   Analysis Services 연결 문자열의 사용자 지정 데이터 필드에 현재 인증된 사용자 이름을 매개 변수로 포함하는 SQL Server Analysis Services의 기능을 제공합니다. 사용자 지정 데이터 옵션은 Analysis Services 데이터 원본에만 사용되며 Analysis Services 2006 및 2008 서버에서 사용할 수 있습니다.

신뢰할 수 있는 위치

PerformancePoint Services에서 데이터 원본 연결은 문서 라이브러리에 포함되고 데이터 콘텐츠(KPI, 필터, 성과 기록표 등)는 문서 목록에 포함됩니다. 콘텐츠를 보호하고, 신뢰할 수 없는 개체가 있는 쿼리를 데이터 원본에서 실행할 수 없도록 하려면 목록 및 라이브러리를 "신뢰할 수 있는" 위치로 설정해야 합니다. 팜 관리자는 팜 집합의 모든 위치를 "신뢰할 수 있는 위치"로 설정하거나 신뢰할 특정 위치를 지정할 수 있습니다. 팜에서 보호할 위치를 쉽게 정의할 수 있으므로 팜 관리자가 전체 팜을 보호할 필요가 없습니다.

신뢰할 수 있는 위치에서는 신뢰할 수 있는 위치에 없는 데이터 원본에 종속된 개체 또는 데이터 원본의 쿼리 실행을 제한하는 보안 계층을 추가로 제공합니다. 문서 라이브러리 또는 모든 부모 개체(웹 응용 프로그램 포함)는 신뢰할 수 있는 것으로 정의할 수 있습니다. PerformancePoint Services에서 신뢰할 수 있는 위치 설정의 구성은 중앙 관리를 통해 중앙 집중식으로 관리합니다. 이러한 구성은 Windows PowerShell 2.0 cmdlet를 통해서도 관리할 수 있습니다. PerformancePoint Services의 보안을 계획할 때 전체 웹 응용 프로그램을 보호할지(원하는 경우나 필요한 경우 모두 포함) 아니면 보안 데이터의 위치를 더욱 세밀하게 관리할지 고려해야 합니다.

예를 들어 독립적으로 "신뢰할 수 있음"으로 표시되는 팜 내의 위치는 데이터 콘텐츠 또는 데이터 원본에 대해 다음과 같은 SharePoint Server 2010 계층 구조를 가집니다.

  1. 데이터 원본 또는 전체 팜의 콘텐츠에 대해 신뢰할 수 있는 위치를 사용하지 않습니다.

  2. 웹 응용 프로그램의 목록 및/또는 문서 라이브러리를 신뢰합니다.

  3. 자식 사이트를 포함하여 사이트 모음의 목록 및/또는 문서 라이브러리를 신뢰합니다.

  4. 사이트의 목록 및/또는 문서 라이브러리를 신뢰합니다.

  5. 팜의 개별 목록 및/또는 문서 라이브러리를 신뢰합니다.

위치가 신뢰되는지 여부를 확인할 때 서버에서는 신뢰할 수 있는 위치를 사용하도록 설정되어 있는지 확인합니다. 해당 속성을 사용할 수 있는 경우 서버에서 사이트 모음부터 계층 구조의 각 하위 레벨에 이르기까지 신뢰할 수 있는 위치의 목록을 확인하여 콘텐츠를 신뢰할 수 있는지 살펴봅니다.

데이터 원본을 사용하지 않는 항목은 신뢰할 수 있는 위치에 있지 않아도 됩니다. 여기서 항목이란 웹 페이지, 정적 KPI, 대시보드 및 표시기 아이콘 등을 말합니다.

참고

신뢰할 수 있는 데이터 원본 위치는 목록에서 정의할 수 없으며 신뢰할 수 있는 콘텐츠 위치는 문서 라이브러리에서 정의할 수 없습니다.

신뢰할 수 있는 데이터 콘텐츠 라이브러리

신뢰할 수 있는 데이터 콘텐츠 라이브러리는 PerformancePoint Services 데이터 연결(.ppsdc) 파일이 포함된 SharePoint Server 2010 문서 라이브러리입니다. .ppsdc 파일은 SQL Server 데이터베이스, OLAP 큐브, 관계형 데이터베이스, Excel Services 스프레드시트 등의 데이터 원본에 대한 연결을 중앙 집중식으로 관리하는 데 사용합니다.

데이터 원본은 대시보드 디자이너에서 정의되고 SharePoint Server 2010의 신뢰할 수 있는 데이터 연결 라이브러리에 저장됩니다. 신뢰할 수 있는 데이터 연결 라이브러리는 안전한 것으로 결정한 문서 라이브러리입니다. 이러한 라이브러리에서는 데이터 원본 파일의 사용을 제한하지만 읽을 수 있도록 허용합니다. 문서 라이브러리는 기본적으로 PerformancePoint Services를 구축할 때 만들어집니다. 관리자는 두 개 이상의 데이터 연결 라이브러리를 만들어 서버에서 데이터 연결을 관리할 수 있습니다. 사용자가 문서 라이브러이에서 데이터 원본 연결을 업데이트하면 대시보드 디자이너에서 작업 영역 파일이 열릴 때 해당 정보가 공유 및 업데이트됩니다.

대시보드 콘텐츠의 신뢰할 수 있는 목록

보고서, 성과 기록표, KPI 및 필터는 모두 신뢰할 수 있는SharePoint Server 2010 목록에 저장해야 합니다. 목록 또는 모든 부모 개체(사이트 모음 포함)는 초기 구성이 진행되는 동안 또는 나중에 중앙 관리를 통해 신뢰할 수 있는 것으로 정의할 수 있습니다.

데이터 원본 보안

PerformancePoint Services에서 데이터 원본에 대한 보안 설정은 각 데이터 원본에 저장됩니다. 현재 인증된 사용자, 무인 사용자 계정, 사용자 지정 데이터를 사용하는 무인 사용자 계정 중 서버에서 어떤 옵션을 선택할지를 결정하는 설정은 각 개별 데이터 원본에서 구성됩니다.

Secure Store Service 및 무인 서비스 계정

SharePoint Server 2010 Secure Store Service는 자격 증명과 같은 데이터를 안전하게 저장하고 해당 데이터를 특정 ID 또는 ID 그룹에 연결하는 기능을 제공합니다. Secure Store Service는 모든 SharePoint Server 2010 팜에서 제공됩니다.

PerformancePoint Services에서 현재 인증된 사용자 자격 증명 또는 “무인 서비스 계정”을 사용하도록 각 데이터 원본을 구성할 수 있습니다. 무인 서비스 계정은 데이터 원본에 연결할 때 가장되는 도메인 자격 증명 집합입니다. 서버에서는 PerformancePoint Services 프로세스가 쿼리 실행 중 콘텐츠 데이터베이스에 액세스하지 못하도록 데이터 원본 쿼리에 대한 관리 계정보다는 무인 서비스 계정을 사용합니다.

PerformancePoint Services는 Secure Store Service에 무인 서비스 계정 자격 증명을 저장하고 검색합니다. 서버가 사용자를 가장하기 위해 사용자 이름과 암호를 모두 유지해야 하므로 무인 서비스 계정의 암호는 Secure Store Service에 저장됩니다. 사용자 이름은 PerformancePoint Services 데이터베이스에 저장되므로 액세스할 수 있고 설정 페이지에 표시할 수도 있습니다.

무인 서비스 계정을 만들 때에는 필요한 데이터 원본에 대한 적절한 액세스 권한이 계정에 있는지 확인해야 합니다.

무인 서비스 계정 자격 증명은 전역적으로 캐시되지 않습니다. 대신 필요한 경우에만 Secure Store Service에서 검색됩니다. 연결에 대해 아직 캐시되지 않은 자격 증명 및 무인 서비스 옵션을 사용하여 연결하는 데이터 원본이 포함된 대시보드 디자이너에서 작업 영역 파일을 연 경우 무인 서비스 계정 암호는 Secure Store Service에서 검색되며 대상 데이터 원본을 사용합니다.

클레임 기반 인증

SharePoint Server 2010의 클레임 기반 인증은 단일 웹 응용 프로그램에서 여러 인증 공급자를 지원하고 프런트 엔드 웹 서버와 응용 프로그램 서버 간에 사용자 ID를 전달하는 데 사용됩니다. PerformancePoint Services에서는 웹 브라우저를 통해 대시보드 콘텐츠를 사용하는 경우에만 여러 인증 공급자를 지원합니다. 여러 인증 공급자를 사용하여 웹 응용 프로그램의 URL에 직접 액세스하는 경우에는 대시보드 디자이너가 지원되지 않습니다. 이 구성에서 대시보드 디자이너를 사용하려면 웹 응용 프로그램을 확장하여 Windows 인증 공급자로 제한된 새 URL에 액세스하도록 구성해야 합니다.

See Also

Concepts

PerformancePoint Services에 대해 무인 서비스 계정 구성
클레임 인증 구성(SharePoint Server 2010)
인증 방법 계획(SharePoint Server 2010)
PerformancePoint Server 2007 대시보드 콘텐츠를 SharePoint Server 2010으로 가져오기 계획(SharePoint Server 2010)