Secure Store Service 구성(SharePoint Server 2010)

적용 대상: SharePoint Server 2010

마지막으로 수정된 항목: 2017-01-19

이 문서에서는 솔루션 디자이너가 사용자 및 그룹 자격 증명을 외부 데이터 원본의 자격 증명에 매핑하는 대상 응용 프로그램을 만드는 데 사용할 수 있는 Microsoft SharePoint Server 2010 Secure Store Service 작업에 대해 설명합니다. 이러한 대상 응용 프로그램을 사용하면 Business Data Connectivity 서비스의 외부 콘텐츠 형식이 외부 데이터 원본과 상호 작용하여 외부 데이터 원본에 저장된 데이터를 읽고 쓰고 만들고 편집할 수 있습니다. Secure Store Service에 대한 개요는 Secure Store Service 계획(SharePoint Server 2010)을 참조하십시오.

Secure Store Service를 사용하여 대상 응용 프로그램을 만들려면 암호를 제공해야 합니다. 암호는 Secure Store Service 데이터베이스에 저장된 자격 증명을 암호화화고 암호를 해독하는 데 사용되는 키를 생성하는 데 사용됩니다. 초기 암호를 제공해야 하는 경우 Secure Store Service 응용 프로그램 인스턴스를 열면 "이 Secure Store Service 응용 프로그램에 대한 새 키를 생성하십시오."와 같은 메시지가 나타납니다.

이 문서의 내용:

• Secure Store Service 응용 프로그램 인스턴스 초기화

• 암호화 키 새로 고침

• 새 암호화 키 생성

• 대상 응용 프로그램 만들기

• 대상 응용 프로그램에 대한 자격 증명 설정

• 감사 로그 사용

Secure Store Service 응용 프로그램 인스턴스 초기화

리본의 편집 그룹에 있는 명령을 사용하여 Secure Store Service 응용 프로그램의 인스턴스를 초기화할 수 있습니다.

Secure Store Service 응용 프로그램 인스턴스를 초기화하려면

1. 다음과 같은 관리 자격 증명이 있는지 확인합니다.

   • Secure Store Service 인스턴스에 대한 서비스 응용 프로그램 관리자여야 합니다.

2. Secure Store Service 응용 프로그램 인스턴스에서 관리 탭을 클릭합니다.

3. 키 관리 그룹에서 새 키 생성을 클릭합니다.

4. 새 키 생성 페이지의 암호 상자에 암호 문자열을 입력하고 암호 확인 상자에도 같은 문자열을 입력합니다.

   중요

   암호 문자열은 8자 이상이어야 하며 다음 네 개의 요소 중 세 개 이상을 포함해야 합니다.

   • 대문자

   • 소문자

   • 숫자

   • 다음과 같은 특수 문자

     “! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

   팁

   입력한 암호는 저장되지 않습니다. 따라서 암호를 기록해 두고 안전한 장소에 보관해야 합니다. 서버 팜에 새 응용 프로그램 서버를 추가할 때와 같이 키를 새로 고칠 때 이 암호를 사용해야 합니다.

5. 확인을 클릭합니다.

다음과 같은 경우 암호 키를 새로 고쳐야 할 수 있습니다.

• 서버 팜에 새 응용 프로그램 서버를 추가하는 경우

• 암호화 키가 변경된 상태에서 이전에 백업한 Secure Store Service 데이터베이스를 복원하는 경우

• “마스터 키를 가져올 수 없습니다.”라는 오류 메시지가 나타나는 경우

암호화 키 새로 고침

리본의 키 관리 그룹에 있는 명령을 사용하여 암호화 키를 새로 고칠 수 있습니다.

암호화 키를 새로 고치려면

1. 다음과 같은 관리 자격 증명이 있는지 확인합니다.

   • Secure Store Service 인스턴스에 대한 서비스 응용 프로그램 관리자여야 합니다.

2. Secure Store Service 응용 프로그램 인스턴스에서 관리 탭을 클릭합니다.

3. 키 관리 그룹에서 키 새로 고침을 클릭합니다.

4. 암호 상자에 처음에 암호화 키를 생성하는 데 사용한 암호를 입력합니다.

   이는 Secure Store Service 응용 프로그램을 초기화할 때 사용한 암호 또는 새 키 생성 명령을 사용하여 새 키를 생성할 때 사용한 암호 중 하나입니다.

5. 확인을 클릭합니다.

새 암호화 키 생성

보안을 위한 예방 조치로 또는 일상적인 유지 관리의 일환으로 새 암호화 키를 생성하고 경우에 따라 새 키를 기반으로 강제로 Secure Store Service를 다시 암호화할 수도 있습니다.

새 암호화 키를 생성하려면

1. 다음과 같은 관리 자격 증명이 있는지 확인합니다.

   • Secure Store Service 인스턴스에 대한 서비스 응용 프로그램 관리자여야 합니다.

2. Secure Store Service 응용 프로그램 인스턴스에서 관리 탭을 클릭합니다.

3. 키 관리 그룹에서 새 키 생성을 클릭합니다.

4. 새 키 생성 페이지의 암호 상자에 암호 문자열을 입력하고 암호 확인 상자에도 같은 문자열을 입력합니다.

   중요

   암호 문자열은 8자 이상이어야 하며 다음 네 개의 요소 중 세 개 이상을 포함해야 합니다.

   • 대문자

   • 소문자

   • 숫자

   • 다음과 같은 특수 문자

     “! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

   팁

   입력한 암호는 저장되지 않습니다. 따라서 암호를 기록해 두고 안전한 장소에 보관해야 합니다. 서버 팜에 새 응용 프로그램 서버를 추가할 때와 같이 키를 새로 고칠 때 이 암호를 사용해야 합니다.

5. Secure Store Service 데이터베이스를 강제로 다시 암호화하려면 새 키를 사용하여 데이터베이스 다시 암호화와 같은 옵션을 클릭합니다.

6. 확인을 클릭합니다.

대상 응용 프로그램 만들기

대상 응용 프로그램을 만들려면 Secure Store Service를 사용합니다. 대상 응용 프로그램은 사용자, 그룹 또는 클레임의 자격 증명을 SQL Server 데이터베이스 또는 웹 서비스 같은 외부 데이터 원본의 자격 증명 집합에 매핑합니다. 대상 응용 프로그램을 만든 후에는 이를 외부 콘텐츠 형식 또는 응용 프로그램 모델에 연결하여 외부 데이터 원본에 액세스하도록 할 수 있습니다.

대상 응용 프로그램을 만들려면

1. 다음과 같은 관리 자격 증명이 있는지 확인합니다.

   • Secure Store Service 인스턴스에 대한 서비스 응용 프로그램 관리자여야 합니다.

2. Secure Store Service 응용 프로그램 인스턴스에서 관리 탭을 클릭합니다.

3. 대상 응용 프로그램 관리 그룹에서 새로 만들기를 클릭합니다.

4. 대상 응용 프로그램 ID 상자에 텍스트 문자열을 입력합니다.

   이는 Secure Store Service 응용 프로그램 내부에서 이 대상 응용 프로그램을 식별하는 데 사용되는 고유한 문자열입니다.

5. 표시 이름 상자에 사용자 인터페이스에 대상 응용 프로그램의 식별자를 표시하는 데 사용할 텍스트 문자열을 입력합니다.

6. 담당자 전자 메일 상자에 이 대상 응용 프로그램에 대한 기본 담당자의 전자 메일 주소를 입력합니다.

   이는 유효한 모든 전자 메일 주소일 수 있지만 Secure Store Service 응용 프로그램 관리자의 ID일 필요는 없습니다.

7. 개별 형식의 대상 응용 프로그램을 만드는 경우(아래 참조) 사용자가 대상 데이터 원본에 대한 개별 자격 증명을 추가하는 데 사용할 수 있는 사용자 지정 웹 페이지를 구현할 수 있습니다. 이렇게 하려면 자격 증명을 대상 응용 프로그램에 전달하기 위한 사용자 지정 코드가 있어야 합니다. 이를 수행한 경우 대상 응용 프로그램 페이지 URL 필드에 이 페이지의 전체 URL을 입력합니다. 다음과 같은 세 가지 옵션이 있습니다.

   • 제공된 페이지 사용: 대상 응용 프로그램을 사용하여 외부 데이터에 액세스하는 모든 웹 사이트에는 개별 등록 페이지가 자동으로 추가됩니다. 이 페이지의 URL은 http:/<예제 사이트>/_layouts/SecureStoreSetCredentials.aspx?TargetAppId=<대상 응용 프로그램 ID> 같은 형태이며, 여기서 <대상 응용 프로그램 ID>는 대상 응용 프로그램 ID 상자에 입력된 문자열입니다. 이 페이지의 위치를 게시하면 사용자가 외부 데이터 원본에 대한 자격 증명을 추가할 수 있게 됩니다.

   • 사용자 지정 페이지 사용: 사용자가 개별 자격 증명을 제공할 수 있도록 하는 사용자 지정 웹 페이지를 제공합니다. 이 필드에는 사용자 지정 페이지의 URL을 입력합니다.

   • 없음: 등록 페이지가 없습니다. Secure Store Service 관리자만이 Secure Store Service 응용 프로그램을 사용하여 개별 자격 증명을 추가할 수 있습니다.

8. 대상 응용 프로그램 형식 상자에 그룹 자격 증명에 대해서는 대상 응용 프로그램 형식을 그룹으로 입력하고 각 개인이 외부 데이터 원본의 고유한 자격 증명 집합에 매핑되는 경우에는 개별로 입력합니다.

   참고

   대상 응용 프로그램을 만들기 위한 기본 형식에는 다음과 같은 두 가지가 있습니다.

   • 그룹 - 하나 이상의 그룹에 있는 모든 구성원을 외부 데이터 원본의 단일 자격 증명 집합에 매핑합니다.

   • 개별 - 각 개인을 외부 데이터 원본의 고유한 자격 증명 집합에 매핑합니다.

9. 외부 데이터 원본의 자격 증명이 Windows 자격 증명이면 Windows 확인란을 선택합니다.

   외부 데이터 원본의 자격 증명이 Windows 자격 증명이 아닌 경우에는 확인란의 선택을 취소합니다.

10. 다음을 클릭하여 자격 증명을 외부 데이터 원본으로 제출하는 데 사용할 필드를 구성합니다.

11. Secure Store 대상 응용 프로그램에 대한 자격 증명 필드를 지정하십시오. 페이지에서 외부 데이터 원본에 자격 증명을 제공하는 데 필요할 수 있는 다양한 필드를 구성합니다. 기본적으로 두 개의 필드(사용자 이름 및 암호)가 나열됩니다.

    외부 데이터 원본에 자격 증명을 제공하기 위한 필드를 추가하려면 Secure Store 대상 응용 프로그램에 대한 자격 증명 필드를 지정하십시오. 페이지에서 필드 추가를 클릭합니다.

    기본적으로 새 필드의 형식은 일반이며 다음과 같은 필드 형식을 사용할 수 있습니다.

    필드	설명
    일반	다른 범주에 적합하지 않은 값입니다.
    사용자 이름	사용자를 식별하는 사용자 계정입니다.
    암호	단어 또는 구 형태의 암호입니다.
    PIN	개인 식별 번호입니다.
    키	암호화 알고리즘 또는 암호화의 기능 출력을 결정하는 매개 변수입니다.
    Windows 사용자 이름	사용자를 식별하는 Windows 사용자 계정입니다.
    Windows 암호	Windows 계정에 대한 단어 또는 구 형태의 암호입니다.

    • 새 필드 또는 기존 필드의 형식을 변경하려면 필드 형식 옆에 나타나는 화살표를 클릭한 다음 새 필드 형식을 선택합니다.

      참고

      추가하는 모든 필드에는 자격 증명을 설정하기 위해 제출할 때 데이터가 포함되어 있어야 합니다.

    • 사용자가 필드와 상호 작용할 때 표시되는 이름을 변경할 수 있습니다. Secure Store 대상 응용 프로그램에 대한 자격 증명 필드를 지정하십시오. 페이지의 필드 이름 열에서 현재 텍스트를 선택하고 새 텍스트를 입력하여 필드 이름을 변경합니다.

    • 필드가 마스킹되어 있으면 사용자가 입력하는 각 문자가 표시되지 않고 별표(“*”) 같은 마스크 문자로 대체됩니다. 필드를 마스킹하려면 페이지의 마스킹됨 여부와 같은 열에서 해당 필드의 확인란을 클릭합니다.

    • 필드를 삭제하려면 페이지의 삭제 열에서 해당 필드에 대한 삭제 아이콘을 클릭합니다.

    자격 증명 필드의 편집을 마쳤으면 다음을 클릭합니다.

12. 멤버 자격 설정을 지정하십시오. 페이지의 대상 응용 프로그램 관리자 필드에 대상 응용 프로그램 설정을 관리하기 위한 액세스 권한이 있는 모든 사용자를 나열합니다.

13. 대상 응용 프로그램 형식이 그룹인 경우에는 구성원 필드에 해당 대상 응용 프로그램에 대한 자격 증명 집합에 매핑할 사용자 그룹을 나열합니다.

14. 확인을 클릭하여 대상 응용 프로그램 구성을 완료합니다.

대상 응용 프로그램에 대한 자격 증명 설정

대상 응용 프로그램을 만든 후 해당 대상 응용 프로그램의 관리자는 응용 프로그램에 대해 자격 증명을 설정할 수 있습니다. 이러한 자격 증명은 Microsoft Business Connectivity Services 및 다른 서비스에서 외부 데이터 원본에 액세스할 수 있도록 하는 데 사용됩니다. 대상 응용 프로그램 형식이 개별이면 경우에 따라 개인이 고유한 자격 증명을 제공하도록 할 수도 있습니다.

대상 응용 프로그램에 대한 자격 증명을 설정하려면

1. 다음과 같은 관리 자격 증명이 있는지 확인합니다.

   • Secure Store Service 인스턴스에 대한 서비스 응용 프로그램 관리자여야 합니다.

2. Secure Store Service 응용 프로그램 인스턴스에서 대상 응용 프로그램 식별자를 가리키고 나타나는 화살표를 클릭한 다음 메뉴에서 자격 증명 설정을 클릭합니다.

   대상 응용 프로그램 형식이 그룹이면 외부 데이터 원본에 대한 자격 증명을 입력합니다. 외부 데이터 원본에 필요한 정보에 따라 자격 증명을 설정하기 위한 필드가 달라집니다.

   대상 응용 프로그램 형식이 개별인 경우 외부 데이터 원본의 자격 증명 집합에 매핑되는 개인의 사용자 이름을 입력하고 외부 데이터 원본에 대한 자격 증명을 입력합니다. 외부 데이터 원본에 필요한 정보에 따라 자격 증명을 설정하기 위한 필드가 달라집니다.

감사 로그 사용

Secure Store Service에 대한 감사 항목은 Secure Store Service 데이터베이스에 저장됩니다. 기본적으로 감사 로그 파일은 사용하지 않도록 설정됩니다.

감사 로그에는 작업이 수행된 시간, 작업이 실패한 경우 이유, 작업을 수행한 Secure Store Service 사용자, 그리고 어떤 Secure Store Service를 대신해 작업을 수행했는지(선택 사항)에 대한 정보가 저장됩니다. 따라서 인증 문제를 해결하려는 경우 감사 로그 파일을 사용해야 합니다.

중앙 관리를 통해 감사 로그를 사용하도록 설정하려면

1. 이 절차를 수행하는 사용자 계정이 Farm Administrators SharePoint 그룹의 구성원인지 확인합니다.

2. 중앙 관리의 홈 페이지에서 응용 프로그램 관리를 클릭합니다.

3. 응용 프로그램 관리 페이지의 서비스 응용 프로그램 섹션에서 서비스 응용 프로그램 관리를 클릭합니다.

4. 서비스 응용 프로그램 탭에서 보안 저장소를 클릭합니다. 유형은 Secure Store Service 응용 프로그램과 연결해야 합니다.

5. 리본에서 속성을 클릭합니다.

6. 감사 사용 섹션에서 감사 로그 사용 확인란을 클릭하여 선택합니다.

7. 항목이 감사 로그 파일에서 제거되는 기간(일)을 변경하려면 로그 보관 일 수 필드에 기간을 일 단위로 지정합니다. 기본값은 30일입니다.

8. 확인을 클릭합니다.