Business Connectivity Services 보안 작업(SharePoint Server 2010)

  • 아티클

 

적용 대상: SharePoint Foundation 2010, SharePoint Server 2010

마지막으로 수정된 항목: 2016-11-30

이 문서에서는 Business Data Connectivity Service 응용 프로그램에 대한 보안 관련 관리 작업에 대해 설명합니다.

이 문서의 내용:

  • Business Data Connectivity Service 응용 프로그램에 관리자 지정

  • 메타데이터 저장소에 대한 사용 권한 설정

  • RevertToSelf 인증 모드

  • 워크플로 및 외부 목록

  • 소비 팜에서 배포 패키지를 생성할 수 있도록 사용 권한 설정

Business Data Connectivity Service 응용 프로그램에 관리자 지정

팜 관리자는 특정 Business Data Connectivity 서비스 응용 프로그램의 관리를 서비스 응용 프로그램 관리자에게 위임할 수 있습니다. 위임된 관리자는 중앙 관리 웹 사이트에 액세스하여 해당 Business Data Connectivity 서비스 응용 프로그램과 관련된 관리 작업을 수행할 수 있습니다.

위임된 관리자에게 메타데이터 저장소에 대한 사용 권한은 제공되지 않습니다.

Business Data Connectivity Service 응용 프로그램에 관리자를 지정하려면

  1. 다음과 같은 관리 자격 증명이 있는지 확인합니다.

    • 팜 관리자여야 합니다.

  2. 중앙 관리 웹 사이트의 응용 프로그램 관리 섹션에서 서비스 응용 프로그램 관리를 클릭합니다.

  3. 서비스 응용 프로그램 목록에서 Business Data Connectivity 서비스 응용 프로그램이 포함된 행을 클릭합니다.

  4. 서비스 응용 프로그램 탭의 작업 섹션에서 관리자를 클릭합니다.

  5. 텍스트 상자에 사용자 계정 또는 그룹 계정을 입력하거나 선택한 다음 추가를 클릭합니다.

  6. 사용 권한 상자에서 모든 권한을 클릭하고 확인을 클릭합니다.

메타데이터 저장소에 대한 사용 권한 설정

각 Business Data Connectivity 서비스 응용 프로그램에는 메타데이터 저장소가 있으며 여기에는 해당 저장소용으로 정의된 모든 모델, 외부 시스템, 외부 콘텐츠 형식, 메서드 및 메서드 인스턴스가 포함되어 있습니다. 메타데이터 저장소에 대한 사용 권한을 설정하여 메타데이터 저장소의 항목을 편집할 수 있는 사람과 메타데이터 저장소에 대한 사용 권한을 설정할 수 있는 사람을 지정할 수 있습니다.

각 사용자나 그룹에 필요한 특정 사용 권한만 제공하여 해당 자격 증명에서 필요한 작업을 수행하기 위한 최소한의 사용 권한만 제공하는 것이 좋습니다. 사용 권한을 설정하는 방법에 대한 자세한 내용은 "Business Connectivity Services 보안 개요(SharePoint Server 2010)"의 Business Connectivity Service 사용 권한 개요를 참조하십시오.

메타데이터 저장소에 대한 사용 권한을 설정하려면

  1. 다음과 같은 관리 자격 증명이 있는지 확인합니다.

    • 팜 관리자여야 합니다.

    • Business Data Connectivity 서비스 응용 프로그램 관리자여야 하고 메타데이터 저장소에 대한 사용 권한 설정 권한이 있어야 합니다.

  2. 중앙 관리 웹 사이트의 응용 프로그램 관리 섹션에서 서비스 응용 프로그램 관리를 클릭합니다.

  3. 서비스 응용 프로그램 목록에서 Business Data Connectivity 서비스 응용 프로그램이 포함된 행을 클릭합니다.

  4. 서비스 응용 프로그램 탭의 작업 섹션에서 관리를 클릭합니다.

  5. 편집 탭의 사용 권한 그룹에서 메타데이터 저장소 사용 권한 설정을 클릭합니다.

  6. 텍스트 상자에 사용 권한을 부여할 사용자 계정, 그룹 또는 클레임을 입력한 다음 추가를 클릭합니다.

    참고

    사용자 계정, 그룹 또는 클레임 이름에 세로 막대(|)는 포함할 수 없습니다.

  7. 계정, 그룹 또는 클레임에 대한 사용 권한을 설정합니다.

    참고

    메타데이터 개체 액세스 제어 목록의 사용자, 그룹 또는 클레임 중 하나 이상에 사용 권한 설정 권한이 있어야 합니다.

    • 사용자, 그룹 또는 클레임이 외부 시스템을 만들고 모델을 만들거나 가져오거나 내보낼 수 있도록 하려면 편집을 클릭합니다.

      보안 참고 사항Security Note
      편집 권한은 매우 높은 권한으로 간주됩니다. 편집 권한이 있으면 악의적인 사용자가 자격 증명을 도용하거나 서버 팜을 손상시킬 수 있습니다. 솔루션을 안전하게 유지하려면 개발자와 솔루션 디자이너에게 편집 권한을 자유롭게 할당할 수 있는 테스트 환경을 사용하는 것이 좋습니다. 테스트가 끝난 솔루션을 프로덕션 환경에 배포할 때는 편집 권한을 제거합니다.

    • 사용자, 그룹 또는 클레임이 외부 콘텐츠 형식에 대해 작업(만들기, 읽기, 업데이트, 삭제 또는 쿼리)을 실행할 수 있도록 하려면 실행을 클릭합니다.

      실행 권한은 메타데이터 저장소 자체에는 적용되지 않습니다. 이 설정은 메타데이터 저장소의 하위 개체에 실행 권한을 전파하려는 경우에 사용합니다.

    • 사용자, 그룹 또는 클레임이 외부 콘텐츠 형식으로 구성된 외부 목록을 만들고 외부 항목 선택에서 외부 콘텐츠 형식을 볼 수 있도록 하려면 클라이언트에서 선택 가능을 클릭합니다.

      클라이언트에서 선택 가능 권한은 메타데이터 저장소 자체에는 적용되지 않습니다. 이 설정은 메타데이터 저장소의 하위 개체에 클라이언트에서 선택 가능 권한을 전파하려는 경우에 사용합니다.

    • 사용자, 그룹 또는 클레임이 메타데이터 저장소에 대한 사용 권한을 설정할 수 있도록 하려면 사용 권한 설정을 클릭합니다.

      보안 참고 사항Security Note
      사용 권한 설정 권한은 매우 높은 권한으로 간주됩니다. 사용 권한 설정 권한이 있으면 메타데이터 저장소에 대한 편집 권한을 부여할 수 있습니다.

  8. 메타데이터 저장소의 모든 항목에 사용 권한을 전파하려면 BDC 메타데이터 저장소의 모든 BDC 모델, 외부 시스템 및 외부 콘텐츠 형식으로 사용 권한을 전파하십시오. 이렇게 하면 기존 사용 권한이 덮어쓰여집니다. 를 클릭합니다.

RevertToSelf 인증 모드

각 외부 콘텐츠 형식에는 연결된 인증 모드가 있습니다. 인증 모드는 사용자로부터 들어오는 인증 요청을 처리하는 방법과 외부 시스템에 전달할 수 있는 자격 증명 집합에 해당 요청을 매핑하는 방법에 대한 정보를 Business_Connectivity_Services에 제공합니다. 기본적으로 RevertToSelf 인증 모드(또는 BDC ID 인증 모드)는 해제되어 있습니다. RevertToSelf 인증 모드가 설정되어 있지 않으면 RevertToSelf를 사용하는 모델을 만들거나 가져올 수 없습니다.

RevertToSelf 인증 모드에서는 응용 프로그램 풀 계정을 사용하며 로그온한 사용자를 외부 시스템에 대해 인증하기 위해 Business Connectivity Services를 실행합니다. 예를 들어 사용자가 외부 목록을 열면 외부 목록이 있는 프런트 엔드 웹 서버의 응용 프로그램 풀 계정이 인증에 사용됩니다. 응용 프로그램 풀 계정은 권한이 매우 높은 계정입니다. 기본적으로 응용 프로그램 풀 계정은 팜 구성 데이터베이스에 대한 쓰기 권한을 가집니다. RevertToSelf 모드를 사용하는 경우 RevertToSelf 모드를 사용하는 모델을 만들거나 편집할 수 있는 사람은 누구든지 자신을 SharePoint 팜의 관리자로 설정할 수 있습니다.

프로덕션 환경에서는 RevertToSelf 인증 모드 대신 Secure Store Service를 사용하는 것이 좋습니다.

프로덕션 환경에서 RevertToSelf 인증 모드를 사용해야 하는 경우 다음 사항을 고려하십시오.

  • SharePoint Designer 사용자를 포함하여 모델을 만들거나 편집할 수 있는 사람은 누구든지 보안 측면에서 팜 관리자와 동등한 권한을 가진 것으로 간주됩니다. 이러한 사용자는 팜 관리자처럼 신뢰할 수 있는 사용자여야 합니다.

  • 가능하면 응용 프로그램 풀 계정의 사용을 잠가야 합니다. 이렇게 하면 악의적인 사용자가 SharePoint 팜 및 외부 시스템에 가져올 수 있는 피해를 제한할 수 있습니다.

RevertToSelf 인증 모드 설정

RevertToSelf 인증 모드를 설정하면 RevertToSelf를 사용하는 새 모델을 만들고 가져올 수 있습니다.

보안 참고 사항Security Note
프로덕션 환경에서는 RevertToSelf 인증 모드를 사용하지 않는 것이 좋습니다. RevertToSelf 인증 모드를 설정하기 전에 RevertToSelf 인증 모드 사용으로 인해 발생할 수 있는 영향을 정확하게 이해하고 있어야 합니다.

참고

RevertToSelf 모드는 호스팅 환경에서는 허용되지 않습니다.

RevertToSelf 인증 모드를 설정하려면

  1. 최소 요구 사항을 충족하는지 확인합니다. 즉, Add-SPShellAdmin을 참조하십시오.

  2. 시작 메뉴에서 모든 프로그램을 클릭합니다.

  3. Microsoft SharePoint 2010 Products를 클릭합니다.

  4. SharePoint 2010 관리 셸을 클릭합니다.

  5. Windows PowerShell 명령 프롬프트에서 다음 명령을 입력합니다.

    1. Business Data Connectivity 서비스 응용 프로그램 개체가 포함된 변수를 만들려면 다음 명령을 입력합니다.

      $bdc = Get-SPServiceApplication | where {$_ -match "<ServiceName>"}

      여기서 <서비스 이름>은 Business Data Connectivity 서비스 응용 프로그램의 이름이며 "BDC"와 같은 정규식일 수도 있습니다.

      참고

      Business Data Connectivity 서비스 응용 프로그램이 공유 서비스 응용 프로그램이면 서비스 응용 프로그램이 게시된 팜에서 이 명령을 실행해야 합니다.

    2. RevertToSelf 인증 모드를 설정하려면 다음 명령을 입력합니다.

      $bdc.RevertToSelfAllowed = $true

RevertToSelf 인증 모드 해제

RevertToSelf가 해제되어 있으면 RevertToSelf를 사용하는 새 모델을 만들거나 가져올 수 없습니다.

참고

RevertToSelf를 사용하는 기존 모델은 계속 작동합니다. RevertToSelf 인증 인스턴스를 팜에서 모두 제거하려면 기존 모델을 삭제해야 합니다.

RevertToSelf 인증 모드를 해제하려면

  1. 최소 요구 사항을 충족하는지 확인합니다. 즉, Add-SPShellAdmin을 참조하십시오.

  2. 시작 메뉴에서 모든 프로그램을 클릭합니다.

  3. Microsoft SharePoint 2010 Products를 클릭합니다.

  4. SharePoint 2010 관리 셸을 클릭합니다.

  5. Windows PowerShell 명령 프롬프트에서 다음 명령을 입력합니다.

    1. Business Data Connectivity 서비스 응용 프로그램이 포함된 변수를 만들려면 다음 명령을 입력합니다.

      $bdc = Get-SPServiceApplication | where {$_ -match "<ServiceName>"}

      여기서 <서비스 이름>은 Business Data Connectivity 서비스 응용 프로그램의 이름이며 "BDC"와 같은 정규식일 수도 있습니다.

      참고

      Business Data Connectivity 서비스 응용 프로그램이 공유 서비스 응용 프로그램이면 서비스 응용 프로그램이 게시된 팜에서 이 명령을 실행해야 합니다.

    2. RevertToSelf 인증 모드를 해제하려면 다음 명령을 입력합니다.

      $bdc.RevertToSelfAllowed = $false

워크플로 및 외부 목록

외부 목록과 상호 작용하는 워크플로를 개발하려면 추가 구성이 필요합니다. 다음 섹션에서는 워크플로 동작에 영향을 줄 수 있는 요구 사항에 대해 설명합니다.

참고

워크플로는 호스팅 환경의 외부 목록과 상호 작용할 수 없습니다.

워크플로에 외부 목록을 직접 연결할 수 없음

외부 데이터는 SharePoint Server에 저장되지 않으므로 외부 목록의 항목이 변경되어도 워크플로에서 이에 대한 알림을 받을 수 없습니다. 대신 사이트 워크플로나 목록 워크플로를 만든 다음 워크플로에서 외부 목록을 읽거나 업데이트하도록 설정할 수 있습니다. SharePoint Designer에서 외부 목록 항목을 작업 프로세스의 대상으로 사용할 수도 있지만 이 경우 작업에 대한 링크가 외부 목록 항목의 제목으로 표시되지 않습니다.

간혹 워크플로가 서비스 계정으로 실행되는 경우

다음과 같은 시나리오에서는 워크플로가 서비스 계정(일반적으로 응용 프로그램 풀 계정)으로 실행됩니다.

  • Visual Studio 워크플로

  • 외부 목록과 상호 작용하며 자동으로 시작되는 선언적 워크플로. 워크플로에서 가장 단계를 사용하는 경우에도 해당합니다.

이 경우 서비스 계정에 외부 목록이 연결되어 있는 외부 콘텐츠 형식에 대한 실행 권한을 제공하고 서비스 계정에 외부 시스템에 액세스하는 데 필요한 권한이 있는지 확인해야 합니다.

워크플로 및 인증

워크플로 작업을 지원하려면 외부 목록이 연결되어 있는 외부 콘텐츠 형식에서 인증에 RevertToSelf 또는 Secure Store Service를 사용해야 합니다.

참고

.NET Assembly 커넥터나 사용자 지정 커넥터를 사용하는 경우에는 이 두 인증 모드의 제한 사항이 적용되지 않습니다.

  • RevertToSelf를 사용한 인증

    RevertToSelf 인증 모드(또는 BDC ID 인증 모드)는 외부 목록이 있는 프런트 엔드 웹 서버의 응용 프로그램 풀 계정을 사용하여 외부 시스템에 인증합니다. 따라서 응용 프로그램 풀 계정에 외부 시스템에 액세스할 수 있는 권한이 있어야 합니다. 기본적으로 RevertToSelf 인증은 설정되어 있지 않습니다. RevertToSelf 인증을 사용하는 모델을 만들거나 가져오려면 먼저 RevertToSelf 인증 모드를 설정해야 합니다.

    보안 참고 사항Security Note
    RevertToSelf 인증은 프로덕션 환경에서는 사용하지 않는 것이 좋습니다.

    RevertToSelf 인증에 대한 자세한 내용은 RevertToSelf 인증 모드를 참조하십시오.

  • Secure Store Service를 사용한 인증

    Secure Store Service를 사용하면 외부 시스템에 연결하는 데 필요한 자격 증명을 제공하고 이러한 자격 증명을 특정 ID나 ID 그룹에 연결하는 데 필요한 데이터를 안전하게 저장할 수 있습니다. 외부 콘텐츠 형식에서 Secure Store Service 인증 모드 중 하나를 사용하도록 설정해야 합니다.

    보안 참고 사항Security Note
    워크플로가 서비스 계정으로 실행되는 경우 서비스 계정을 낮은 수준의 권한이 있는 계정에 매핑하는 것이 좋습니다. 예를 들어 서비스 계정을 최소한의 권한이 있는 계정에 매핑하는 보안 저장소 대상 응용 프로그램 ID를 만들어 필요한 외부 시스템에만 액세스할 수 있도록 설정할 수 있습니다.

인증 모드에 대한 자세한 내용은 "Business Connectivity Services 보안 개요(SharePoint Server 2010)"의 Business Connectivity Service 인증 개요를 참조하십시오.

소비 팜에서 배포 패키지를 생성할 수 있도록 사용 권한 설정

Business Data Connectivity 서비스 응용 프로그램은 서버 팜 간에 공유할 수 있습니다. Business Data Connectivity 서비스 응용 프로그램이 포함되어 있고 Business Data Connectivity 서비스 응용 프로그램을 게시하는 팜을 게시 팜이라고 합니다. 소비 팜은 원격 위치에 연결하여 Business Data Connectivity 서비스 응용 프로그램을 사용하는 팜입니다.

사용자가 외부 목록을 오프라인으로 전환하면 외부 목록이 있는 프런트 엔드 웹 서버에서 사용하는 응용 프로그램 풀 계정이 배포 패키지를 생성하고 그런 다음 이 패키지가 클라이언트 컴퓨터에 설치됩니다. 게시 팜에서는 프런트 엔드 웹 서버의 응용 프로그램 풀 계정이 메타데이터 저장소에 대한 모든 권한을 가지므로 배포 패키지를 생성할 수 있습니다. 소비 팜에서 배포 패키지를 생성할 수 있도록 하려면 소비 팜의 프런트 엔드 웹 서버에서 사용하는 응용 프로그램 풀 계정에 메타데이터 저장소에 대한 편집 권한 및 사용 권한 설정 권한을 제공해야 합니다. 응용 프로그램 풀 계정에 이 두 가지 추가 권한을 제공하지 않으면 소비 팜에 있는 외부 목록을 오프라인으로 전환할 수 없습니다.

보안 참고 사항Security Note
소비 팜의 응용 프로그램 풀 계정에 메타데이터 저장소에 대한 편집 권한 및 사용 권한 설정 권한을 제공하면 해당 계정이 게시 팜의 팜 관리자가 됩니다.

참고

이 섹션의 내용은 조직 내 SharePoint Server 배포에만 적용됩니다.

외부 목록 배포에 대한 자세한 내용은 Business Connectivity Services 클라이언트 통합 계획(SharePoint Server 2010)을 참조하십시오.

소비 팜의 응용 프로그램 풀 계정에 사용 권한을 할당하려면

  1. 다음과 같은 관리 자격 증명이 있는지 확인합니다.

    • 게시 팜의 팜 관리자여야 합니다.

    • Business Data Connectivity 서비스 응용 프로그램의 관리자여야 하고 메타데이터 저장소에 대한 사용 권한 설정 권한이 있어야 합니다.

  2. 게시 팜에서 중앙 관리 사이트의 응용 프로그램 관리 섹션에서 서비스 응용 프로그램 관리를 클릭합니다.

  3. Business Data Connectivity 서비스 응용 프로그램의 인스턴스를 클릭합니다.

  4. 편집 탭의 사용 권한 그룹에서 메타데이터 저장소 사용 권한 설정을 클릭합니다.

  5. 텍스트 상자에 소비 팜의 프런트 엔드 웹 서버에서 사용하는 응용 프로그램 풀 계정을 입력하고 추가를 클릭합니다.

  6. 사용 권한 상자에서 편집을 클릭한 다음 사용 권한 설정을 클릭합니다.

  7. 확인을 클릭합니다.

공유 서비스 응용 프로그램에 대한 자세한 내용은 팜 간에 서비스 응용 프로그램 공유(SharePoint Server 2010)를 참조하십시오.

See Also

Concepts

Business Connectivity Services 보안 개요(SharePoint Server 2010)