Secure Store Service 계획(SharePoint Server 2010)
적용 대상: SharePoint Server 2010
마지막으로 수정된 항목: 2016-11-30
Microsoft SharePoint Server 2010에서는 SSO(Single Sign-On) 기능이 Secure Store Service로 대체되었습니다. Secure Store Service는 응용 프로그램 ID와 관련된 자격 증명을 저장하는 보안 데이터베이스를 포함하는 클레임 인식 인증 서비스입니다. 이러한 응용 프로그램 ID는 외부 데이터 원본에 대한 액세스를 인증하는 데 사용할 수 있습니다.
이 문서의 내용
Secure Store Service 정보
Secure Store Service 준비
응용 프로그램 ID
Secure Store Service 매핑
Secure Store Service와 클레임 인증
Secure Store Service 정보
Secure Store Service는 응용 프로그램 서버에서 실행되는 인증 서비스로서, 응용 프로그램에서 공유 리소스에 대한 액세스를 인증하는 데 사용할 수 있는 응용 프로그램 ID(사용자 ID와 암호로 구성)의 자격 증명을 저장하는 데 사용됩니다. 예를 들어 SharePoint Server 2010에서는 보안 저장소 데이터베이스를 사용하여 외부 데이터 원본 액세스를 위한 자격 증명을 저장하고 검색할 수 있습니다. Secure Store Service는 여러 응용 프로그램 ID를 사용하여 여러 백 엔드 시스템의 자격 증명을 저장할 수 있도록 지원합니다.
Secure Store Service 준비
Secure Store Service 배포를 준비할 때는 다음의 중요한 지침에 유의해야 합니다.
Secure Store Service를 다른 서비스에 사용되지 않는 별도의 응용 프로그램 풀에서 실행합니다.
Secure Store Service를 다른 서비스에 사용되지 않는 별도의 응용 프로그램 서버에서 실행합니다.
SQL Server를 실행하는 별도의 응용 프로그램 서버에서 보안 저장소 데이터베이스를 만듭니다. 콘텐츠 데이터베이스가 포함된 동일한 SQL Server 설치를 사용하지 마십시오.
새로운 암호화 키를 생성하기 전에 보안 저장소 데이터베이스를 백업합니다. 또한 보안 저장소 데이터베이스가 처음으로 만들어진 후에도 백업하고 자격 증명이 다시 암호화될 때도 항상 백업해야 합니다. 새 키가 생성되면 이 키를 사용하여 자격 증명을 다시 암호화할 수 있습니다. 키를 새로 고치는 데 실패하거나 암호를 잊어버리는 경우에는 자격 증명을 사용할 수 없게 됩니다.
Secure Store Service를 처음으로 설정한 후 암호화 키를 백업하고 암호화 키가 다시 생성될 때도 항상 백업합니다.
암호화 키의 백업 미디어를 보안 저장소 데이터베이스의 백업 미디어와 같은 위치에 저장하면 안 됩니다. 사용자가 데이터베이스와 키 모두의 복사본을 입수하면 데이터베이스에 저장된 자격 증명이 노출될 수 있습니다.
응용 프로그램 ID
각각의 Secure Store Service 항목에는 보안 저장소 데이터베이스에서 자격 증명 집합을 검색하는 데 사용되는 응용 프로그램 ID가 포함됩니다. 각 응용 프로그램 ID에는 특정 사용자 또는 그룹만 해당 응용 프로그램 ID에 대해 저장된 자격 증명에 액세스할 수 있도록 사용 권한이 적용됩니다. 응용 프로그램에서는 응용 프로그램 ID를 통해 사용자를 대신하여 보안 저장소 데이터베이스의 자격 증명을 검색합니다. 그런 다음 검색된 자격 증명을 사용하여 데이터 원본에 액세스합니다.
응용 프로그램 ID는 자격 증명 집합에 사용자를 매핑하는 데 사용됩니다. 매핑은 그룹 또는 개인이 사용할 수 있습니다. 그룹 매핑에서 특정 도메인 그룹의 구성원인 모든 사용자가 동일한 자격 증명 집합에 매핑됩니다. 개별 매핑의 경우 각 개별 사용자가 고유한 자격 증명 집합에 매핑됩니다.
Secure Store Service 매핑
Secure Store Service는 개별 매핑과 그룹 매핑을 지원합니다. Secure Store Service에서는 보안 저장소 데이터베이스에 저장된 리소스의 응용 프로그램 ID에 대한 자격 증명 집합을 유지 관리합니다. 응용 프로그램에 대한 개별 자격 증명은 응용 프로그램 ID를 기반으로 검색됩니다. 개별 매핑은 공유 리소스에 대한 개별 사용자 액세스 관련 로깅 정보가 필요한 경우에 유용합니다. 그룹 매핑의 경우에는 보안 계층이 보안 저장소 데이터베이스에 저장된 응용 프로그램 ID로 식별되는 리소스에 대한 단일 자격 증명 집합에 대해 여러 도메인 사용자의 그룹 자격 증명을 검사합니다. 그룹 매핑은 개별 매핑보다 유지 관리가 더 간단하므로 향상된 성능을 제공합니다.
Secure Store Service와 클레임 인증
Secure Store Service는 클레임 인식 서비스로서, 보안 토큰을 받아들이고 토큰을 암호 해독하여 응용 프로그램 ID를 얻은 다음 검색을 수행할 수 있습니다. SharePoint Server 2010 STS(Security Token Service)가 인증 요청에 대한 응답으로 보안 토큰을 발급하면 Secure Store Service가 토큰을 암호 해독하고 응용 프로그램 ID 값을 읽습니다. Secure Store Service는 이러한 응용 프로그램 ID를 사용하여 보안 저장소 데이터베이스에서 자격 증명을 검색하며 이 자격 증명은 리소스에 대한 액세스를 인증하는 데 사용됩니다.