Business Connectivity Services용 ID 위임(SharePoint Server 2010)

 

적용 대상: SharePoint Server 2010

마지막으로 수정된 항목: 2016-11-30

이 시나리오에서는 Kerberos 제한 위임을 사용하여 SQL Server에 인증하도록 Business Data Connectivity 서비스 응용 프로그램을 구성합니다. 응용 프로그램을 구성한 후에는 SharePoint 사이트 내에서 새 외부 콘텐츠 형식 및 외부 목록을 만들어 인증 및 읽기 작업을 테스트합니다.

이 시나리오에서 SharePoint Server 팜 및 BCS 데이터 원본은 모두 같은 도메인에 있으므로, 백 엔드 데이터 원본으로 ID를 위임할 수 있도록 Kerberos 제한 위임을 구성합니다. 같은 포리스트 내의 다른 도메인에 있는 데이터 원본에 인증해야 하는 경우에는 제한되지 않은 기본 Kerberos 위임을 구성해야 합니다. BCS는 C2WTS를 사용하지 않으므로 기본 위임을 사용할 수 있습니다.

참고

Windows Server 2008에 설치하는 경우에는 Kerberos 인증을 위해 다음 핫픽스를 설치해야 할 수 있습니다.
AES 알고리즘을 사용하는 경우 Windows Server 2008 또는 Windows Vista를 실행하는 컴퓨터에서 Kerberos 인증이 실패하고 오류 코드 0X80090302 또는 0x8009030f가 표시됩니다.(https://support.microsoft.com/kb/969083/ko-kr)

시나리오 종속성

이 시나리오를 완료하려면 다음 시나리오를 먼저 완료해야 합니다.

• 시나리오 1: 핵심 구성

• 시나리오 2: SQL OLTP용 Kerberos 인증

구성 검사 목록

구성 영역	설명
Active Directory 구성	BCS 응용 프로그램 서비스 계정 만들기 서비스 사용자 이름 유효성 검사 위임 구성
SharePoint Server 구성	BCS 서비스 인스턴스 시작 BCS 서비스 응용 프로그램 만들기
확인	BCS 외부 콘텐츠 형식 만들기 BCS 보안 구성 BCS 외부 목록 만들기 브라우저에서 외부 목록 열기

시나리오 환경 세부 정보

단계별 구성 지침

Active Directory 구성

BCS 응용 프로그램 서비스 계정 만들기

Business Connectivity Services는 자체 도메인 ID로 실행하는 것이 가장 좋습니다. BCS 응용 프로그램을 구성하려면 Active Directory 계정을 만들어야 합니다. 이 예제에서는 다음과 같은 계정을 만들었습니다.

SharePoint Server 서비스	IIS 응용 프로그램 풀 ID
Business Connectivity Services	vmlab\svcBDC

서비스 사용자 이름 유효성 검사

BCS 데이터를 SharePoint 사이트에서 사용하는 경우 BCS 외부 콘텐츠 형식은 ECT 형식을 사용하여 IIS 응용 프로그램 풀의 컨텍스트 내에서 실행됩니다. BCS가 Kerberos 인증을 사용하여 외부 데이터 원본에 연결해 인증을 하려면 IIS 응용 프로그램 풀 서비스 계정과 외부 데이터 원본용 서비스 계정에 서비스 사용자 이름이 구성되어 있어야 합니다. 이 문서의 시나리오 1 및 2를 참조하여 웹 응용 프로그램 및 SQL Server 서비스 계정에 대해 필요한 SPN을 구성하고 유효성을 검사합니다.

위임 구성

BCS에서 클라이언트 ID를 위임하도록 하려면 Kerberos 인증을 구성해야 합니다. 기술적으로는 Excel Services와 같이 제한 위임이 필요하지 않으며 제한되지 않은 위임을 BCS에 사용할 수 있지만, 서비스가 수행할 수 있는 위임의 범위를 제한하는 것이 좋으므로 이 예제에서는 제한 위임을 구성합니다.

ECT를 실행 중인 사이트를 호스팅하는 각 IIS 응용 프로그램 풀 서비스 계정을 구성해야 백 엔드 서비스로의 위임이 가능합니다.

이 예제에서는 다음 위임 경로가 필요합니다.

사용자 유형	사용자 이름	위임 대상 서비스
사용자	svcPortal10App	MSSQLSVC/MySqlCluster.vmlab.local:1433
사용자	svcTeams10App	MSSQLSVC/MySqlCluster.vmlab.local:1433

제한 위임을 구성하려면

1. Active Directory 사용자 및 컴퓨터에서 Active Directory 개체의 속성을 엽니다.

2. 위임 탭으로 이동합니다.

   SP2010 Kerberos Guide228.gif

3. 지정한 서비스에 대한 위임용으로만 이 사용자 트러스트를 선택합니다.

   참고

   BCS가 동일한 포리스트 내에서 SharePoint Server가 있는 도메인 외부의 데이터 원본에 인증하도록 하려면 모든 서비스에 대한 위임용으로 이 컴퓨터 트러스트를 선택하여 제한 위임 대신 기본 위임을 구성해야 합니다. BCS 외부 콘텐츠 형식은 웹 응용 프로그램의 IIS 작업자 프로세스에서 실행되며 C2WTS를 사용하지 않습니다. 포리스트 간 Kerberos 위임은 사용할 수 없습니다.

4. 추가 단추를 클릭하여 서비스를 위임할 수 있는 서비스 사용자를 선택합니다.

5. 사용자 및 컴퓨터를 선택합니다.

6. 위임할 서비스를 실행 중인 서비스 계정을 선택합니다. 이 예제에서는 SQL Server 서비스의 서비스 계정을 선택하면 됩니다.

   참고

   선택한 서비스 계정에는 SPN이 적용되어 있어야 합니다. 이 예제에서는 해당 계정의 SPN을 이전 시나리오에서 구성했습니다.

7. 확인을 클릭합니다.

8. 위임할 SPN을 선택하고 확인을 클릭합니다.

9. SQL Server 클러스터에 대한 서비스를 선택하고 확인을 클릭합니다.

   이 계정이 위임된 자격 증명을 사용할 수 있는 서비스 목록에 선택한 SPN이 표시됩니다.

10. 이 섹션 앞부분에서 확인한 각 위임 경로에 대해 이 단계를 반복합니다.

SQL Server에서 서비스를 실행하는 서비스 계정의 MSSQLSVC SPN 확인(시나리오 2에서 수행함)

다음 SetSPN 명령을 사용하여 Analysis Services 서비스 계정(vmlab\svcSQL)에 대한 SPN이 있는지 확인합니다.

SetSPN -L vmlab\svcSQL

다음 문자열이 표시되어야 합니다.

MSSQLSVC/MySqlCluster

MSSQLSVC/MySqlCluster.vmlab.local:1433

SharePoint Server 구성

BCS 서비스 인스턴스 시작

BCS 서비스 응용 프로그램을 만들기 전에 지정된 팜 서버에서 BCS 서비스를 시작합니다.

1. 중앙 관리를 엽니다.

2. 서비스 아래에서 서버의 서비스 관리를 선택합니다.

3. 오른쪽 위의 서버 선택 상자에서 Excel Services를 실행하는 서버를 선택합니다. 이 예제에서 해당 서버는 VMSP10APP01입니다.

4. Business Data Connectivity 서비스 서비스를 시작합니다.

BCS 서비스 응용 프로그램 만들기

다음으로 웹 응용 프로그램에서 BDC 서비스를 사용할 수 있도록 새 BDC 서비스 응용 프로그램 및 응용 프로그램 프록시를 구성합니다.

1. 중앙 관리를 엽니다.

2. 프로그램 관리 아래에서 서비스 응용 프로그램 관리를 선택합니다.

3. 새로 만들기와 Business Data Connectivity 서비스를 차례로 선택합니다.

4. 새 서비스 응용 프로그램을 구성합니다. 이때 정확한 서비스 계정을 선택해야 합니다. BDC 서비스 계정이 목록에 없으면 관리되는 계정을 새로 만듭니다.

확인

BCS 외부 콘텐츠 형식 만들기

BDC를 통해 외부 데이터에 액세스하려면 BDC 외부 콘텐츠 형식을 만들어야 합니다. 이 예제에서는 SharePoint Designer 2010을 사용하여 포털 웹 응용 프로그램(http://portal)에서 외부 콘텐츠 형식을 만듭니다.

1. SharePoint Designer 2010을 엽니다.

2. http://portal에서 테스트 사이트 모음을 엽니다.

3. 왼쪽 탐색에서 외부 콘텐츠 형식을 클릭합니다.

4. 페이지 왼쪽 위에 있는 리본 메뉴의 새로 만들기 섹션에서 외부 콘텐츠 형식을 선택합니다.

5. 외부 콘텐츠 형식의 표시 이름을 지정합니다.

6. 외부 데이터 원본을 검색하고 작업을 정의하려면 여기를 클릭하십시오. 를 선택합니다.

7. 연결 추가를 클릭합니다.

8. 데이터 원본 유형 드롭다운에서 SQL Server를 선택하고 테스트 데이터베이스에 연결하는 데 필요한 정보를 추가합니다. 위임을 테스트하려면 사용자 ID를 사용하여 연결을 선택하십시오.

9. 새 연결을 확장하고 테스트 테이블(Sales)을 마우스 오른쪽 단추로 클릭한 후에 모든 작업 만들기를 선택합니다.

10. 고유한 식별자가 정의되어 있지 않다는 오류가 표시됩니다. 식별자 열을 선택하고 식별자에 매핑 확인란을 선택합니다. 그런 후에 마침을 클릭하여 기본 옵션을 적용하고 ECT 작업을 만듭니다.

11. 저장(Ctrl+S)을 누릅니다. 그러면 BDC 서비스 응용 프로그램 메타데이터 저장소에 ECT가 게시됩니다.

BCS 보안 구성

클라이언트가 포털 웹 응용 프로그램에서 BCS 외부 콘텐츠 형식을 사용하려면 BCS 권한을 구성해야 합니다. BCS는 세부적인 권한 모델을 지원하지만, 이 데모에서는 메타데이터 저장소 수준에서 보안을 구성한 다음 보안 변경 내용을 저장소의 모든 개체로 전파합니다.

1. 중앙 관리를 엽니다.

2. 프로그램 관리 아래에서 서비스 응용 프로그램 관리를 선택합니다.

3. 새 서비스 응용 프로그램(이 예제에서는 비즈니스 데이터 서비스)의 링크를 클릭합니다.

4. 메타데이터 저장소 사용 권한 설정을 선택합니다.

5. 이 예제에서는 모든 권한을 가진 엔터프라이즈 관리자와, 사용 권한 설정 권한을 제외한 모든 권한을 가진 인증된 모든 사용자를 구성했습니다.

6. 사용 권한 전파 확인란이 선택되어 있는지 확인한 후에 확인을 클릭하여 변경 내용을 저장합니다.

BCS 외부 목록 만들기

외부 콘텐츠 형식을 테스트하기 위해 포털 응용 프로그램에서 외부 데이터를 표시하는 외부 목록을 구성합니다.

1. SharePoint Designer 2010을 엽니다.

2. http://portal에서 테스트 사이트 모음을 엽니다.

3. 왼쪽의 외부 콘텐츠 형식을 선택합니다.

4. 앞서 만든 콘텐츠 형식을 클릭합니다.

5. 리본 메뉴에서 목록 및 양식 만들기를 클릭합니다.

6. 외부 콘텐츠 형식을 저장할지 묻는 메시지가 표시되면 예를 클릭합니다.

7. 목록 및 양식 만들기 대화 상자의 목록 이름 텍스트 상자에 목록 이름을 입력하고 확인을 클릭합니다.

브라우저에서 외부 목록 열기

1. SharePoint Designer 2010을 엽니다.

2. http://portal에서 테스트 사이트 모음을 엽니다.

3. 왼쪽 탐색에서 "목록 및 라이브러리"를 클릭합니다.

4. 목록 및 라이브러리 목록 아래쪽에서 외부 목록을 선택합니다.

5. 브라우저에서 미리 보기 단추를 클릭합니다.

   Internet Explorer가 열리고 선택한 사이트 및 외부 목록이 표시됩니다.

6. 외부 데이터가 올바르게 표시되는지 확인합니다. 연결 유효성을 추가로 검사하려면 SQL Server Management Studio에서 원본 데이터를 변경하고 브라우저 페이지를 새로 고칩니다. 그러면 브라우저에서 데이터 변경 내용이 반영됩니다.