PerformancePoint Services용 ID 위임(SharePoint Server 2010)
적용 대상: PerformancePoint Services, SharePoint Server 2010
마지막으로 수정된 항목: 2016-11-30
이 시나리오에서는 PerformancePoint Services 서비스 응용 프로그램을 SharePoint Server 환경에 추가합니다. 또한 서비스가 외부 Analysis Services 큐브에서 데이터를 가져오고 SQL Server에서 데이터를 가져오는 옵션을 사용할 수 있도록 Kerberos 제한 위임을 구성합니다.
참고
Windows Server 2008에 설치하는 경우에는 Kerberos 인증을 위해 다음 핫픽스를 설치해야 할 수 있습니다.
AES 알고리즘을 사용하는 경우 Windows Server 2008 또는 Windows Vista를 실행하는 컴퓨터에서 Kerberos 인증이 실패하고 오류 코드 0X80090302 또는 0x8009030f가 표시됩니다.(https://support.microsoft.com/kb/969083/ko-kr)
시나리오 종속성
이 시나리오를 완료하려면 다음 시나리오를 먼저 완료해야 합니다.
시나리오 1: 핵심 구성
시나리오 2: SQL OLTP용 Kerberos 인증(선택 사항)
구성 검사 목록
| 구성 영역 | 설명 |
|---|---|
Active Directory 구성 |
PerformancePoint Services 서비스 계정 만들기 응용 프로그램 서버에서 PerformancePoint Service를 실행하는 서비스 계정에 대해 SPN 만들기 SQL Server Analysis Services 서비스 계정(vmlab\svcSQLAS)에 대한 Analysis Services SPN 확인(시나리오 3에서 수행함) 및 (선택 사항) SQL Server 데이터베이스 엔진 서비스 계정(vmlab\svcSQL) 확인(시나리오 2에서 수행함) Analysis Services에 대해 Windows 토큰 서비스에 대한 클레임 서비스 계정용으로 Kerberos 제한 위임을 Analysis Services로 구성 Analysis Services에 대해 PerformancePoint Services 서비스 계정용으로 Kerberos 제한 위임 구성 |
SharePoint Server 구성 |
PerformancePoint Services 서버에서 Windows 토큰 서비스에 대한 클레임 시작 PerformancePoint Services 서버에서 PerformancePoint Services 서비스 인스턴스 시작 PerformancePoint Services 서비스 응용 프로그램 및 프록시 만들기 PerformancePoint 응용 프로그램에서 ID 확인 PerformancePoint Services 서비스 계정에 웹 응용 프로그램 콘텐츠 데이터베이스에 대한 권한 부여 PerformancePoint Services 신뢰할 수 있는 파일 위치 및 인증 설정 구성 |
PerformancePoint Service 제한 위임 확인 |
테스트 대시보드를 호스팅할 문서 라이브러리 만들기 기존 SQL Server Analysis Services 큐브를 참조하는 데이터 원본 만들기 신뢰할 수 있는 PerformancePoint 콘텐츠 목록 만들기 테스트 PerformancePoint 대시보드 만들기 SharePoint Server에 대시보드 게시 |
시나리오 환경 세부 정보
Kerberos 제한 위임 경로
.jpg "인증 프로세스 다이어그램")
이 시나리오에서는 SQL Server 서비스에 대해 Kerberos 제한 위임용으로 PerformancePoint Services 서비스 계정을 구성합니다.
참고
이 시나리오에서는 C2WTS(Windows 토큰 서비스에 대한 클레임)에서 전용 서비스 계정을 사용하도록 구성합니다. C2WTS가 로컬 시스템을 사용하도록 구성된 상태로 유지하는 경우에는 C2WTS 및 Excel Services를 실행하는 컴퓨터용으로 컴퓨터 계정에 대해 제한 위임을 구성해야 합니다.
SharePoint Server 논리 인증
.jpg "인증 흐름 다이어그램")
이 시나리오의 인증은 클라이언트가 웹 프런트 엔드에서 Kerberos 인증을 사용하여 인증하면서 시작됩니다. SharePoint Server 2010에서는 로컬 STS(Security Token Service)를 사용하여 Windows 인증 토큰을 클레임 토큰으로 변환합니다. PerformancePoint Service 응용 프로그램은 클레임 토큰을 수락한 다음 WIF(Windows Identity Framework)의 일부분인 로컬 C2WTS(Windows 토큰 서비스에 대한 클레임)를 사용하여 해당 토큰을 Windows 토큰(Kerberos)으로 변환합니다. 그런 다음 PerformancePoint Service 응용 프로그램은 클라이언트의 Kerberos 티켓을 사용하여 백 엔드 데이터 원본에 인증합니다.
단계별 구성 지침
Active Directory 구성
PerformancePoint Services 서비스 계정 만들기
PerformancePoint Services는 자체 도메인 ID로 실행하는 것이 가장 좋습니다. PerformancePoint Service 응용 프로그램을 구성하려면 Active Directory 계정을 만들어 SharePoint Server 2010에서 관리되는 계정으로 등록해야 합니다. 자세한 내용은 SharePoint 2010의 관리되는 계정(영문일 수 있음)을 참조하십시오. 이 예제에서는 다음 계정을 만들어 이 시나리오 뒷부분에서 등록합니다.
| SharePoint Server 서비스 | IIS 응용 프로그램 풀 ID |
|---|---|
PerformancePoint Services |
vmlab\svcPPS |
응용 프로그램 서버에서 PerformancePoint Service를 실행하는 서비스 계정에 대해 SPN 만들기
SharePoint 응용 프로그램 풀을 실행하는 서비스 계정은 PerformancePoint 계정과는 다르므로, 이 단계를 반드시 수행해야 합니다.
Active Directory 사용자 및 컴퓨터 MMC 스냅인은 일반적으로 Kerberos 위임을 구성하는 데 사용됩니다. 이 스냅인 내에서 위임 설정을 구성하려면 구성 중인 Active Directory에 서비스 사용자 이름이 적용되어 있어야 합니다. 그렇지 않으면 개체의 위임 탭이 개체 속성 대화 상자에서 표시되지 않습니다. Visio Services의 경우에는 SPN이 없어도 작동하지만, 여기서는 이러한 용도로 SPN을 구성하겠습니다.
명령줄에서 다음 명령을 실행합니다.
SETSPN -S SP/svcPPS
참고
이 SPN은 유효한 SPN이 아니며, AD 사용자 및 컴퓨터 추가 기능에서 위임 옵션을 표시하기 위해 지정된 서비스 계정에 적용되는 것입니다. 지원되는 다른 방법으로 위임 설정을 지정할 수도 있지만(구체적으로는 msDS-AllowedToDelegateTo AD 특성), 이 문서에서는 해당 주제에 대해 다루지 않습니다.
SQL Server Analysis Services 서비스 계정(vmlab\svcSQLAS)에 대한 Analysis Services SPN 확인(시나리오 3에서 수행함) 및 (선택 사항) SQL Server 데이터베이스 엔진 서비스 계정(vmlab\svcSQL) 확인(시나리오 2에서 수행함)
다음 SetSPN 명령을 사용하여 SQL Server 서비스 계정(vmlab\svcSQLAS)에 대한 SPN이 있는지 확인합니다.
SetSPN -L vmlab\svcSQLAS
다음 문자열이 표시되어야 합니다.
MSOLAPSvc.3/MySqlCluster
다음 SetSPN 명령을 사용하여 Analysis Services 서비스 계정(vmlab\svcSQL)에 대한 SPN이 있는지 확인합니다.
SetSPN -L vmlab\svcSQL
다음 문자열이 표시되어야 합니다.
MSSQLSVC/MySqlCluster
PerformancePoint Services 서비스 계정에서 SSAS 서비스에 대한(선택적으로 SQL Server 서비스용) Kerberos 제한 위임 구성
PerformancePoint Services에서 클라이언트 ID를 위임할 수 있도록 하려면 Kerberos 제한 위임을 구성해야 합니다. 또한 WIF C2WTS를 통해 클레임 토큰을 Windows 토큰으로 변환할 수 있도록 프로토콜 전환을 사용하여 제한 위임을 구성해야 합니다.
PerformancePoint가 인증하는 각 백 엔드 서비스로 자격 증명을 위임하려면 PerformancePoint Services를 실행하는 각 서버를 신뢰해야 합니다. 또한 동일한 백 엔드 서비스로의 위임을 허용하도록 PerformancePoint Services 서비스 계정을 구성해야 합니다. SharePoint 목록을 PerformancePoint 대시보드의 선택적 데이터 원본으로 포함하기 위해, HTTP/Portal 및 HTTP/Portal.vmlab.local도 위임 가능하도록 구성됩니다.
이 예제에서는 다음 위임 경로를 정의합니다.
| 사용자 유형 | 사용자 이름 |
|---|---|
사용자 |
Vmlab\svcC2WTS |
사용자 |
Vmlab\svcPPS |
제한 위임을 구성하려면
Active Directory 사용자 및 컴퓨터에서 Active Directory 개체의 속성을 엽니다.
위임 탭으로 이동합니다.
지정한 서비스에 대한 위임용으로만 이 컴퓨터 트러스트를 선택합니다.
모든 인증 프로토콜 사용을 선택합니다.
추가 단추를 클릭하여 서비스 사용자를 선택합니다.
사용자 및 컴퓨터를 선택합니다.
위임할 서비스를 실행 중인 서비스 계정을 선택합니다.
참고
선택한 서비스 계정에는 SPN이 적용되어 있어야 합니다. 이 예제에서는 해당 계정의 SPN을 이전 시나리오에서 구성했습니다.
확인을 클릭합니다.
위임할 SPN을 선택하고 확인을 클릭합니다.
이 계정이 위임된 자격 증명을 사용할 수 있는 서비스 목록에 선택한 SPN이 표시됩니다.
이 섹션 앞부분에서 정의한 각 위임 경로에 대해 이 단계를 반복합니다.
SharePoint Server 구성
PerformancePoint Services 서버에서 Windows 토큰 서비스에 대한 클레임 구성 및 시작
C2WTS(Windows 토큰 서비스에 대한 클레임)는 WIF(Windows Identity Foundation)의 구성 요소로, 사용자 클레임 토큰을 Windows 토큰으로 변환합니다. PerformancePoint Services는 Windows 인증을 사용하는 백 엔드 시스템으로 자격 증명을 위임해야 할 때 C2WTS를 사용하여 사용자의 클레임 토큰을 Windows 토큰으로 변환합니다. WIF는 SharePoint Server 2010과 함께 배포되며, C2WTS는 중앙 관리에서 시작할 수 있습니다.
각 PerformancePoint Services 응용 프로그램 서버는 로컬에서 C2WTS를 실행해야 합니다. C2WTS는 포트를 열지 않으며 원격 호출기를 통해 액세스할 수 없습니다. 또한 로컬 호출 클라이언트 ID를 신뢰하도록 C2WTS 서비스 구성 파일을 구성해야 합니다.
로컬 시스템(기본 구성)이 아닌 전용 서비스 계정을 사용하여 C2WTS를 실행하는 것이 가장 좋습니다. C2WTS 계정에는 서비스가 실행되는 각 서버에 대한 특수한 로컬 권한이 필요하므로, 서버에서 서비스를 시작할 때마다 이러한 권한을 구성해야 합니다. 가장 좋은 방법은 C2WTS를 시작하기 전에 로컬 서버에서 서비스 계정 권한을 구성하는 것이지만, C2WTS를 시작한 후에 권한을 구성하는 경우에는 Windows 서비스 관리 콘솔(services.msc)에서 C2WTS를 다시 시작할 수 있습니다.
C2WTS를 시작하려면
Active Directory에서 서비스를 실행할 서비스 계정을 만듭니다. 이 예제에서는 vmlab\svcC2WTS를 만들었습니다.
서비스 계정에 임의의 SPN(서비스 사용자 이름)을 추가하여 Active Directory 사용자 및 컴퓨터에서 해당 계정에 대한 위임 옵션을 표시합니다. 여기서는 Kerberos 인증을 사용하여 C2WTS에 인증하지 않으므로 SPN의 형식은 어떤 형식이든 관계없습니다. 그러나 환경에서 중복 SPN을 만들지 않도록 HTTP SPN은 사용하지 않는 것이 좋습니다. 이 예제에서는 다음 명령을 사용하여 SP/C2WTS를 vmlab\svcC2WTS에 등록했습니다.
SetSPN -S SP/C2WTS vmlab\svcC2WTSC2WTS 서비스 계정에 대해 Kerberos 제한 위임을 구성합니다. 이 시나리오에서는 MSOLAPsvc.3/MySqlCluster.vmlab.local 서비스 사용자 이름을 사용하여 실행되는 SQL Server 서비스에 자격 증명을 위임합니다.
다음으로 C2WTS에 필요한 로컬 서버 권한을 구성합니다. C2WTS가 실행되는 각 서버(이 예제에서는 VMSP10APP01)에서 이러한 권한을 구성해야 합니다. 서버에 로그온한 후에 C2WTS에 다음 권한을 부여합니다.
로컬 Administrators 그룹에 서비스 계정을 추가합니다.
사용자 권한 할당 아래의 로컬 보안 정책(secpol.msc)에서 서비스 계정에 다음 권한을 부여합니다.
운영 체제의 일부로 작동
인증 후 클라이언트 가장
서비스로 로그온
중앙 관리를 엽니다.
보안 섹션의 관리 서비스 계정 구성 아래에서 C2WTS 서비스 계정을 관리되는 계정으로 등록합니다.
서비스 아래에서 서버의 서비스 관리를 선택합니다.
오른쪽 위의 서버 선택 상자에서 PerformancePoint Services를 실행하는 서버를 선택합니다. 이 예제에서 해당 서버는 VMSP10APP01입니다.
Windows 토큰 서비스에 대한 클레임을 찾아서 시작합니다.
보안 섹션의 서비스 계정 관리로 이동하여 C2WTS의 ID를 새 관리되는 계정으로 변경합니다.
참고
전용 서비스 계정을 구성하기 전에 C2WTS가 이미 실행 중이었거나 C2WTS를 실행한 후에 서비스 계정 권한을 변경해야 하는 경우에는 서비스 콘솔에서 C2WTS를 다시 시작해야 합니다.
또한 서비스를 다시 시작한 후에 C2WTS에서 문제가 발생하면 C2WTS와 통신하는 IIS 응용 프로그램 풀을 다시 설정해야 할 수도 있습니다.
WIF C2WTS 서비스에 대해 시작 종속성 추가
시스템 다시 부팅 후에 C2WTS가 자동으로 시작되지 않을 수 있는 알려진 문제가 있습니다. 이 문제를 해결하려면 Cryptographic Services 서비스에 대한 서비스 종속성을 구성합니다.
명령 프롬프트 창을 엽니다.
sc config c2wts depend= CryptSvc를 입력합니다.
서비스 콘솔에서 Windows 토큰 서비스에 대한 클레임을 찾습니다.
서비스의 속성을 엽니다.
종속성 탭에 Cryptographic Services가 표시되어 있는지 확인합니다.
확인을 클릭합니다.
PerformancePoint Services 서버에서 PerformancePoint Services 서비스 인스턴스 시작
PerformancePoint Services 서비스 응용 프로그램을 만들기 전에 지정된 팜 서버에서 PerformancePoint Services 서비스를 시작합니다. PerformancePoint Services 구성에 대한 자세한 내용은 PerformancePoint Services 관리를 참조하십시오.
중앙 관리를 엽니다.
서비스 아래에서 서버의 서비스 관리를 선택합니다.
오른쪽 위의 서버 선택 상자에서 PerformancePoint Services를 실행하는 서버를 선택합니다. 이 예제에서 해당 서버는 VMSP10APP01입니다.
PerformancePoint Service 서비스를 시작합니다.
PerformancePoint Services 서비스 응용 프로그램 및 프록시 만들기
다음으로 웹 응용 프로그램에서 PerformancePoint Services 서비스를 사용할 수 있도록 새 PerformancePoint Services 서비스 응용 프로그램 및 응용 프로그램 프록시를 구성합니다.
중앙 관리를 엽니다.
프로그램 관리 아래에서 서비스 응용 프로그램 관리를 선택합니다.
새로 만들기를 선택하고 PerformancePoint Services 응용 프로그램을 클릭합니다.
새 서비스 응용 프로그램을 구성합니다. 이때 정확한 서비스 계정을 선택하거나, 이전에 이 단계를 수행하지 않은 경우에는 관리되는 계정을 새로 만들어야 합니다.
참고
이 시나리오에서는 원하는 경우에만 무인 서비스 계정을 구성하면 됩니다. 무인 서비스 계정은 NTLM 인증도 테스트하려는 경우에만 사용합니다.
PerformancePoint Services 전용 기존 응용 프로그램 풀에 대해 새 서비스 계정을 만들어 등록하는 작업은 이 단계를 수행하기 전이나 새 PerformancePoint Service를 만들 때 수행할 수 있습니다. 서비스 계정을 PerformancePoint 전용 기존 응용 프로그램 풀에 연결하거나 기존 계정을 확인하려면 다음을 실행합니다.
SharePoint 중앙 관리로 이동하여 보안 섹션에서 관리되는 계정 구성을 찾습니다.
드롭다운 상자를 선택하고 응용 프로그램 풀을 선택합니다.
Active Directory 계정을 선택합니다.
PerformancePoint Services 서비스 계정에 웹 응용 프로그램 콘텐츠 데이터베이스에 대한 권한 부여
SharePoint Server 2010 Office Web Applications를 구성할 때는 웹 응용 프로그램의 서비스 계정이 지정된 웹 응용 프로그램용 콘텐츠 데이터베이스에 액세스할 수 있도록 허용하는 단계를 수행해야 합니다. 이 예제에서는 Windows PowerShell을 통해 PerformancePoint Services 계정에 "포털" 웹 응용 프로그램 콘텐츠 데이터베이스에 대한 액세스 권한을 부여합니다.
SharePoint 2010 관리 셸에서 다음 명령을 실행합니다.
$w = Get-SPWebApplication -Identity http://portal
$w.GrantAccessToProcessIdentity("vmlab\svcPPS")
PerformancePoint Services 신뢰할 수 있는 파일 위치 및 인증 설정 구성
PerformancePoint Services 응용 프로그램을 만든 후에는 새 서비스 응용 프로그램에서 속성을 구성하여 신뢰할 수 있는 호스트 위치 및 인증 설정을 지정해야 합니다.
중앙 관리를 엽니다.
프로그램 관리 아래에서 서비스 응용 프로그램 관리를 선택합니다.
새 서비스 응용 프로그램인 PerformancePoint Services를 클릭하고 리본 메뉴에서 관리 단추를 클릭합니다.
PerformancePoint Services 관리 화면에서 신뢰할 수 있는 데이터 원본 위치를 클릭합니다.
특정 위치만 옵션을 선택하고 신뢰할 수 있는 데이터 원본 위치 추가를 클릭합니다.
위치 URL을 입력하고 사이트 모음 및 하위 트리 옵션을 선택한 후에 확인을 클릭합니다.
특정 위치만 옵션을 선택하고 신뢰할 수 있는 데이터 원본 위치 추가를 클릭합니다.
위치 URL을 입력하고 사이트 및 하위 트리 옵션을 선택한 후에 확인을 클릭합니다.
PerformancePoint Service 제한 위임 확인
SQL Server AS 데이터 연결을 사용하여 테스트 PerformancePoint 대시보드를 만듭니다.
다음으로 PerformancePoint 대시보드 디자이너를 열고 Analysis Services 데이터 연결을 만듭니다.
PerformancePoint 대시보드 디자이너를 열고 데이터 원본을 마우스 오른쪽 단추로 클릭하여 연결을 만듭니다.
Analysis Services를 선택합니다.
서버, 데이터베이스 및 큐브를 지정하고 사용자별 ID를 선택합니다.
데이터 원본 테스트를 클릭하여 연결을 테스트합니다.
보고서와 대시보드를 만듭니다.
세부 정보 창에서 보고서 디자이너로 측정값 및 차원을 끌어 데이터 연결이 설정되어 있는지 확인합니다.
보고서를 대시보드에 포함할 수 있습니다.
보고서를 선택하고 내 보고서를 대시보드 콘텐츠 페이지로 끕니다.
SharePoint Server에 대시보드 게시
PerformancePoint Services 응용 프로그램을 확인하는 마지막 단계에서는 대시보드를 게시하고 Analysis Services 데이터 새로 고침 및 표시를 테스트합니다. 이렇게 하려면 다음을 실행합니다.
밝은 색 파일 단추 아이콘을 선택합니다.
파일 선택에서 배포를 클릭합니다.
대시보드를 게시할 마스터 페이지를 선택합니다.
브라우저에서 새로 고침 단추를 클릭합니다.
데이터 연결이 새로 고쳐지면 PerformancePoint Services용으로 Kerberos 위임이 정상적으로 구성된 것입니다.