다음을 통해 공유

SharePoint Server에서 보안 저장소 서비스 구성

  • 아티클

적용 대상:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

이 문서에서는 SharePoint Server 팜에서 Secure Store Service를 구성하는 방법을 설명합니다. Secure Store를 사용할 때는 계획과 관련하여 중요한 사항을 고려해야 합니다. 이 문서의 절차를 시작하기 전에 SharePoint Server의 보안 저장소 서비스 계획의 내용을 확인하십시오.

SharePoint Server에서 Secure Store 구성

Secure Store Service는 응용 프로그램 및 프런트 엔드 서버 역할에서 실행됩니다. Secure Store 서비스 응용 프로그램을 만들 때 자동으로 구축됩니다.

보안 저장소를 구성하려면 다음 단계를 수행합니다.

  1. 보안 저장소 응용 프로그램 풀을 실행할 관리되는 계정을 SharePoint Server에 등록합니다.

  2. 팜의 애플리케이션 서버에서 보안 저장소 서비스를 시작합니다. (SharePoint Server 2013에만 해당)

  3. Secure Store Service 서비스 응용 프로그램을 만듭니다.

응용 프로그램 풀을 실행하려면 표준 도메인 계정이 필요합니다. 이 계정에는 특별한 사용 권한이 필요하지 않습니다. Active Directory에서 계정을 만든 후 다음 단계에 따라 SharePoint Server에서 해당 계정을 등록합니다.

관리되는 계정을 등록하려면

  1. SharePoint 중앙 관리 웹 사이트 홈 페이지의 왼쪽 탐색 영역에서 보안을 클릭합니다.

  2. 보안 페이지의 일반 보안 섹션에서 관리되는 계정 구성을 클릭합니다.

  3. 관리되는 계정 페이지에서 관리되는 계정 등록을 클릭합니다.

  4. 사용자 이름 상자에 계정 이름을 입력합니다.

  5. 암호 상자에 계정 암호를 입력합니다.

  6. SharePoint Server에서 계정 암호 변경을 처리하도록 하려면 자동으로 암호 변경 상자를 선택하고 사용할 암호 변경 매개 변수를 지정합니다.

  7. 확인을 클릭합니다.

SharePoint Server 2013을 사용하는 경우 팜의 응용 프로그램 서버에서 Secure Store Service를 시작해야 합니다. (SharePoint Server 2016을 사용 중인 경우 MinRole에 의해 서비스가 자동으로 시작됩니다.)

Secure Store Service를 시작하려면(SharePoint Server 2013)

  1. 중앙 관리 홈 페이지의 시스템 설정 섹션에서 서버의 서비스 관리를 클릭합니다.

  2. 서비스 목록 위에서 서버 드롭다운 목록을 클릭하고 서버 변경을 클릭합니다.

  3. Secure Store Service를 실행할 응용 프로그램 서버를 선택합니다.

  4. 서비스 목록에서 Secure Store Service 옆에 있는 시작을 클릭합니다.

다음으로 Secure Store Service 서비스 응용 프로그램을 만들어야 합니다. 다음 절차에 따라 서비스 응용 프로그램을 만듭니다.

Secure Store Service 서비스 응용 프로그램을 만들려면

  1. 중앙 관리 홈 페이지의 응용 프로그램 관리 섹션에서 서비스 응용 프로그램 관리를 클릭합니다.

  2. 서비스 응용 프로그램 관리 페이지에서 새로 만들기를 클릭한 다음 Secure Store Service를 클릭합니다.

  3. 서비스 응용 프로그램 상자에 서비스 응용 프로그램의 이름을 Secure Store Service와 같이 입력합니다.

  4. 데이터베이스 서버 상자에 보안 저장소 데이터베이스를 만들 SQL Server의 인스턴스를 입력합니다.

    참고

    보안 저장소 데이터베이스는 중요한 정보를 포함하므로 나머지 SharePoint Server과는 다른 SQL Server 인스턴스에 보안 저장소 데이터베이스를 배포하는 것이 좋습니다.

  5. 새 응용 프로그램 풀 만들기 옵션을 선택하고 텍스트 상자에 응용 프로그램 풀의 이름을 입력합니다.

  6. 보안 계정 구성 옵션을 선택하고 드롭다운 목록에서 앞에서 관리되는 계정을 만든 계정을 선택합니다.

  7. 확인을 클릭합니다.

이제 Secure Store Service가 구성되었습니다. 다음 단계에서는 보안 저장소 데이터베이스 암호화를 위한 암호화 키를 생성합니다.

보안 저장소 암호화 키 사용

Secure Store Service를 사용하기 전에 암호화 키를 생성해야 합니다. 이 키는 Secure Store Service 데이터베이스에 저장되는 자격 증명을 암호화하고 암호를 해독하는 데 사용됩니다.

암호화 키 생성

Secure Store Service 응용 프로그램에 처음 액세스할 때는 새 암호화 키 생성 옵션만 제공됩니다. 키가 생성되고 나면 나머지 보안 저장소 기능을 사용할 수 있습니다.

새 암호화 키를 생성하려면

  1. 중앙 관리 홈 페이지의 응용 프로그램 관리 섹션에서 서비스 응용 프로그램 관리를 클릭합니다.

  2. Secure Store Service 응용 프로그램을 클릭합니다.

  3. 키 관리 그룹에서 새 키 생성을 클릭합니다.

  4. 새 키 생성 페이지의 암호 상자에 암호 문자열을 입력하고 암호 확인 상자에도 같은 문자열을 입력합니다. 이 암호는 보안 저장소 데이터베이스를 암호화하는 데 사용됩니다.

    중요

    통과 구 문자열은 8자 이상이어야 하며 대문 >>> 자 소문자 숫자 다음 > 특수 문자 > "! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

    중요

    입력한 암호는 저장되지 않습니다. 따라서 암호를 기록해 두고 안전한 장소에 보관해야 합니다. 서버 팜에 새 응용 프로그램 서버를 추가할 때와 같이 키를 새로 고칠 때 이 암호를 사용해야 합니다.

  5. 확인을 클릭합니다.

보안을 위한 예방 조치로 또는 일상적인 유지 관리의 일환으로 새 암호화 키를 생성하고 새 키를 기반으로 강제로 Secure Store Service를 다시 암호화할 수도 있습니다. 이러한 작업의 경우에도 위와 동일한 절차를 수행하면 됩니다.

주의

새 키를 생성하기 전에 Secure Store Service 응용 프로그램의 데이터베이스를 백업해야 합니다.

보안 저장소 암호화 키 새로 고침

암호화 키를 새로 고치면 팜의 모든 응용 프로그램 서버로 키가 전파됩니다. 다음에 해당하는 경우 암호화 키를 새로 고쳐야 할 수 있습니다.

  • 서버 팜에 새 응용 프로그램 서버를 추가하는 경우

  • 암호화 키가 변경된 상태에서 이전에 백업한 Secure Store Service 데이터베이스를 복원하는 경우

  • "마스터 키를 가져올 수 없습니다."라는 오류 메시지가 나타나는 경우

암호화 키를 새로 고치려면

  1. 중앙 관리 홈 페이지의 응용 프로그램 관리 섹션에서 서비스 응용 프로그램 관리를 클릭합니다.

  2. Secure Store Service 응용 프로그램을 클릭합니다.

  3. 키 관리 그룹에서 키 새로 고침을 클릭합니다.

  4. ** 암호 ** 상자에 처음에 암호화 키를 생성하는 데 사용한 암호를 입력합니다.

    이 암호는 Secure Store Service 서비스 응용 프로그램을 초기화할 때 사용한 암호 또는 새 키 생성 명령을 사용하여 새 키를 생성할 때 사용한 암호 중 하나입니다.

  5. 확인을 클릭합니다.

보안 저장소에 자격 증명 저장

보안 저장소에 자격 증명을 저장하려면 보안 저장소 대상 응용 프로그램을 사용합니다. 대상 응용 프로그램은 사용자, 그룹 또는 클레임의 자격 증명을 보안 저장소 데이터베이스에 저장되어 있는 암호화된 자격 증명 집합으로 매핑합니다. 대상 응용 프로그램을 만든 후에는 외부 콘텐츠 형식 또는 응용 프로그램 모델에 연결하거나 Excel Online, Visio Services 등의 비즈니스 인텔리전스 서비스에서 외부 데이터 원본에 대한 액세스를 제공하는 데 사용할 수 있습니다. SharePoint Server 서비스 응용 프로그램이 대상 응용 프로그램을 호출하면 보안 저장소에서는 요청을 수행하는 사용자가 대상 응용 프로그램에 대해 권한이 부여된 사용자임을 확인한 후 암호화된 자격 증명을 검색합니다. SharePoint Server 서비스 응용 프로그램에서는 사용자 대신 이 자격 증명을 사용합니다.

대상 응용 프로그램을 만들려면 다음을 수행해야 합니다.

  1. 보안 저장소 데이터베이스에 저장할 자격 증명의 유형, 대상 응용 프로그램의 관리자 및 자격 증명 소유자를 지정하여 대상 응용 프로그램 자체를 만듭니다.

  2. 저장할 자격 증명을 지정합니다.

대상 응용 프로그램 만들기

대상 응용 프로그램은 중앙 관리의 Secure Store Service 응용 프로그램 페이지에서 구성합니다. 다음 절차에 따라 대상 응용 프로그램을 만듭니다.

대상 응용 프로그램을 만들려면

  1. 중앙 관리 홈 페이지의 응용 프로그램 관리 섹션에서 서비스 응용 프로그램 관리를 클릭합니다.

  2. Secure Store Service 응용 프로그램을 클릭합니다.

  3. 대상 응용 프로그램 관리 그룹에서 새로 만들기를 클릭합니다.

  4. 대상 응용 프로그램 ID 상자에 텍스트 문자열을 입력합니다.

    이 문자열은 외부에서 해당 대상 응용 프로그램을 식별하는 데 사용할 고유 문자열입니다.

  5. 표시 이름 상자에 사용자 인터페이스에 대상 응용 프로그램의 식별자를 표시하는 데 사용할 텍스트 문자열을 입력합니다.

  6. 담당자 전자 메일 상자에 이 대상 응용 프로그램에 대한 기본 담당자의 전자 메일 주소를 입력합니다.

    이 주소는 유효한 모든 전자 메일 주소일 수 있으며 Secure Store Service 응용 프로그램 관리자의 ID일 필요는 없습니다.

  7. 개별 형식의 대상 응용 프로그램을 만드는 경우(아래 참조) 사용자가 대상 데이터 원본에 대한 개별 자격 증명을 추가하는 데 사용할 수 있는 사용자 지정 웹 페이지를 구현할 수 있습니다. 이렇게 하려면 자격 증명을 대상 응용 프로그램에 전달하기 위한 사용자 지정 코드가 있어야 합니다. 이를 수행한 경우 대상 응용 프로그램 페이지 URL 필드에 이 페이지의 전체 URL을 입력합니다. 다음과 같은 세 가지 옵션이 있습니다.

  • 기본 페이지 사용: 대상 애플리케이션을 사용하여 외부 데이터에 액세스하는 모든 웹 사이트에는 자동으로 추가된 개별 등록 페이지가 있습니다. 이 페이지의 URL은 http:/samplesite>/<_layouts/SecureStoreSetCredentials.aspx인가요? TargetAppId=<TargetApplicationID>. 여기서 <TargetApplicationID>는 대상 애플리케이션 ID 상자에 입력된 문자열입니다. 이 페이지의 위치를 공개하면 사용자가 외부 데이터 원본에 대한 자격 증명을 추가할 수 있게 됩니다.

  • 사용자 지정 페이지 사용: 사용자가 개별 자격 증명을 제공할 수 있도록 하는 사용자 지정 웹 페이지를 제공합니다. 이 필드에는 사용자 지정 페이지의 URL을 입력합니다.

  • 없음: 등록 페이지가 없습니다. Secure Store Service 응용 프로그램을 사용하는 Secure Store Service 관리자만 개별 자격 증명을 추가할 수 있습니다.

  1. 대상 응용 프로그램 형식 드롭다운 목록에서 그룹 자격 증명에 대해서는 대상 응용 프로그램 형식을 그룹으로 선택하고 각 사용자가 외부 데이터 원본의 고유한 자격 증명 집합에 매핑되는 경우에는 개별로 선택합니다.

    참고

    대상 애플리케이션을 만들기 위한 두 가지 기본 형식이 > 있습니다. 그룹- 하나 이상의 그룹의 모든 멤버를 외부 데이터 원본의 단일 자격 증명 집합에 매핑하기 위한 것입니다. > 개별- 각 사용자를 외부 데이터 원본의 고유한 자격 증명 집합에 매핑합니다.

  2. 다음을 클릭합니다.

  3. 보안 저장소 대상 애플리케이션에 대한 자격 증명 필드 지정 페이지를 사용하여 외부 데이터 원본에 자격 증명을 제공하는 데 필요할 수 있는 다양한 필드를 구성합니다. 기본적으로 Windows 사용자 이름Windows 암호의 두 필드가 나열됩니다.

    외부 데이터 원본에 자격 증명을 제공하기 위한 필드를 추가하려면 보안 저장소 대상 응용 프로그램에 대한 자격 증명 필드를 지정하십시오. 페이지에서 필드 추가를 클릭합니다.

    기본적으로 새 필드의 형식은 제네릭입니다. 사용할 수 있는 필드 형식은 다음과 같습니다.

필드 설명
일반
다른 범주에 적합하지 않은 값입니다.
사용자 이름
사용자를 식별하는 사용자 계정입니다.
Password
단어 또는 구 형태의 암호입니다.
PIN
개인식별번호(PIN)입니다.

암호화 알고리즘 또는 암호화의 기능 출력을 결정하는 매개 변수입니다.
Windows 사용자 이름
사용자를 식별하는 Windows 사용자 계정입니다.
Windows 암호
Windows 계정에 대한 단어 또는 구 형태의 암호입니다.
인증서
인증서입니다.
인증서 암호
인증서의 암호입니다.

  • 새 필드 또는 기존 필드의 형식을 변경하려면 필드 형식 옆에 나타나는 화살표를 클릭한 다음 새 필드 형식을 선택합니다.

    참고

    이 대상 응용 프로그램에 대해 자격 증명을 설정할 때 추가하는 모든 필드에는 데이터가 있어야 합니다.

  • 필드와 상호 작용할 때 사용자에게 표시되는 이름을 변경할 수 있습니다. 보안 저장소 대상 애플리케이션에 대한 자격 증명 필드 지정 페이지의 필드 이름 열에서 현재 텍스트를 선택하고 새 텍스트를 입력하여 필드 이름을 변경합니다.

  • 필드가 마스킹되어 있으면 사용자가 입력하는 각 문자가 표시되지 않고 별표(“*”) 같은 마스크 문자로 대체됩니다. 필드를 마스킹하려면 페이지의 마스킹됨 열에서 해당 필드의 확인란을 클릭합니다.

  • 필드를 삭제하려면 페이지의 삭제 열에서 해당 필드에 대한 삭제 아이콘을 클릭합니다.

    자격 증명 필드의 편집을 마쳤으면 다음을 클릭합니다.

  1. 멤버 자격 설정을 지정하십시오. 페이지의 대상 응용 프로그램 관리자 필드에 대상 응용 프로그램 설정을 관리하기 위한 액세스 권한이 있는 모든 사용자를 나열합니다.

  2. 대상 응용 프로그램 형식이 그룹인 경우에는 구성원 필드에 해당 대상 응용 프로그램에 대한 자격 증명 집합에 매핑할 사용자 그룹을 나열합니다.

  3. 확인을 클릭하여 대상 응용 프로그램 구성을 완료합니다.

보안 저장소 대상 응용 프로그램에 대한 자격 증명 설정

대상 응용 프로그램을 만든 후 해당 대상 응용 프로그램의 관리자는 응용 프로그램에 대해 자격 증명을 설정할 수 있습니다. 이러한 자격 증명은 호출하는 응용 프로그램에서 외부 데이터 원본 액세스 권한을 제공하는 데 사용됩니다. 대상 응용 프로그램 형식이 개별이면 사용자가 자격 증명을 직접 제공하도록 할 수도 있습니다.

대상 응용 프로그램에 대한 자격 증명을 설정하려면

  1. 중앙 관리 홈 페이지의 응용 프로그램 관리 섹션에서 서비스 응용 프로그램 관리를 클릭합니다.

  2. Secure Store Service 응용 프로그램을 클릭합니다.

  3. 대상 응용 프로그램 목록에서 자격 증명을 설정할 대상 응용 프로그램을 가리키고 나타나는 화살표를 클릭한 다음 메뉴에서 자격 증명 설정을 클릭합니다.

    대상 응용 프로그램 형식이 그룹이면 외부 데이터 원본에 대한 자격 증명을 입력합니다. 외부 데이터 원본에 필요한 정보에 따라 자격 증명을 설정하기 위한 필드가 달라집니다.

    대상 응용 프로그램 형식이 개별인 경우 외부 데이터 원본의 자격 증명 집합에 매핑되는 개인의 사용자 이름을 입력하고 외부 데이터 원본에 대한 자격 증명을 입력합니다. 외부 데이터 원본에 필요한 정보에 따라 자격 증명을 설정하기 위한 필드가 달라집니다.

  4. 확인을 클릭합니다.

자격 증명을 설정한 대상 응용 프로그램은 Business Connectivity Services, Excel Services 또는 Visio Services 등의 SharePoint Server 서비스에서 사용할 수 있습니다.

보안 저장소 감사 로그 사용

Secure Store Service에 대한 감사 항목은 Secure Store Service 데이터베이스에 저장됩니다. 기본적으로 감사 로그 파일은 사용하지 않도록 설정됩니다.

감사 로그에는 작업이 수행된 시간, 작업 성공 여부, 작업이 실패한 경우 이유, 작업을 수행한 Secure Store Service 사용자, 그리고 어떤 Secure Store Service 사용자를 대신해 작업을 수행했는지(선택 사항)에 대한 정보가 저장됩니다. 따라서 인증 문제를 해결하려는 경우 감사 로그 파일을 사용해야 합니다.

중앙 관리를 통해 감사 로그를 사용하도록 설정하려면

  1. 중앙 관리 홈 페이지의 응용 프로그램 관리 섹션에서 서비스 응용 프로그램 관리를 클릭합니다.

  2. Secure Store Service 응용 프로그램을 선택합니다. 이때 서비스 응용 프로그램을 선택만 하고 링크를 클릭하여 Secure Store Service 응용 프로그램 설정 페이지로 이동하지는 않습니다.

  3. 리본 메뉴에서 속성을 클릭합니다.

  4. 감사 사용 섹션에서 감사 로그 사용 상자를 클릭하여 선택합니다.

  5. 항목이 감사 로그 파일에서 제거될 때까지의 기간(일)을 변경하려면 로그 보관 일 수 필드에 기간을 일 단위로 지정합니다. 기본값은 30일입니다.

  6. 확인을 클릭합니다.

참고 항목

기타 리소스

Secure Store Service cmdlets in SharePoint 2013