PowerPivot 인증 및 권한 부여 계획
SharePoint 2010 팜에서 실행되는 PowerPivot for SharePoint 배포에서는 SharePoint 서버에서 제공되는 인증 하위 시스템과 권한 부여 모델을 사용합니다. 모든 PowerPivot 관련 콘텐츠는 SharePoint 콘텐츠 데이터베이스에 저장되고 모든 PowerPivot 관련 처리는 팜의 PowerPivot 공유 서비스에서 수행되므로 SharePoint 보안 인프라는 PowerPivot 콘텐츠 및 작업까지 포함합니다. PowerPivot 데이터가 포함된 통합 문서를 요청하는 사용자는 Windows 사용자 ID를 기반으로 하는 SharePoint 사용자 ID를 사용하여 인증됩니다. 통합 문서에 대한 보기 권한에 따라 요청이 허용되는지 여부가 결정됩니다.
SharePoint 인증은 PowerPivot 데이터 처리 및 PowerPivot 서비스에 대한 모든 수준의 액세스에 독점적으로 사용됩니다. Excel 통합 문서 내에서 시각화되는 PowerPivot 데이터의 경우 통합 문서에서 행 또는 테이블 수준에서 보안을 세분화할 수 있는 하위 수준 인증이 없습니다. 따라서 통합 문서의 여러 부분에 대해 각각 보안을 설정하여 특정 사용자에게 해당 부분에 포함된 중요 데이터에 대한 액세스를 허용하거나 거부할 수 없습니다. 또한, Analysis Services 역할 기반 보안 기능을 적용하여 Excel 통합 문서에서 PowerPivot 데이터를 보호할 수 없습니다. 포함된 PowerPivot 데이터는 모두 SharePoint 라이브러리의 Excel 통합 문서에 대해 보기 권한이 있는 사용자가 사용할 수 있습니다.
셀프 서비스 데이터 분석을 위해 Excel 서비스와의 통합이 필요하므로 PowerPivot 서버에 대한 보안을 설정하려면 Excel 서비스 보안에 대해서도 잘 알고 있어야 합니다. 사용자가 PowerPivot 데이터에 대한 데이터 연결이 있는 피벗 테이블을 쿼리할 경우 Excel 서비스에서는 데이터 연결 요청을 팜의 PowerPivot 서버에 전달하여 데이터를 로드합니다. 서버 간의 이러한 상호 작용을 위해서는 상호 호환되는 보안 설정을 구성하는 방법을 잘 알고 있어야 합니다.
다음 링크를 클릭하여 이 항목의 특정 섹션을 확인할 수 있습니다.
PowerPivot for SharePoint에서 지원되는 인증 공급자
사용자 권한 부여
SharePoint 사용 권한
PowerPivot 통합 문서에 Excel 서비스 보안 사용
PowerPivot for SharePoint에서 지원되는 인증 공급자
PowerPivot for SharePoint는 Windows 인증을 사용하도록 구성된 SharePoint 웹 응용 프로그램에 대해 지원됩니다. Windows 인증은 PowerPivot 웹 서비스에 의해 처리되는 데이터 연결, 특히 팜 외부에서 실행되는 응용 프로그램이 보내는 요청에 필요합니다. 이 요구 사항이 충족되면 나중에 PowerPivot 웹 서비스에서 사용할 수 있도록 클라이언트 응용 프로그램에서 웹 응용 프로그램으로 사용자의 Windows 보안 토큰이 올바르게 전송됩니다.
[!참고]
웹 서비스에서 처리하는 연결 유형에 대한 자세한 내용은 PowerPivot 웹 서비스(PowerPivot for SharePoint)를 참조하십시오.
보다 일반적인 데이터 액세스 시나리오(PowerPivot 데이터가 데이터를 렌더링하는 Excel 통합 문서에서 추출됨)의 경우 Windows 인증이 필요하지 않지만 PowerPivot for SharePoint를 기타 인증 공급자를 사용하도록 구성된 SharePoint 웹 응용 프로그램과 함께 사용하지 마십시오. 그렇게 하면 사용자가 PowerPivot 통합 문서에 외부 데이터 원본으로 연결하려고 할 때마다 연결이 실패합니다.
응용 프로그램의 인증 공급자를 확인하는 방법
기존 웹 응용 프로그램의 경우 다음 지침에 따라 응용 프로그램이 Windows 인증을 사용하도록 구성되어 있는지 확인합니다. 새 웹 응용 프로그램을 만들 경우에는 새 웹 응용 프로그램 만들기 페이지에서 클래식 모드 인증 옵션을 선택해야 합니다.
중앙 관리의 응용 프로그램 관리에서 웹 응용 프로그램 관리를 클릭합니다.
웹 응용 프로그램을 선택합니다.
인증 공급자를 클릭합니다.
각 영역에 대해 공급자가 하나씩 있고 기본 영역이 Windows로 설정되었는지 확인합니다.
도메인 계정 요구 사항 이해
프로덕션 환경에서는 Windows 도메인 사용자 또는 그룹 계정을 사용해야 합니다. 이러한 계정은 도메인 계정이어야 합니다. 로컬 Windows 사용자 또는 그룹 계정은 프로덕션 서버에서 사용할 수 없습니다.
도메인 계정 요구 사항 때문에 SharePoint 서버는 항상 도메인 컨트롤러에 네트워크를 통해 연결할 수 있어야 합니다. 이러한 요구 사항이 필요한 이유는 Windows 토큰 서비스에 대한 클레임이 Windows 도메인 사용자의 ID를 사용하여 각 요청을 인증하기 때문입니다(로컬 계정은 인증하지 않음). 인증은 각 연결에 대해 이루어집니다. Windows 토큰 서비스에 대한 클레임은 캐시된 자격 증명을 사용하지 않습니다.
클라이언트 응용 프로그램에서 서버로 전달되는 요청은 같은 도메인에 있거나 양방향 트러스트 관계가 있는 도메인 사이에 있어야 합니다. 단방향 트러스트는 서버에서 데이터를 새로 고치는 데 충분하지 않습니다.
[!참고]
회사 네트워크와 오프라인 상태인 격리된 환경에서 SharePoint 2010의 기능 및 동작을 테스트하려는 경우 Hyper-V 가상 컴퓨터에 SharePoint 2010, Excel 서비스 및 PowerPivot for SharePoint를 배포할 수 있습니다. 자세한 내용은 TechNet 웹 사이트에서 격리된 Hyper-V 환경에 단일 서버 배포(Deploy single server in an isolated Hyper-V environment)를 참조하십시오.
사용자 권한 부여
특정 유형의 요청에 대해 PowerPivot 서비스 인스턴스에서는 통합 문서를 요청하는 사용자의 SharePoint 사용자 ID를 확인하여 사용 권한을 확인하고 정확한 로그 정보를 생성하며 사용 기록을 설정합니다. PowerPivot 서버 구성 요소에서는 다음과 같은 경우에 SharePoint 사용자 ID를 사용합니다.
PowerPivot 데이터 원본에 대한 데이터 연결이 있는 피벗 테이블 또는 피벗 차트를 쿼리하는 경우. 여기서 PowerPivot 서비스 응용 프로그램은 사용자를 대신하여 데이터를 처리하는 특정 PowerPivot 서비스 인스턴스에 대한 연결을 설정합니다.
사용 가능한 데이터가 없을 때 캐시 또는 라이브러리에서 PowerPivot 데이터를 로드하는 경우. 시스템에 아직 로드되지 않은 PowerPivot 데이터에 대한 데이터 연결을 요청하면 Analysis Services 서비스 인스턴스에서 SharePoint 사용자의 Windows 사용자 ID를 사용하여 콘텐츠 라이브러리에서 데이터 원본을 검색한 후 메모리로 로드합니다.
데이터 원본의 업데이트된 복사본을 콘텐츠 라이브러리의 통합 문서에 저장하는 데이터 새로 고침 작업을 수행하는 경우. 이 경우 실제 로그온 작업은 Secure Store Service의 대상 응용 프로그램에서 검색되는 사용자 이름과 암호를 사용하여 수행됩니다. 자격 증명은 PowerPivot 무인 데이터 새로 고침 계정이거나 만들 때 데이터 새로 고침 일정에 함께 저장된 자격 증명일 수 있습니다. 자세한 내용은 PowerPivot 데이터 새로 고침에 대해 저장되는 자격 증명 구성 및 사용을 참조하십시오.
SharePoint 사용 권한
PowerPivot 통합 문서의 공유 및 공동 작업 기능을 최대한 활용하려면 통합 문서를 SharePoint 라이브러리에 게시해야 합니다. 서버 팜의 PowerPivot 서비스 인스턴스에 의한 빠른 서버측 처리, 통합되고 확장 가능한 연결, 문서 관리 기능 및 특정 통합 문서의 사용 상태 관리 기능을 활용하려면 통합 문서를 SharePoint 서버에 게시해야 합니다.
PowerPivot 통합 문서 게시, 관리 및 보안은 SharePoint 통합을 통해서만 지원됩니다. SharePoint 서버에서는 데이터에 대한 합법적인 액세스를 보장하는 인증 및 권한 부여 모델을 제공합니다. SharePoint 팜 외부에서 PowerPivot 통합 문서를 안전하게 배포할 수 있는 시나리오는 지원되지 않습니다.
서버에서 사용자는 데이터 원본에 읽기 전용으로 액세스할 수 있지만, 파일을 Excel 데스크톱 응용 프로그램으로 다운로드할 수 있는 기능이 제공됩니다. 파일에 대한 참가 권한에 따라 사용자가 파일을 로컬로 수정할 수 있는지 여부가 결정됩니다. 따라서 권한에 대한 참가 및 보기만 수준에 따라 PowerPivot 데이터에 대한 유효한 사용자 액세스 권한 집합이 정의됩니다. 기타 권한 수준은 참가 및 보기만과 동일한 사용 권한을 가진 정도로 동작합니다. 예를 들어 읽기 권한에는 보기만 권한이 포함되므로 읽기 권한이 지정된 사용자는 보기만과 동일한 수준의 액세스 권한을 가집니다.
다음 표는 PowerPivot 데이터 및 서버 작업에 대한 액세스 권한을 결정하는 사용 권한 수준을 요약한 것입니다.
사용 권한 수준 |
허용되는 태스크 |
|---|---|
팜 또는 서비스 관리자 |
서비스 및 응용 프로그램 설치, 설정 및 구성 PowerPivot 관리 대시보드 사용 및 관리 보고서 보기 |
모든 권한 |
사이트 모음 수준에서 PowerPivot 기능 통합 활성화 온라인 도움말 활성화 PowerPivot 갤러리 라이브러리 만들기 데이터 피드 라이브러리 만들기 |
참가 |
PowerPivot 통합 문서 추가, 편집, 삭제 및 다운로드 데이터 새로 고침 구성 SharePoint 사이트에서 PowerPivot 통합 문서를 기반으로 새 통합 문서 및 보고서 만들기 데이터 피드 라이브러리에서 데이터 서비스 문서 만들기 |
보기만 |
PowerPivot 통합 문서 보기 데이터 새로 고침 기록 보기 로컬 통합 문서를 SharePoint 사이트의 PowerPivot 통합 문서에 연결하여 해당 데이터를 다른 방식으로 용도 변경 통합 문서의 스냅숏 다운로드. 스냅숏은 데이터의 정적 복사본이며 슬라이서, 필터, 수식 또는 데이터 연결을 포함하지 않습니다. 스냅숏의 콘텐츠는 브라우저 창에서 셀 값을 복사할 때와 비슷합니다. |
PowerPivot 통합 문서에 Excel 서비스 보안 사용
PowerPivot 서버측 처리는 Excel 서비스와 아주 밀접하게 연관되어 있습니다. 이러한 밀접한 통합은 문서 수준에서 시작됩니다. PowerPivot 통합 문서는 PowerPivot 데이터를 포함하거나 참조하는 Excel 통합 문서 파일(.xlsx)입니다. PowerPivot 데이터에 대해서는 별도의 파일 확장명이 없습니다. 이러한 데이터는 통합 문서 내부에 저장되거나 다른 통합 문서에서 참조됩니다. SharePoint 사이트에서 PowerPivot 통합 문서를 연 경우 Excel 서비스는 포함된 PowerPivot 데이터 연결 문자열을 읽어서 해당 요청을 로컬 SQL Server 2008 R2 Analysis Services OLE DB 공급자로 전달합니다. 그러면 공급자는 연결 정보를 팜의 PowerPivot 서버로 전달합니다. 두 서버 간에 요청이 원활하게 전달되려면 PowerPivot for SharePoint에 필요한 설정을 사용하도록 Excel 서비스를 구성해야 합니다.
Excel 서비스에서 보안 관련 구성 설정은 신뢰할 수 있는 위치, 신뢰할 수 있는 데이터 공급자 및 신뢰할 수 있는 데이터 연결 라이브러리에서 지정됩니다. 다음 표에서는 PowerPivot 데이터 액세스를 허용하거나 개선하는 설정에 대해 설명합니다. 아래에 나와 있지 않은 설정은 PowerPivot 서버 연결에 영향을 주지 않습니다. 이러한 설정을 단계별로 지정하는 방법은 기존 SharePoint 서버에 PowerPivot for SharePoint 설치의 "Excel 서비스 설정" 섹션을 참조하십시오.
[!참고]
대부분의 보안 관련 설정은 신뢰할 수 있는 위치에 적용됩니다. 기본값을 유지하거나 다른 사이트에 대해 각각 다른 값을 사용하려는 경우에는 PowerPivot 데이터가 포함된 사이트에 추가로 신뢰할 수 있는 위치를 만든 다음 해당 사이트에만 다음 설정을 구성할 수 있습니다. 자세한 내용은 PowerPivot 사이트에 대한 신뢰할 수 있는 위치 만들기를 참조하십시오.
영역 |
설정 |
설명 |
|---|---|---|
웹 응용 프로그램 |
Windows 인증 공급자 |
PowerPivot이 Excel 서비스에서 가져오는 클레임 토큰을 Windows 사용자 ID로 변환합니다. Excel 서비스를 리소스로 사용하는 웹 응용 프로그램은 Windows 인증 공급자를 사용하도록 구성해야 합니다. |
신뢰할 수 있는 위치 |
위치 유형 |
이 값은 Microsoft SharePoint Foundation으로 설정해야 합니다. PowerPivot 서버는 .xlsx 파일의 복사본을 검색하여 팜의 Analysis Services 서버에 로드합니다. 서버는 콘텐츠 라이브러리에서 .xlsx 파일만 검색할 수 있습니다. |
외부 데이터 허용 |
이 값은 신뢰할 수 있는 데이터 연결 라이브러리 및 포함 라이브러리로 설정해야 합니다. PowerPivot 데이터 연결은 통합 문서에 포함됩니다. 포함된 연결을 허용하지 않을 경우 사용자는 피벗 테이블 캐시를 볼 수 있지만 PowerPivot 데이터와 상호 작용할 수는 없습니다. |
|
새로 고칠 때 경고 |
PowerPivot 갤러리를 사용하여 통합 문서 및 보고서를 저장하는 경우 이 값을 사용하지 않도록 설정해야 합니다. PowerPivot 갤러리에는 열 때마다 새로 고침 및 새로 고칠 때 경고가 모두 해제되어 있을 경우 가장 잘 작동하는 문서 미리 보기 기능이 있습니다. |
|
신뢰할 수 있는 데이터 공급자 |
MSOLAP.4 |
MSOLAP.4는 기본적으로 포함됩니다. 신뢰할 수 있는 데이터 공급자 목록에서 이 항목을 제거하지 마십시오. 이 버전의 OLE DB 공급자는 SharePoint 팜에서 PowerPivot 데이터에 대한 요청을 처리합니다. |
신뢰할 수 있는 데이터 연결 라이브러리 |
선택 사항입니다. |
PowerPivot 통합 문서에서 Office 데이터 연결 파일(.odc)을 사용할 수 있습니다. .odc 파일을 사용하여 로컬 PowerPivot 통합 문서에 연결 정보를 제공할 경우 동일한 .odc 파일을 이 라이브러리에 추가할 수 있습니다. |
사용자 정의 함수 어셈블리 |
해당 사항 없음 |
PowerPivot 서버는 Excel 서비스용으로 빌드하고 배포한 사용자 정의 함수 어셈블리의 영향을 받지 않습니다. |