비즈니스 인텔리전스 서비스 응용 프로그램의 보안 저장소

아티클
11/30/2016

적용 대상: SharePoint Server 2010

마지막으로 수정된 항목: 2016-11-30

이 문서에서는 Microsoft SharePoint Server 2010 비즈니스 인텔리전스 기능에서 Secure Store Service를 사용하여 SharePoint Server 2010 사용자가 SQL Server 등의 외부 데이터 원본에 액세스할 수 있도록 하는 방법에 대해 설명합니다. 이 문서의 설명을 위해 사용되는 SharePoint Server 2010비즈니스 인텔리전스 서비스 응용 프로그램은 다음과 같습니다.

Excel Services
PerformancePoint Services
Visio Services

SharePoint Server 2010 비즈니스 인텔리전스 서비스 응용 프로그램에서는 다음과 같은 두 가지 방식으로 사용자가 데이터에 액세스할 수 있도록 합니다.

제한된 Kerberos 위임을 사용한 Windows 통합 인증
Secure Store Service

이 문서에서는 Secure Store Service 및 비즈니스 인텔리전스 서비스 응용 프로그램과 이 서비스 간의 관계에 대해 다룹니다. 제한된 Kerberos 위임을 사용한 Windows 통합 인증을 사용하는 방법에 대한 자세한 내용은 Kerberos 인증 계획(SharePoint Server 2010)을 참조하십시오.

Secure Store Service

보안 저장소는 SQL Server 데이터 같은 SharePoint Server 2010 외부에 있는 데이터에 액세스할 수 있도록 하는 SharePoint Server 2010의 기능입니다. 이 기능에서는 이를 위해 데이터에 액세스를 시도하는 SharePoint Server 2010 사용자를 대신하여 비즈니스 인텔리전스 서비스 응용 프로그램에서 해당 데이터에 대한 액세스 권한이 있는 자격 증명 집합을 사용하도록 허용합니다. 이처럼 사용자를 대신하여 비즈니스 인텔리전스 서비스 응용 프로그램에서 자격 증명을 사용하는 것을 가장이라고 합니다.

보안 저장소에서는 대상 응용 프로그램을 사용하여 비즈니스 인텔리전스 서비스 응용 프로그램, 사용자 및 자격 증명 간에 이러한 매핑을 제공합니다. 보안 저장소 대상 응용 프로그램은 외부 데이터에 액세스할 때 비즈니스 인텔리전스 서비스 응용 프로그램에서 가장을 위해 사용할 특정 자격 증명 집합에 액세스할 수 있도록 할 사용자를 지정하는 메타데이터의 모음입니다. 이 메타데이터는 암호화된 자격 증명과 함께 보안 저장소 데이터베이스에 저장됩니다.

보안 저장소 대상 응용 프로그램은 SharePoint Server 2010 내에서 다양한 방식으로 사용할 수 있지만 SharePoint Server 2010 비즈니스 인텔리전스 시나리오를 위한 대상 응용 프로그램의 설정은 다음과 같이 구성되며 이는 팜 관리자가 구성할 수 있습니다.

관리자 대상 응용 프로그램 관리자는 지정된 보안 저장소 대상 응용 프로그램을 관리할 수 있는 권한을 가진 사용자입니다. 이는 해당 요구 사항에 따라 팜 관리자일 수도 있고 특정 사용자 또는 여러 사용자일 수도 있습니다. PerformancePoint Services에서 만들어지는 대상 응용 프로그램의 경우 PerformancePoint Services에서 관리자가 자동으로 구성되며 무인 서비스 계정을 구성하는 사용자가 관리자로 추가됩니다.
구성원 대상 응용 프로그램의 구성원은 비즈니스 인텔리전스 서비스 응용 프로그램에서 외부 데이터에 액세스할 때 대상 응용 프로그램 자격 증명을 가장할 대상 사용자입니다. 이는 단일 사용자 또는 여러 사용자일 수도 있고 Active Directory 그룹일 수도 있습니다. 구성원은 자격 증명 소유자라고도 합니다. PerformancePoint Services에서 만들어지는 대상 응용 프로그램의 경우 PerformancePoint Services 응용 프로그램 풀에서 사용되는 서비스 계정이 구성원으로 사용됩니다.
자격 증명 대상 응용 프로그램 자격 증명은 데이터 원본에 대한 직접 액세스 권한이 있는 Active Directory 계정으로 구성되어 있습니다. 외부 데이터 원본에 대한 액세스는 SharePoint Server 2010에서 제어할 수 없으므로 필요한 데이터 액세스 권한을 이 계정에 직접 부여해야 합니다. 또한 이 계정은 데이터 액세스만 허용되는 낮은 권한이 지정된 계정이어야 합니다. 비즈니스 인텔리전스 서비스 응용 프로그램에서는 이 계정을 가장하여 사용자에게 데이터에 대한 액세스 권한을 부여합니다.

관리자, 구성원 및 자격 증명은 Excel Services 및 Visio Services의 보안 저장소에서 팜 관리자가 직접 구성할 수 있습니다. PerformancePoint Services의 경우 이러한 값은 PerformancePoint Service 응용 프로그램 설정을 통해 구성하며 보안 저장소를 통해 수정해서는 안 됩니다.

Visio Services 및 Excel Services에서는 보안 저장소를 다음과 같은 두 가지 방식으로 사용할 수 있습니다.

대상 응용 프로그램 지정 Excel 워크시트 또는 Visio 웹 드로잉을 통해 특정 대상 응용 프로그램을 지정합니다. 사용자가 워크시트 또는 웹 드로잉에 액세스하면 보안 저장소에서는 데이터 액세스를 위해 해당 대상 응용 프로그램과 연결된 자격 증명을 사용합니다. Visio Services의 경우 이 대상 응용 프로그램은 SharePoint Server 2010에서 호스팅되는 ODC 파일을 사용하여 지정해야 합니다.
대상 응용 프로그램 지정 안 함(무인 서비스 계정) Excel 워크시트 또는 Visio 웹 드로잉을 통해 대상 응용 프로그램을 지정하지 않습니다. 사용자가 외부 데이터 원본에 연결된 워크시트 또는 웹 드로잉에 액세스하면 보안 저장소에서는 Excel Services 또는 Visio Services의 전역 설정에 지정된 대상 응용 프로그램을 사용합니다. 대상 응용 프로그램이 비즈니스 인텔리전스 서비스 응용 프로그램에 대해 전역적으로 지정되어 있으면 이 경우 사용되는 대상 응용 프로그램 자격 증명을 무인 서비스 계정이라고 합니다.

PerformancePoint Services에서는 특정 보안 저장소 대상 응용 프로그램을 지정할 수 없고 무인 서비스 계정으로만 보안 저장소를 사용할 수 있습니다.

기본 이벤트 발생 순서는 다음과 같습니다.

SharePoint Server 2010 사용자가 Excel Services 워크시트, Visio Services 웹 드로잉 또는 PerformancePoint Services 대시보드 같은 데이터 연결 개체에 액세스합니다.
개체가 데이터 인증을 위해 보안 저장소를 사용하도록 구성되어 있으면 비즈니스 인텔리전스 서비스 응용 프로그램에서는 Secure Store Service를 호출하여 개체에 지정된 대상 응용 프로그램에 액세스합니다.
사용자가 대상 응용 프로그램의 구성원이면 대상 응용 프로그램에 저장된 자격 증명이 반환되고 비즈니스 인텔리전스 서비스 응용 프로그램은 데이터에 액세스하는 동안 자격 증명을 가장합니다.
워크시트, 웹 드로잉 또는 대시보드 컨텍스트 내에서 데이터가 사용자에게 표시됩니다.

데이터 연결 파일

모든 비즈니스 인텔리전스 서비스 응용 프로그램에서는 데이터 연결 파일을 사용하여 인증 정보를 지정할 수 있습니다. Excel Services 및 Visio Services에서는 .ODC(Office 데이터 연결) 파일을 사용하고 PerformancePoint Services에서는 .PPSDC(PerformancePoint Services 데이터 연결) 파일을 사용합니다. 이러한 파일을 사용하면 여러 Excel Services 워크시트, Visio Services 웹 드로잉 또는 PerformancePoint Services 대시보드에서 공통된 데이터 액세스 매개 변수 집합을 공유할 수 있습니다.

각각의 SharePoint Server 2010 비즈니스 인텔리전스 서비스 응용 프로그램에서는 데이터 연결 파일을 각기 다른 방식으로 사용합니다. 각 서비스 응용 프로그램에서 데이터 연결 파일을 사용하는 방식에 대한 설명은 아래 각 서비스 응용 프로그램에 대한 섹션을 참조하십시오.

무인 서비스 계정

무인 서비스 계정은 비즈니스 인텔리전스 서비스 응용 프로그램의 전역 설정에 지정된 보안 저장소 대상 응용 프로그램의 자격 증명을 나타냅니다. 이 대상 응용 프로그램은 다른 인증 방식이 지정되어 있지 않은 경우 사용자에게 액세스를 제공하는 데 사용됩니다. Visio Services의 경우 Windows 통합 인증을 사용하지 않을 때는 항상 무인 서비스 계정을 사용해야 하며, 이는 연결 파일에 SQL 인증 문자열 같은 추가 연결 정보가 제공된 경우에도 마찬가지입니다.

클라이언트 및 서버에서의 데이터 액세스

Microsoft Excel 2010 및 Microsoft Visio 2010은 SharePoint Server 2010과 별개로 작동하는 클라이언트 응용 프로그램입니다. 이들 응용 프로그램에서는 문서를 SharePoint Server 2010에 게시할 수는 있지만 데이터 원본에 대한 인증을 위해 보안 저장소를 직접 사용할 수는 없습니다. 데이터 연결 워크시트 또는 웹 드로잉을 만들거나 편집하는 경우에는 Windows 통합 인증 또는 다른 적용 가능한 인증 방법을 사용하여 Excel 2010 또는 Visio 2010에서 데이터 원본에 직접 연결해야 합니다. 사용할 수 있는 다른 인증 방법에는 SQL 인증 또는 OLEDB 연결 문자열이 있습니다. 워크시트 또는 웹 드로잉이 SharePoint Server 2010에 게시되면 Excel Services 또는 Visio Services에서는 사용자에게 콘텐츠를 표시할 때 보안 저장소를 사용하여 데이터 원본에 연결할 수 있습니다.

PerformancePoint Services 대시보드 디자이너는 SharePoint Server 2010에 직접 통합됩니다. 대시보드 디자이너에서는 보안 저장소를 직접 사용하여 무인 서비스 계정을 통해 인증을 수행할 수 있습니다. 따라서 대시보드 디자이너 사용자는 Windows 통합 인증을 통해 데이터 원본에 직접 액세스할 필요가 없습니다. 단, 이 경우 무인 서비스 계정에 필요한 액세스 권한이 있어야 합니다.

Excel Services 및 Visio Services

Excel Services 및 Visio Services에서는 보안 저장소를 다음과 같이 유사한 방식으로 사용합니다.

둘 다 ODC 파일에 지정된 보안 저장소 대상 응용 프로그램을 저장합니다.
둘 다 무인 서비스 계정을 사용할 수 있습니다.

그러나 Excel Services와 Visio Services 간에는 몇 가지 중요한 차이점이 있으며 이는 아래 섹션에 설명되어 있습니다.

Excel Services

Excel Services에서 사용되는 데이터 연결을 SharePoint Server 2010 사이트에 게시하려면 먼저 Excel 2010에서 구성해야 합니다. Excel 2010 워크시트는 데이터 연결 정보를 직접 지정할 수도 있고 연결 정보를 확인할 수 있는 ODC 파일에 대한 포인터를 포함할 수도 있습니다.

다음은 데이터 연결 Excel 2010 통합 문서 또는 ODC 파일에서 사용할 수 있는 인증 설정입니다.

Windows 통합 인증 각 개별 사용자가 Excel Services를 통해 Excel 2010 통합 문서를 볼 때 Kerberos 위임을 사용한 Windows 통합 인증으로 사용자를 인증하도록 지정합니다.
SSS ID 데이터 원본 액세스에 사용할 특정 Secure Store Service 대상 응용 프로그램을 지정합니다.
없음 연결 문자열에 지정된 자격 증명(있는 경우)을 사용합니다. 그렇지 않은 경우 Excel Services 전역 설정에 지정된 보안 저장소 무인 서비스 계정을 사용합니다.

이러한 설정을 편집하려면 Excel 2010에서 워크시트 또는 ODC 파일을 열어야 합니다.

Visio Services

Visio Services에서는 Visio 웹 드로잉에 대해 다음과 같은 두 가지 데이터 연결 방식을 지원합니다.

포함된 연결 정보
ODC 파일을 사용하는 외부 연결 정보

Visio 다이어그램을 만들어 이를 데이터 원본에 직접 연결하는 경우 웹 드로잉을 SharePoint Server 2010에 게시하면 Visio 2010에서 데이터 원본 정보를 파일에 직접 저장합니다. 사용자가 웹 드로잉을 보면 Visio Services에서는 Visio Services 전역 설정에 지정된 보안 저장소 무인 서비스 계정을 사용하여 데이터 원본에 연결합니다.

Visio 2010에서 데이터 원본에 직접 연결하는 대신 SharePoint Server 2010에 저장된 기존 ODC 파일을 사용하여 데이터 원본에 연결하는 경우 웹 드로잉을 게시하면 Visio 2010에서는 해당 ODC 파일의 링크를 그대로 유지합니다. 그런 다음 Visio Services에서는 데이터 원본에 연결할 때 ODC 파일에 저장된 연결 정보를 사용합니다. 이 과정에 특정 보안 저장소 대상 응용 프로그램이 사용됩니다(ODC 파일에 지정되어 있는 경우).

Visio 2010에서는 ODC 파일을 편집할 수 없습니다. ODC 파일을 Visio 웹 드로잉과 함께 사용하려면 다음과 같이 하는 것이 좋습니다. 먼저 Excel 2010에서 ODC 파일을 만들고 이를 SharePoint Server 2010에 게시한 다음 새 데이터 연결 다이어그램을 만들 때 Visio 2010에서 해당 ODC 파일에 데이터 원본으로 연결합니다. 데이터 쿼리 또는 인증 정보를 변경하거나 대상 응용 프로그램을 지정하거나 다른 설정을 수정하려는 경우에는 Excel 2010을 사용하여 ODC 파일을 편집해야 합니다.

Visio Services에서는 복잡한 SQL 쿼리를 구문 분석할 수 없습니다. 복잡한 쿼리가 포함된 ODC 파일을 사용하려고 하면 Visio Services에서 해당 쿼리를 실행하여 데이터를 검색하지 못할 수도 있습니다.

PerformancePoint Services

PerformancePoint Services에서는 무인 서비스 계정을 통해서만 보안 저장소를 사용합니다. Windows 통합 인증과 무인 서비스 계정 간의 선택은 데이터 원본을 만들거나 편집할 때 대시보드 디자이너를 통해 수행합니다.

PerformancePoint Services 무인 서비스 계정에 대한 보안 저장소 대상 응용 프로그램은 관리자가 PerformancePoint Services 서비스 응용 프로그램 설정의 일부로 구성합니다. 이 대상 응용 프로그램은 보안 저장소 대상 응용 프로그램 목록에 나타나지만 보안 저장소를 통해 직접 수정해서는 안 됩니다.

차이점 요약

이 문서에 설명된 것처럼 각 비즈니스 인텔리전스 서비스 응용 프로그램에서는 보안 저장소를 각기 다른 방식으로 사용합니다. 다음 표에는 각 비즈니스 인텔리전스 서비스 응용 프로그램의 보안 저장소 기능과 옵션이 요약되어 있습니다.

참고

각 비즈니스 인텔리전스 서비스 응용 프로그램에서는 Windows 통합 인증을 지원합니다. Windows 통합 인증이 지정된 경우에는 보안 저장소 옵션이 사용되지 않습니다.

서비스 응용 프로그램	보안 저장소	데이터 연결
PerformancePoint Services	무인 서비스 계정만 사용합니다.	항상 PPSDC 파일을 사용하여 연결합니다.
Excel Services	보안 저장소 대상 응용 프로그램을 ODC 파일에 지정하거나 XLSX 파일에 포함할 수 있습니다. ODC 파일에 포함되거나 지정된 대상 응용 프로그램이 없으면 무인 서비스 계정이 사용됩니다.	스프레드시트에 포함되거나 ODC 파일에 지정됩니다. ODC 파일은 Excel 2010에서만 편집해야 합니다.
Visio Services	보안 저장소 대상 응용 프로그램을 ODC 파일에 지정할 수 있습니다. ODC 파일이 사용되지 않거나 ODC 파일에 대상 응용 프로그램이 지정되어 있지 않으면 무인 서비스 계정이 사용됩니다. Windows 통합 인증이 아닌 다른 인증 방식이 사용되는 경우에는 항상 무인 계정을 사용해야 하지만 ODC 파일에 다른 대상 응용 프로그램이 지정되어 있는 경우에는 예외입니다.	웹 드로잉 파일에 포함되거나 ODC 파일에 지정됩니다. 복잡한 쿼리에 대한 지원이 제한적입니다. ODC 파일은 Excel 2010에서만 편집해야 합니다(Visio 2010에서는 ODC 파일을 편집할 수 없음).

PerformancePoint Services

무인 서비스 계정만 사용합니다.

항상 PPSDC 파일을 사용하여 연결합니다.

Excel Services

보안 저장소 대상 응용 프로그램을 ODC 파일에 지정하거나 XLSX 파일에 포함할 수 있습니다. ODC 파일에 포함되거나 지정된 대상 응용 프로그램이 없으면 무인 서비스 계정이 사용됩니다.

스프레드시트에 포함되거나 ODC 파일에 지정됩니다. ODC 파일은 Excel 2010에서만 편집해야 합니다.

Visio Services

보안 저장소 대상 응용 프로그램을 ODC 파일에 지정할 수 있습니다. ODC 파일이 사용되지 않거나 ODC 파일에 대상 응용 프로그램이 지정되어 있지 않으면 무인 서비스 계정이 사용됩니다.

Windows 통합 인증이 아닌 다른 인증 방식이 사용되는 경우에는 항상 무인 계정을 사용해야 하지만 ODC 파일에 다른 대상 응용 프로그램이 지정되어 있는 경우에는 예외입니다.

웹 드로잉 파일에 포함되거나 ODC 파일에 지정됩니다. 복잡한 쿼리에 대한 지원이 제한적입니다. ODC 파일은 Excel 2010에서만 편집해야 합니다(Visio 2010에서는 ODC 파일을 편집할 수 없음).