SharePoint Server의 보안 저장소 서비스 계획
적용 대상:
2013 2016 2019 Subscription Edition 
SharePoint in Microsoft 365
Secure Store Service는 자격 증명을 저장하는 암호화된 데이터베이스를 포함하는 클레임 인식 인증 서비스입니다.
Secure Store Service
보안 저장소 서비스는 SharePoint Server에서 실행되는 권한 부여 서비스입니다. 보안 저장소 서비스는 자격 증명을 저장하는 데 사용되는 데이터베이스를 제공합니다. 이러한 자격 증명은 일반적으로 사용자 ID 및 암호로 구성되지만 사용자가 정의하는 다른 필드를 포함할 수도 있습니다. 예를 들어 SharePoint Server는 보안 저장소 데이터베이스를 사용하여 외부 데이터 원본에 액세스하기 위한 자격 증명을 저장하고 검색할 수 있습니다. Secure Store Service는 여러 백 엔드 시스템에 대한 여러 자격 증명 집합을 저장하기 위한 지원을 제공합니다.
보안 저장소의 사용 시나리오는 다음과 같습니다.
Office Online Server의 Excel Online은 보안 저장소를 사용하여 SharePoint Server 2016에 게시된 통합 문서의 외부 데이터 원본에 대한 액세스를 제공할 수 있습니다. 이는 종종 Kerberos 제한 위임을 구성해야 하는 프로세스인 데이터 원본에 사용자의 자격 증명을 전달하는 대신 사용할 수 있습니다.
SharePoint Server 2013의 Excel Services 는 보안 저장소를 사용하여 게시된 통합 문서의 외부 데이터 원본에 대한 액세스를 제공할 수 있습니다. 이는 사용자의 자격 증명을 Kerberos 위임을 구성해야 하는 프로세스인 데이터 원본에 전달하는 대신 사용할 수 있습니다. 데이터 인증을 위해 무인 서비스 계정을 구성하려면 Excel Services에 보안 저장소가 필요합니다.
Visio Services는 보안 저장소를 사용하여 게시된 데이터 연결 다이어그램에서 외부 데이터 원본에 대한 액세스를 제공할 수 있습니다. 이는 종종 Kerberos 제한 위임을 구성해야 하는 프로세스인 데이터 원본에 사용자의 자격 증명을 전달하는 대신 사용할 수 있습니다. 데이터 인증을 위해 무인 서비스 계정을 구성하려면 Visio Services에 보안 저장소가 필요합니다.
PerformancePoint Services는 보안 저장소를 사용하여 외부 데이터 원본에 대한 액세스를 제공할 수 있습니다. 데이터 인증을 위해 무인 서비스 계정을 구성하려면 PerformancePoint Services에 보안 저장소가 필요합니다.
Power Pivot에서는 PowerPivot 통합 문서의 예약된 새로 고침을 수행하는 데 보안 저장소가 필요합니다.
Microsoft Business Connectivity Services는 보안 저장소를 사용하여 사용자의 자격 증명을 외부 시스템의 자격 증명 집합에 매핑할 수 있습니다. 각 사용자의 자격 증명을 외부 시스템의 고유한 계정에 매핑하거나 인증된 사용자 집합을 단일 그룹 계정에 매핑할 수 있습니다. Business Connectivity Services는 보안 저장소를 사용하여 Microsoft 365의 SharePoint에서 온-프레미스 데이터 원본에 액세스하기 위한 인증서를 저장할 수도 있습니다.
SharePoint 런타임에서는 보안 저장소를 사용하여 Azure 서비스와 통신하는 데 필요한 자격 증명을 저장할 수 있습니다(사용자 앱이 Azure 서비스를 구축 및 사용하는 데 SharePoint 런타임이 필요한 경우).
Secure Store Service 준비
Secure Store Service 배포를 준비할 때는 다음의 중요한 지침에 유의해야 합니다.
새 암호화 키를 생성하기 전에 보안 저장소 데이터베이스를 백업합니다. 또한 보안 저장소 데이터베이스를 처음 만든 후 백업해야 하며 자격 증명이 다시 암호화될 때마다 다시 백업해야 합니다. 새 키가 생성되면 새 키를 사용하여 자격 증명을 다시 암호화할 수 있습니다. 키를 새로 고치지 못하거나 암호를 잊어버린 경우 자격 증명을 사용할 수 없습니다.
Secure Store를 처음으로 설정한 후 암호화 키를 백업하고 암호화 키가 다시 생성될 때도 항상 백업합니다.
암호화 키에 대한 백업 미디어를 보안 저장소 데이터베이스에 대한 백업 미디어와 동일한 위치에 저장하지 마십시오. 사용자가 데이터베이스와 키 모두의 복사본을 입수하면 데이터베이스에 저장된 자격 증명이 노출될 수 있습니다.
Secure Store는 민감한 정보를 저장하는 데 사용되므로 보안 향상을 위해서는 다음과 같은 지침을 따르는 것이 좋습니다.
Secure Store Service를 다른 서비스에 사용되지 않는 별도의 응용 프로그램 풀에서 실행합니다.
SQL Server를 실행하는 별도의 서버에 보안 저장소 데이터베이스를 만듭니다. 콘텐츠 데이터베이스를 포함하는 동일한 SQL Server 인스턴스를 사용하지 마세요.
Secure Store의 대상 응용 프로그램
대상 애플리케이션은 사용자 또는 사용자를 보안 저장소 데이터베이스에 저장된 암호화된 자격 증명 집합에 매핑하는 정보 컬렉션입니다. 대상 애플리케이션에는 정의하는 다음 정보가 포함됩니다.
매핑의 종류(개인/그룹)
보안 저장소 데이터베이스에 저장할 필드. 기본적으로는 Windows 사용자 이름 및 Windows 암호가 저장되지만 응용 프로그램에 따라 추가 필드 형식을 선택할 수 있습니다.
대상 응용 프로그램 관리 권한이 있는 사용자
자격 증명을 매핑하는 개인 또는 그룹
각 대상 응용 프로그램에는 Excel Online 또는 SharePoint Designer 등의 외부 응용 프로그램에서 대상 응용 프로그램을 참조하는 데 사용되는 고유한 응용 프로그램 ID(사용자가 정의함)가 있습니다.
보안 저장소 자격 증명 매핑
Secure Store Service는 개별 매핑과 그룹 매핑을 지원합니다. 그룹 매핑에서 특정 도메인 그룹의 구성원인 모든 사용자가 동일한 자격 증명 집합에 매핑됩니다. 개별 매핑의 경우 각 개별 사용자가 고유한 자격 증명 집합에 매핑됩니다. 개별 매핑은 공유 리소스에 대한 개별 사용자 액세스 관련 로깅 정보가 필요한 경우에 유용합니다. 그룹 매핑의 경우에는 보안 계층이 보안 저장소 데이터베이스에 저장된 단일 자격 증명 집합에 대해 여러 도메인 사용자의 자격 증명을 매핑합니다. 그룹 매핑은 개별 매핑보다 유지 관리가 더 간단하므로 향상된 성능을 제공합니다.
Secure Store Service와 클레임 인증
보안 저장소 서비스는 클레임 인식 서비스입니다. 보안 토큰을 수락하고 암호 해독하여 애플리케이션 ID를 가져오고 조회를 수행할 수 있습니다. SHAREPoint Server STS(보안 토큰 서비스)가 인증 요청에 대한 응답으로 보안 토큰을 발급하면 보안 저장소 서비스는 토큰의 암호를 해독하고 애플리케이션 ID 값을 읽습니다. Secure Store Service는 애플리케이션 ID를 사용하여 보안 저장소 데이터베이스에서 자격 증명을 검색합니다. 그런 다음 자격 증명을 사용하여 리소스에 대한 액세스 권한을 부여합니다.