SharePoint Server의 Business Connectivity Services 보안 작업 개요
적용 대상:2013 2016 2019 Subscription Edition SharePoint in Microsoft 365
BCS(Microsoft Business Connectivity Services)를 통해 작업하는 데이터에 대한 보안을 제공하는 것은 모든 BCS 솔루션의 중요한 부분입니다. SharePoint 콘텐츠 데이터베이스에 저장된 일반 SharePoint 데이터와 달리 BCS 솔루션이 외부 시스템의 SharePoint 외부에서 라이브로 표시되는 데이터입니다. BCS는 SharePoint가 외부 데이터에 액세스하는 데 사용하는 채널을 제공합니다. BCS 솔루션은 사이트 액세스 권한 및 목록 권한과 같은 일반적인 SharePoint Server 보안 컨트롤 내에서 작업하는 것 외에도 추가 통신 및 보안 계층을 처리해야 합니다. 예를 들어 외부 시스템은 다른 인증 메커니즘 또는 공급자를 사용할 수 있으며 사용자가 SharePoint Server에 액세스하는 데 사용하는 자격 증명과 다른 자격 증명이 필요할 수 있습니다. BCS 솔루션에는 더 많은 보안 계층이 있으므로 더 많은 보안 구성 작업이 관련됩니다.
Business Connectivity Services 보안 작업은 IT 전문가라는 세 가지 역할로 구성됩니다. 사이트 모음 관리자 또는 사이트 소유자 개발자와 개발자가 다음 예제에서는 각 역할의 책임에 대해 설명합니다.
IT 전문가는 메타데이터 저장소 및 해당 콘텐츠에 대한 보안을 관리할 책임이 있습니다. 또한 보안 저장소 서비스에서 계정 및 그룹 관리 및 자격 증명 매핑을 처리합니다.
사이트 모음 관리자 및 사이트 소유자는 외부 시스템에서 사용하는 보안의 종류와 코드 없음 또는 선언적 외부 콘텐츠 형식을 구성하여 통신하는 방법을 이해해야 합니다. 또한 외부 목록 및 비즈니스 데이터 웹 파트에 보안을 계획하고 적용할 책임이 있습니다.
BCS 솔루션 개발자는 외부 시스템이 사용하는 보안 종류를 이해하고 이와 통신하기 위한 BDC 모델 구성 방법 및 Office 및 SharePoint용 앱의 개발 및 배포에 대한 보안을 이해할 책임이 있습니다.
BCS(Business Connectivity Services) 보안
**비즈니스 데이터 연결 서비스에 대한 관리 위임
비즈니스 데이터 연결 서비스의 인스턴스를 만든 후 팜 관리자가 수행해야 하는 첫 번째 작업은 서비스 관리를 팜 관리자 권한이 없는 다른 계정으로 위임하는 것입니다. 이 모범 사례는 최소 권한 원칙을 따릅니다. 위임된 계정에는 SharePoint 중앙 관리 웹 사이트를 열고 비즈니스 데이터 연결 서비스 서비스 애플리케이션에 액세스하는 데 필요한 권한이 부여됩니다. 서비스를 관리하는 데 사용되는 기본 계정이어야 합니다. 부여하거나 취소할 수 있는 유일한 권한은 모든 권한입니다.
메타데이터 저장소 및 해당 콘텐츠에 대한 권한 관리
메타데이터 저장소는 비즈니스 데이터 연결 서비스 애플리케이션에서 사용하는 외부 콘텐츠 형식, 외부 시스템 및 BDC 모델 정의를 보유합니다. BCS 서비스 관리자의 주요 작업 중 하나는 메타데이터 저장소 및 포함된 모든 항목의 보안을 관리하는 것입니다. 메타데이터 저장소의 항목은 두 가지 방법으로 권한을 얻습니다. 먼저 메타데이터 저장소, BDC 모델, 외부 시스템 또는 외부 콘텐츠 형식에 권한을 직접 적용할 수 있습니다. 두 번째 방법은 상위 수준 항목에서 상속하는 것입니다. 두 메서드는 다음 그림에 나와 있습니다.
그림: 메타데이터 저장소 권한
상속 상속은 두 가지 방법으로 발생합니다. 먼저 메타데이터 저장소에 항목이 추가되면 메타데이터 저장소 자체의 사용 권한 구성을 상속합니다. 둘째, 메타데이터 저장소, 외부 시스템 및 외부 콘텐츠 형식 항목은 계층 구조에서 아래에 있는 항목의 권한을 강제로 덮어쓸 수 있습니다. 이는 모든 사용자에게 권한 전파... 를 선택하고 부모 항목에 대한 사용 권한을 설정할 때 확인을 클릭할 때 발생합니다.
직접 응용 프로그램 항목의 사용 권한이 사용자의 요구에 맞지 않으면 수동으로 조정할 수 있습니다.
다음 4가지 권한을 직접 적용할 수 있습니다.
편집 사용자 또는 그룹이 항목을 편집할 수 있습니다.
수행하다 이렇게 하면 사용자 또는 그룹이 메타데이터 저장소에서 외부 콘텐츠 형식의 작업(만들기, 읽기, 업데이트, 삭제, 쿼리)을 실행할 수 있습니다. BCS 솔루션의 모든 사용자에게는 연결된 외부 콘텐츠 형식에 대한 실행 권한이 있어야 합니다.
클라이언트에서 선택 가능 사용자 또는 그룹이 외부 항목 선택에 제공하여 외부 목록에 대한 외부 콘텐츠 형식 및 SharePoint용 앱을 사용할 수 있습니다.
사용 권한 설정 이렇게 하면 사용자 또는 그룹이 항목에 대한 권한을 설정할 수 있습니다. 모든 항목에는 사용 권한 설정 권한이 있는 사용자 또는 그룹이 하나 이상 있어야 합니다.
메타데이터 저장소 권한을 관리하기 위한 권장 사항
하나의 계정(비즈니스 연결 서비스 관리자 계정)을 선택하고 메타데이터 저장소 수준에서 사용 권한 설정 권한을 부여합니다. 이렇게 하면 모든 항목에 안전하게 관리되는 관리 계정으로 사용 권한 설정 권한이 있는 한 명의 사용자 또는 그룹이 있어야 한다는 요구 사항이 충족됩니다. 계정을 명시적으로 설정하지 않으면 팜 계정이 기본적으로 사용됩니다. 모든 권한에 권한 전파 옵션을 선택하지 마세요. 모든 항목이 메타데이터 저장소에 추가될 때 이 구성을 상속하기 때문에 모든 항목에 대한 권한 전파 옵션을 선택할 필요는 없습니다. 이렇게 하면 불필요한 계정이 필요하지 않은 외부 시스템, BDC 모델 또는 외부 콘텐츠 형식에 액세스할 수 없게 됩니다.
직접 애플리케이션 메서드를 사용하여 개별 항목에 대한 사용 권한을 구성하고 모든 항목에 권한 전파 옵션을 다시 선택하지 않습니다. 이렇게 하면 각 개체에 대해 고유한 권한 구성을 유지할 수 있습니다.
주기적으로 유지 관리 및 운영 계획의 일부로 메타데이터 저장소 수준에서 시작하여 계층으로 이동하는 권한 구성을 검토하여 각 항목에 올바른 권한 구성이 있는지 확인합니다. 사용 권한 구성이 필요한 항목에서 드리프트된 경우 수동으로 다시 구성해야 합니다.
부모 항목 및 모든 자식에 대한 모든 권한을 완전히 다시 설정해야 하는 경우에만 모든 권한 전파 옵션을 사용해야 합니다. 이는 파괴적인 프로세스이며 자식 항목에 대한 모든 사용자 지정 권한이 손실됩니다. 이 작업은 권한을 잃은 사용자 또는 그룹에 대한 BCS 솔루션을 중단할 수 있습니다.
Secure Store Service에서 계정 및 그룹 매핑**
BCS는 Kerberos 제한 위임을 구성하지 않은 한 SharePoint Server 팜 외부의 사용자 자격 증명을 데이터가 있는 외부 시스템에 전달할 수 없습니다. Kerberos 제한 위임은 구성 및 유지 관리가 어려울 수 있습니다. 또는 보안 저장소 서비스를 사용할 수 있습니다. 보안 저장소를 사용하면 BCS에서 외부 시스템에 액세스하는 데 사용할 수 있는 자격 증명 집합에 사용자 그룹을 매핑할 수 있습니다.
다음 두 가지 방법으로 이러한 매핑을 구성할 수 있습니다.
그룹 매핑 그룹 매핑 대상 애플리케이션에서 AD DS 사용자 계정 및 보안 그룹을 보안 저장소에 추가한 다음 외부 시스템의 단일 자격 증명 집합에 매핑합니다. BCS 솔루션에 대한 액세스를 관리하는 가장 쉬운 방법입니다.
개별 매핑 개별 매핑 대상 애플리케이션에서 단일 AD DS 사용자 계정을 외부 시스템에 대한 단일 자격 증명 집합에만 매핑할 수 있습니다. 기본적으로 1:1 매핑입니다. 일반적으로 관리할 계정이 거의 없거나 외부 시스템에서 액세스 및 활동을 추적하려는 경우 이 작업을 수행합니다.
Business Data Connectivity Service 응용 프로그램에 대한 사용 권한 관리
기본적으로 팜의 모든 웹 애플리케이션에는 서버 팜 계정을 통해 Business Data Connectivity Service 애플리케이션에 대한 액세스 권한이 부여됩니다. 특정 웹 애플리케이션에 대한 액세스를 제한하려는 경우 서버 팜 계정을 제거한 다음 원하는 웹 애플리케이션의 애플리케이션 풀 ID 계정을 추가하여 이를 변경할 수 있습니다. 이렇게 하면 Business Data Connectivity Service 애플리케이션에 액세스할 수 있는 웹 애플리케이션을 제어할 수 있습니다. 자세한 내용은 SharePoint Server에서 게시된 서비스 응용 프로그램에 대한 사용 권한 설정을 참조하세요.
비즈니스 데이터 연결 서비스 애플리케이션을 다른 팜에 게시하는 경우 소비 팜의 팜 ID를 추가해야 합니다. 자세한 내용은 SharePoint Server에서 팜 간에 서비스 응용 프로그램 공유를 참조하세요.