다음을 통해 공유

보안 통합 요약

  • 아티클

이 섹션의 이전 항목에서는 Windows Server AppFabric 보안 모델의 주요 부분에 대해 설명하고 AppFabric이 Windows 보안 계정과 그룹을 활용하는 방법을 살펴보았습니다. AppFabric은 이러한 Windows 보안 주체를 IIS 및 .NET Framework 보안 개념에 매핑한 다음 로그인 이름과 데이터베이스 역할을 사용하여 SQL Server 보안에 매핑합니다. 이 항목에서는 AppFabric 보안 모델이 이러한 지원 기술을 모두 통합하여 응용 프로그램에 대한 보안 환경을 제공하는 방법을 간략히 요약하여 설명합니다.

AppFabric 개념적 역할

보안 아키텍처를 설계할 때 이러한 개념적 역할을 사용하여 사용자와 적절한 권한 수준을 논리적으로 할당할 수 있습니다.

  • Application Server Users. AppFabric에서 실행되는 응용 프로그램의 응용 프로그램 풀 ID입니다.

  • Application Server Observers. 실행 중인 응용 프로그램의 속성과 정보를 볼 수 있는 사람입니다.

  • Application Server Administrators. 실행 중인 응용 프로그램과 응용 프로그램 실행에 도움이 되는 시스템 서비스를 관리하거나 제어할 수 있는 사람입니다.

Windows 보안 주체

AppFabric 개념적 역할은 Windows 보안 그룹에 매핑됩니다. IIS 및 AppFabric 로컬 설치 과정에서 로컬 컴퓨터에만 IIS_IUSRS, LOCALHOST\AS_Administrators 및 LOCALHOST\AS_Observers 그룹이 만들어집니다.

  • IIS_IUSRS 그룹. IIS는 설치 과정에서 이 기존 Windows 보안 그룹을 만든 다음 런타임에 이 그룹을 동적으로 채웁니다. 이 그룹에는 AppFabric Application Server Users 개념적 역할의 모든 응용 프로그램 풀 ID가 포함됩니다. 이 그룹은 데이터를 유지하고 추적 정보를 내보낼 수 있는 권한을 갖습니다. 응용 프로그램 풀에 사용되는 모든 ID는 IIS_IUSRS 그룹의 구성원입니다.

  • LOCALHOST\AS_Administrators 그룹. 이 로컬 Windows 보안 그룹은 AppFabric 설치 과정에서 자동으로 만들어집니다. 이 그룹의 사용자는 AppFabric Application Server Administrators 개념적 역할에 매핑됩니다. AppFabric 관리 작업을 수행해야 하는 모든 사용자는 이 그룹에 속해야 합니다.

  • LOCALHOST\AS_Observers 그룹. 이 로컬 Windows 보안 그룹은 AppFabric 설치 과정에서 자동으로 만들어집니다. 이 역할에 할당된 사용자에게는 Application Server Observers 개념적 역할에 대해 설명된 권한이 부여됩니다.

도메인 환경의 여러 컴퓨터에서 AppFabric을 사용할 경우 해당 도메인 내의 여러 AppFabric 서버 컴퓨터에서 사용할 각 AppFabric 개념적 역할에 대해 도메인 그룹을 만드는 것이 좋습니다. 이러한 그룹에 할당된 사용자에게는 각 개념적 역할과 관련된 권한이 도메인 범위 수준에서 부여됩니다. 이러한 도메인 Windows 보안 그룹을 만든 다음 AppFabric 액세스 및 기능 요구 사항을 기반으로 하여 도메인 사용자 계정을 보안 그룹에 추가합니다. 이 보안 그룹에 원하는 이름을 지정할 수 있지만, "DOMAIN\MyAppFabricAdmins" 및 "DOMAIN\MyAppFabricObservers" 그룹과 같이 식별이 쉬운 이름을 지정하는 것이 좋습니다. 로컬 AppFabric 서버에서 이러한 도메인 계정은 LOCALHOST\AS_Administrators 그룹에 배치됩니다.

AppFabric이 Windows 보안을 사용하는 방법에 대한 자세한 내용은 Windows 보안을 참조하십시오.

IIS 및 .NET Framework 보안

응용 프로그램은 혼합 전송 모드에서 실행되도록 구성된 경우 IIS 보안의 일부를 사용합니다. 그러나 이 모드에서 응용 프로그램의 보안 관련 동작은 IIS 보안보다 .NET Framework 및 WCF 보안에 더 기반을 둡니다. 이 동일한 응용 프로그램이 ASP.NET 호환성 모드에서 실행되도록 구성된 경우에는 주로 IIS 인증을 사용하고 WCF 보안은 무시합니다. AppFabric 보안 모델의 이 부분은 SQL Server 백 엔드 데이터에 액세스하기 위해 응용 프로그램을 호스트하는 응용 프로그램 도메인 또는 프로세스에 할당된 ID와 클라이언트 모두를 인증하는 것과 관련이 있습니다. 자세한 내용은 IIS 및 .NET Framework 보안을 참조하십시오.

SQL Server 로그인 이름 및 데이터베이스 역할

AppFabric 개념적 역할은 SQL Server 데이터베이스 보안 역할에 매핑된 다음 Windows 보안 그룹에 다음과 같이 매핑됩니다.

  • AS_Administrators. 로컬 LOCALHOST\AS_Administrators 그룹 계정에 매핑됩니다. 이 그룹의 사용자는 원래 AppFabric Application Server Administrators 개념적 그룹의 구성원입니다. AS_Administrators 로그인 이름은 지속성 및 모니터링 저장소를 관리하는 데 필요한 SQL Server 데이터베이스 역할에 할당됩니다.

  • AS_Observers. 로컬 LOCALHOST\AS_Observers 그룹 계정에 매핑됩니다. 이 그룹의 사용자는 원래 AppFabric Application Server Observers 개념적 그룹의 구성원입니다. AS_Observers 로그인 이름은 지속성 및 모니터링 저장소를 관찰하는 데(관리는 안 함) 필요한 SQL Server 데이터베이스 역할에 할당됩니다.

  • IIS_IUSRS. 로컬 BUILTIN\IIS_IUSRS 그룹 계정에 매핑됩니다. 이 그룹의 사용자는 원래 AppFabric Application Server Users 개념적 그룹의 구성원입니다. IIS_IUSRS 로그인 이름은 이 로그인 계정으로 실행되는 응용 프로그램이 런타임에 지속성 및 모니터링 저장소에 액세스하는 데 필요한 SQL Server 데이터베이스 역할에 할당됩니다.

AppFabric 개념적 역할은 해당하는 로그인 이름과 유사한 권한 구성의 SQL Server 데이터베이스 역할에 매핑됩니다. 예를 들어, AS_Administrators 로그인 계정은 AS_Observers 로그인 계정보다 더 많은 액세스 권한을 갖습니다. 이러한 로그인 이름에 할당되는 특정 데이터베이스 역할 및 권한에 대한 자세한 내용은 SQL Server 보안의 "SQL Server 로그인" 섹션을 참조하십시오.

security보안 참고
SQL Server 이외의 데이터베이스 저장소 구현을 제공하는 타사에서는 보안 모델을 AppFabric 개념적 역할에 매핑해야 합니다.

  2011-12-05