사용자 선택을 위한 사용자 지정 클레임 공급자(SharePoint Foundation 2010)
적용 대상: SharePoint Foundation 2010
마지막으로 수정된 항목: 2016-11-30
클레임은 이름, 전자 메일 주소 또는 그룹 구성원 자격과 같은 사용자의 ID 관련 정보로 구성되어 있습니다. Microsoft SharePoint Foundation 2010에서 클레임 공급자는 클레임을 발행하고 SharePoint Foundation 2010은 이를 사용자의 보안 토큰으로 패키징합니다. 사용자가 SharePoint Foundation 2010에 로그인하면 사용자 토큰의 유효성이 검사된 다음 SharePoint Foundation 2010에 로그인하는 데 사용됩니다. 클레임 공급자는 사용자 선택 컨트롤에 있는 사용자 및 그룹 선택 대화 상자의 사용자 인터페이스에 표시됩니다. 클레임 공급자는 SharePoint Foundation 2010에서 목록, 라이브러리 또는 사이트와 같은 항목에 대한 권한이 부여되었을 때 사용자, 그룹 및 클레임을 찾기 위해 사용되는 기능을 제공합니다. 사용자 선택 컨트롤에 대한 자세한 내용은 사용자 선택 개요(SharePoint Foundation 2010)을 참조하십시오.
이 문서에서는 클레임 공급자의 사용 및 이점, 아키텍처, 사용자 지정 클레임 공급자에 대한 특별한 고려 사항 및 계획 방법에 대해 설명합니다. 사용자 지정 클레임 공급자를 만들거나 구성하는 방법에 대해서는 설명하지 않습니다. 사용자 지정 클레임 공급자를 만드는 방법에 대한 자세한 내용은 클레임 방법(영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=207578&clcid=0x412)(영문일 수 있음) 및 SharePoint 2010에서 사용자 지정 클레임 공급자 만들기(영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=211324&clcid=0x412)(영문일 수 있음)를 참조하십시오.
이 문서를 읽기 전에 인증 방법 계획(SharePoint Foundation 2010) 및 클레임 역할(영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=208326&clcid=0x412)(영문일 수 있음)에 설명된 개념을 이해하고 있어야 합니다. 클레임 기반 인증에 대한 자세한 내용은 SharePoint 클레임 기반 ID(영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=196647&clcid=0x412)(영문일 수 있음) 및 클레임 기반 ID 및 액세스 제어 가이드(영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=187911&clcid=0x412)(영문일 수 있음)를 참조하십시오.
이 문서의 내용:
사용 및 이점
아키텍처
사용자 지정 클레임 공급자 정보
사용자 지정 클레임 공급자 배포 및 구성
두 개 이상의 팜에 사용자 지정 클레임 사용
사용자 지정 클레임 공급자 고려 사항
사용 및 이점
SharePoint Foundation 2010에서 클레임 공급자는 주로 다음 두 가지 이유로 인해 사용됩니다.
클레임 보완
이름 확인 제공
보완 역할의 경우 클레임 공급자는 로그인 중에 추가 클레임으로 사용자 토큰을 보완합니다. 클레임 보완에 대한 자세한 내용은 클레임 공급자(영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=207579&clcid=0x412)(영문일 수 있음)를 참조하십시오.
선택 역할에서 클레임 공급자는 사용자 선택에서 사용자, 그룹 및 클레임의 "적합한" 표시를 나열, 확인, 검색 및 결정합니다. 클레임 선택을 통해 응용 프로그램은 SharePoint 사이트 또는 SharePoint 서비스의 보안을 구성할 때와 같은 경우에 사용자 선택에 클레임을 제공할 수 있습니다. 사용자 선택에 대한 자세한 내용은 사용자 선택 개요(SharePoint Foundation 2010)을 참조하십시오.
SharePoint Foundation 2010에 포함된 클레임 공급자를 사용하거나 자신이 직접 사용자 지정 클레임 공급자를 만들어서 사용자의 보안 토큰에 추가 클레임을 제공하거나 클레임의 추가 원본에 연결할 수 있습니다. 예를 들어 Active Directory의 사용자 리포지토리에서 찾을 수 없는 역할이 포함된 CRM 응용 프로그램이 있는 경우 사용자 지정 클레임 공급자를 만들어서 데이터베이스에 연결하고 CRM 역할 데이터를 사용자의 원래 클레임 토큰에 추가할 수 있습니다. 클레임 공급자 사용 시나리오에 대한 자세한 내용은 클레임 공급자(영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=207579&clcid=0x412)(영문일 수 있음)를 참조하십시오.
아키텍처
웹 응용 프로그램이 클레임 기반 인증을 사용하도록 구성된 경우 SharePoint Foundation 2010은 두 가지 기본 클레임 공급자를 자동으로 사용합니다.
SPSystemClaimProvider(영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=210011&clcid=0x412)(영문일 수 있음) 클래스는 SharePoint Foundation 2010이 설치된 서버 팜과 관련된 클레임 정보를 제공합니다.
SPAllUserClaimProvider(영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=210012&clcid=0x412)(영문일 수 있음) 클래스는 사용자 선택에 대한 사용자 및 그룹 선택 대화 상자에 표시된 모든 사용자 클레임을 제공합니다.
또한 웹 응용 프로그램의 영역에 대해 선택한 인증 방법에 따라 SharePoint Foundation 2010에서는 다음 표에 나열된 하나 이상의 기본 클레임 공급자를 사용합니다.
| 인증 방법 | 클레임 공급자 |
|---|---|
Windows 인증 |
SPActiveDirectoryClaimProvider(영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=208325&clcid=0x412)(영문일 수 있음) |
폼 기반 인증 |
SPFormsClaimProvider(영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=210013&clcid=0x412)(영문일 수 있음) |
SAML(Security Assertion Markup Language) 토크 기반 인증 |
SPTrustedClaimProvider(영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=210014&clcid=0x412)(영문일 수 있음) |
이러한 클레임 공급자는 사용자 선택의 사용자 및 그룹 선택 대화 상자에 표시됩니다. Get-SPClaimProviderWindows PowerShell cmdlet을 사용하여 팜에 대한 클레임 공급자 목록을 볼 수 있습니다.
참고
웹 응용 프로그램이 SAML 토큰 기반 인증을 사용하도록 구성된 경우 SPTrustedClaimProvider 클래스는 사용자 선택 컨트롤에 검색 기능을 제공하지 않습니다. 사용자 선택 컨트롤에 입력한 모든 텍스트는 유효한 사용자, 그룹 또는 클레임인지 여부에 관계없이 확인된 것처럼 자동으로 표시됩니다. SharePoint Foundation 2010 솔루션에서 SAML 토큰 기반 인증을 사용할 경우 사용자 지정 검색 및 이름 확인을 구현하기 위해 사용자 지정 클레임 공급자를 만들도록 계획해야 합니다.
클레임 공급자는 팜에 배포된 기능으로 서버 팜에 등록됩니다. 클레임 공급자 범위는 팜 수준으로 지정됩니다. 각 클레임 공급자 개체는 SPClaimProviderDefinition 클래스를 사용하여 표시 이름, 설명, 어셈블리 및 유형과 같은 클레임 공급자에 대한 정보를 포함합니다. SPClaimProviderDefinition 클래스의 중요한 두 가지 속성은 IsEnabled와 IsUsedByDefault입니다. 이러한 속성은 등록된 클레임 공급자가 팜에서 사용할 수 있도록 설정되었는지 여부와 클레임 공급자가 특정 영역에서 기본적으로 사용되는지 여부를 결정합니다. 기본적으로 모든 클레임 공급자는 서버 팜에 배포될 때 사용하도록 설정됩니다. SPClaimProviderDefinition 클래스에 대한 자세한 내용은 SPClaimProviderDefinition 클래스(영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=207595&clcid=0x412)(영문일 수 있음)를 참조하십시오.
영역 및 인증에 대한 자세한 내용은 인증 방법 계획(SharePoint Foundation 2010)을 참조하십시오.
사용자 지정 클레임 공급자를 작성하는 방법에 대한 자세한 내용은 SharePoint 2010에서 사용자 지정 클레임 공급자 만들기(영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=211324&clcid=0x412)(영문일 수 있음) 및 클레임 연습: SharePoint 2010용 클레임 공급자 작성(영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=207589&clcid=0x412)(영문일 수 있음)을 참조하십시오. 기본 클레임 공급자를 재정의하는 방법에 대한 자세한 내용은 SharePoint 2010용 기본 이름 확인 및 클레임 공급자 재정의 방법(영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=207591&clcid=0x412)(영문일 수 있음)을 참조하십시오.
사용자 지정 클레임 공급자 정보
기본적으로 쿼리를 수행할 때 사용자 선택에서 확인되는 정보는 클레임 공급자에서 제공된 정보에 따라 달라집니다. 기본 제공 클레임 공급자를 사용할 때는 제공되는 정보 및 표시 방법을 변경할 수 없습니다. 이렇게 하려면 사용자가 사이트, 목록 또는 라이브러리와 같은 항목에 대한 권한을 할당할 때 사용자, 그룹 및 클레임을 찾아서 선택하기 위한 솔루션의 요구를 충족할 수 있도록 관리자가 사용자 지정 클레임 공급자를 만들어야 합니다.
예를 들어 웹 응용 프로그램에서 SAML 인증이 사용되고 Active Directory에서 사용자를 확인하려는 경우 사용자 지정 클레임 공급자를 만들어야 합니다. 클레임 공급자 사용 시나리오에 대한 추가 예는 클레임 공급자(영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=207579&clcid=0x412)(영문일 수 있음)를 참조하십시오.
사용자 지정 클레임 공급자를 만들 때는 표시되는 정보 및 사용자 선택 컨트롤의 쿼리에 대한 응답으로 반환되는 결과를 제어할 수 있습니다. 기본적으로 클레임 인증을 사용하도록 웹 응용 프로그램을 구성한 다음 서버에 클레임 공급자를 등록합니다.
참고
사용자 선택의 사용자 및 그룹 선택 대화 상자에 클레임 공급자가 표시되는 순서는 제어할 수 없습니다.
사용자 지정 클레임 공급자를 작성하는 방법에 대한 자세한 내용은 방법: 클레임 공급자 만들기(영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=207588&clcid=0x412)(영문일 수 있음) 및 클레임 연습: SharePoint 2010용 클레임 공급자 작성(영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=207589&clcid=0x412)(영문일 수 있음)을 참조하십시오. 기본 클레임 공급자를 재정의하는 방법에 대한 자세한 내용은 SharePoint 2010용 기본 이름 확인 및 클레임 공급자 재정의 방법(영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=207591&clcid=0x412)(영문일 수 있음)을 참조하십시오.
사용자 지정 클레임 공급자 배포 및 구성
기본적으로 팜에 사용자 지정 클레임 공급자를 등록하면 IsEnabled 및 IsUsedByDefault 속성이 모두 True로 설정됩니다. IsUsedByDefault 속성이 False로 설정되지 않는 한 사용자 지정 클레임 공급자가 모든 영역의 사용자 선택에서 사용자 및 그룹 선택 대화 상자에 표시됩니다. 사용자의 SharePoint Foundation 2010 솔루션, 각 영역에서 사용되는 인증 방법, 각 영역의 사용자에 필요한 영역 수에 따라 사용자 선택에서 사용자 지정 클레임 공급자가 표시되는 영역을 제한해야 할 수 있습니다.
클레임 공급자의 범위는 팜 수준으로 지정되고 해당 영역 수준에서 사용하도록 설정되기 때문에 사용자 지정 클레임 공급자를 표시하려는 영역을 신중하게 계획해야 합니다. 일반적으로 IsUsedByDefault 속성이 False로 설정되었는지 확인한 다음 사용자 지정 클레임 공급자를 사용하려는 각 영역에 대해 SPIisSettings 클래스를 구성해야 합니다. 선택 영역에 대한 사용자 지정 클레임 공급자를 구성하려는 경우 Windows PowerShell 스크립트를 만들어서 SPIisSettings.ClaimsProviders 속성을 사용하여 영역에 대한 클레임 공급자를 설정하거나 사용자 지정 응용 프로그램을 만들어서 선택 영역에 대한 사용자 지정 클레임 공급자를 사용하도록 설정할 수 있습니다. SPIisSettings.ClaimsProvider 속성에 대한 자세한 내용은 SPIisSettings.ClaimsProvider 속성(영문일 수 있음) (https://go.microsoft.com/fwlink/?linkid=207597&clcid=0x412)(영문일 수 있음)을 참조하십시오. 선택 영역에 대한 클레임 공급자를 구성하기 위해 사용자 지정 응용 프로그램을 만드는 방법에 대한 자세한 내용은 TechNet 블로그 게시물 SharePoint 2010에서 선택 영역에서만 사용하도록 사용자 지정 클레임 공급자 구성(영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=207592&clcid=0x412)(영문일 수 있음)을 참조하십시오.
예를 들어 두 개의 웹 응용 프로그램이 있는 시나리오를 가정해 보십시오. 첫 번째 웹 응용 프로그램인 PartnerWeb에는 Windows 클레임 기반 인증을 사용하는 하나의 인트라넷과 폼 기반 인증을 사용하는 하나의 엑스트라넷인 두 영역이 포함되며, 직원 및 파트너 간의 협력을 위해 사용됩니다. 두 번째 웹 응용 프로그램인 PublishingWeb은 폼 기반 인증을 사용하는 하나의 영역만 포함되며, 직원, 비즈니스 파트너 및 고객 파트너를 위한 인터넷 게시 사이트입니다. 이제 PartnerWeb의 엑스트라넷 영역에서 직원이 고객 파트너가 아닌 비즈니스 파트너와만 협력할 수 있도록 해야 한다고 가정해 보십시오. 이렇게 하려면 사용자의 ID에 따라 현재 사용자가 비즈니스 파트너 또는 고객 파트너인지 확인하는 사용자 지정 클레임 공급자를 작성합니다. 이 예에서는 fabrikam.com의 사용자가 비즈니스 파트너이고 contoso.com의 사용자는 고객 파트너입니다. 비즈니스 파트너인 사용자가 PartnerWeb 웹 응용 프로그램에서 인증될 때는 클레임 토큰에 BusinessPartner라는 역할에 대한 클레임이 추가되고, 고객 파트너가 인증될 때는 CustomerPartner라는 역할에 대한 클레임이 클레임 토큰에 추가됩니다. 고객 파트너가 엑스트라넷 공동 작업 사이트에 결코 추가되지 않도록 보장하기 위해서는 CustomerPartner라는 역할에 대한 클레임을 갖는 모든 사용자에 대해 액세스를 명시적으로 거부하는 엑스트라넷 영역에 대한 PartnerWeb 웹 응용 프로그램에서 웹 응용 프로그램 정책을 추가합니다. 사용자 지정 클레임 공급자는 또한 웹 응용 프로그램 정책에 추가할 수 있도록 CustomerPartner 역할 클레임을 확인하기 위해 웹 응용 프로그램 정책에 대한 검색 및 입력 지원을 구현해야 합니다. 마지막으로 엑스트라넷 영역에서 이 기능을 사용하도록 설정하기 위해서는 사용자 지정 클레임 공급자를 사용하도록 해당 영역에 대한 SPIisSettings 클래스를 구성합니다. 다음 다이어그램에서는 각 웹 응용 프로그램 및 영역에 대한 인증 방법 및 클레임 공급자 설정을 보여 줍니다.
.jpg "SPIisSettings 다이어그램")
참고
중앙 관리 웹 사이트에서 모든 클레임 공급자는 IsUsedByDefault 속성이 True로 설정되었는지 여부에 관계없이 사용자 선택의 사용자 및 그룹 선택 대화 상자에 표시됩니다.
사용자 지정 클레임 공급자를 위해 만든 기능 수신기에서 구성하여 IsUsedByDefault 속성을 설정할 수 있습니다. 기능 수신기를 사용하여 사용자 지정 클레임 공급자를 배포하는 방법에 대한 자세한 내용은 예제: 클레임 공급자를 배포하기 위한 기능 수신기(영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=207590&clcid=0x412)(영문일 수 있음)를 참조하십시오.
또한 Set-SPClaimProviderWindows PowerShell cmdlet을 사용하여 IsEnabled 및 IsUsedByDefault 속성의 설정을 재정의할 수 있습니다.
중요
IsEnabled 속성을 False로 변경하면 전체 서버 팜에 대해 클레임 공급자가 사용하지 않도록 설정됩니다. 이렇게 하면 사용자 지정 클레임 공급자로 인해 발생했을 수 있는 문제를 해결할 때 유용할 수 있습니다. 하지만 일반적으로 IsEnabled 속성은 True로 설정되어 있어야 합니다.
두 개 이상의 팜에 사용자 지정 클레임 사용
클레임 값은 클레임 자체, 클레임 공급자 이름 및 클레임 공급자가 서버에 설치된 순서로 조합된 값입니다. 따라서 여러 팜 또는 환경에서 클레임을 사용하려면 클레임을 사용하려는 각 팜에서 동일한 순서로 클레임 공급자를 설치해야 합니다. 팜에서 사용자 지정 클레임 공급자를 설치했고 추가 팜에서 동일한 클레임을 사용하려는 경우 다음 단계를 수행합니다.
첫 번째 팜에 등록된 것과 같은 순서로 추가 팜에서 클레임 공급자를 등록합니다.
첫 번째 팜의 백업을 수행합니다. 팜을 백업하는 방법에 대한 자세한 내용은 Back up a farm (SharePoint Foundation 2010)을 참조하십시오.
첫 번째 팜의 백업을 사용하여 다른 팜을 복원합니다. 팜을 복원하는 방법에 대한 자세한 내용은 Restore a farm (SharePoint Foundation 2010)을 참조하십시오.
사용자 지정 클레임 공급자 고려 사항
SharePoint 솔루션에서 사용자 선택에 사용하려는 사용자 지정 클레임 공급자를 계획할 때는 다음과 같은 질문을 고려하십시오.
웹 응용 프로그램에 있는 영역과 각 영역에 사용된 인증 방법은 무엇입니까?
고급 보안 시나리오를 지원하기 위해 사용자에 추가해야 하는 사용자 지정 클레임이 있습니까?
신뢰할 수 있는 ID 공급자에 대해 SAML 인증을 사용할 예정입니까?
사용자 선택 쿼리 결과에 표시되는 사용자 및 역할에 대한 값의 원본은 무엇입니까?
사용자 및 그룹 선택 대화 상자에서 확인하려는 클레임 데이터는 무엇입니까?
SharePoint Foundation 2010 콘텐츠 게시 팀에서는 이 문서 작성에 도움을 주신 Steve Peschka에게 감사를 드립니다. Steve의 블로그는 여기(영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=210274&clcid=0x412)(영문일 수 있음)에서 찾을 수 있습니다.