Visio Services 보안 계획(SharePoint Server 2010)
적용 대상: SharePoint Server 2010
마지막으로 수정된 항목: 2012-05-21
Microsoft SharePoint Server 2010을 배포하기 위한 보안 요구 사항 외에도 Microsoft SharePoint Server 2010의 Visio Services를 포함하는 배포를 위한 보안 고려 사항에 대해서도 검토해야 합니다. Visio Services를 사용하면 게시된 Visio 웹 드로잉을 렌더링할 수 있습니다. 이러한 드로잉은 외부 데이터와 연결할 수 있으며 해당 외부 데이터를 바탕으로 드로잉 요소가 업데이트될 수 있습니다. 이러한 데이터 렌더링 시나리오를 구현하는 데 중요한 구성 요소는 바로 보안입니다. Visio Graphics Service를 사용하면 Visio 웹 드로잉 및 드로잉과 연결할 수 있는 데이터 원본을 처리하고 표시하는 작업을 상당히 세부적으로 제어할 수 있습니다.
데이터와 연결되지 않는 웹 드로잉
게시된 Visio 드로잉(.VDW 파일)은 Visio Services에서 열 수 있도록 SharePoint 문서 라이브러리에 저장됩니다. SharePoint Server 2010에서는 문서 라이브러리에 저장된 파일의 ACL(액세스 제어 목록)을 유지 관리합니다. 라이브러리 규칙을 정확하게 설정하면 특정 드로잉에 대한 액세스를 제한할 수 있습니다.
데이터와 연결되는 Visio 웹 드로잉
Visio Graphics Service는 SharePoint 목록, 팜에서 호스팅되는 Excel 통합 문서, Microsoft SQL Server와 같은 데이터베이스, 사용자 지정 데이터 원본 등의 데이터 원본에 연결할 수 있습니다. 신뢰할 수 있는 데이터 공급자를 명시적으로 정의하고 이를 신뢰할 수 있는 데이터 공급자 목록에서 구성하여 특정 데이터 원본에 대한 액세스를 제어할 수 있습니다.
Visio Services가 데이터 연결 웹 드로잉을 로드하는 경우 서비스에서 지정된 데이터 공급자가 신뢰할 수 있는 데이터 공급자인지 확인하기 위해 웹 드로잉에 저장되는 연결 정보를 확인합니다. 신뢰할 수 있는 공급자 목록에 포함된 공급자의 경우 연결이 수행되고 그렇지 않은 경우 연결 요청이 무시됩니다.
관리자가 특정 데이터 원본과의 연결이 가능하도록 Visio Services를 구성한 경우 데이터 원본의 종류에 따라 추가로 보안 구성을 수행해야 합니다. 다음은 Visio Services에서 지원하는 데이터 원본입니다.
Excel Services가 포함된 SharePoint Server에 저장된 Excel 통합 문서
SharePoint 목록
SQL Server 데이터베이스와 같은 데이터베이스
사용자 지정 데이터 공급자
SharePoint 목록과 연결되는 Visio 웹 드로잉
게시된 Visio 드로잉은 드로잉이 호스팅되는 동일한 팜의 SharePoint 목록에 연결할 수 있습니다. 웹 드로잉을 보는 사용자는 드로잉과 드로잉이 연결된 SharePoint 목록 모두에 액세스할 수 있어야 합니다. 이러한 사용 권한 및 자격 증명은 SharePoint Server 2010에서 관리됩니다.
Excel Services와 연결되는 Visio 웹 드로잉
Excel Services가 제대로 구성되어 실행되고 있으면 게시된 Visio 드로잉은 다이어그램과 동일한 팜에서 호스팅되는 Excel 통합 문서에 연결할 수 있습니다. 웹 드로잉을 보려는 사용자는 드로잉과 드로잉이 연결된 Excel 통합 문서 모두에 액세스할 수 있어야 합니다. 이러한 사용 권한 및 자격 증명은 SharePoint Server 2010에서 관리됩니다.
SQL Server 데이터베이스와 연결되는 Visio 웹 드로잉
게시된 Visio 웹 드로잉이 SQL Server 데이터베이스와 연결된 경우 Visio Services는 추가 보안 구성 옵션을 사용하여 Visio Graphics Service 및 데이터베이스 간에 연결을 설정합니다. Visio 웹 드로잉은 ODC(Office 데이터 연결) 파일에 저장된 연결을 사용할 수 있습니다. 무인 계정 및 Secure Store Service를 사용하는 데이터 연결 웹 드로잉을 작성하려면 사용자가 먼저 Microsoft Excel을 사용하여 Office 데이터 연결 파일을 만들어야 합니다.
Visio Services에서 지원하는 인증 모델은 다음과 같습니다.
Windows 통합 인증 이 보안 모델에서 Visio Graphics Service는 드로잉을 보는 사용자의 ID를 사용하여 데이터베이스에 대해 인증합니다. 제한된 Kerberos 위임이 포함된 Windows 통합 인증을 사용하면 이 목록에 나타난 다른 인증 방법보다 보안을 강화하는 데 많은 도움이 됩니다. 이 구성을 사용하려면 Visio Graphics Service를 실행하는 응용 프로그램 서버와 데이터베이스 서버 간에 제한된 Kerberos 위임이 사용되어야 합니다. 데이터베이스 자체에서 Kerberos 기반 인증을 사용하기 위해 추가 구성이 필요할 수 있지만 이 문서에서는 이와 관련된 내용을 다루지 않습니다.
Secure Store Service 이 보안 모델에서 Visio Graphics Service는 Secure Store Service를 사용하여 사용자의 자격 증명을 데이터베이스에 대한 액세스 권한이 있는 다른 자격 증명에 매핑합니다. Secure Store Service에서는 Windows 통합 인증 및 다른 종류의 인증에 대한 개별 사용자 및 그룹 매핑을 지원합니다. 따라서 관리자가 일대일, 다대일 또는 다대다 관계를 보다 유연하게 정의할 수 있습니다. 이 인증 모델은 ODC 파일을 통해 연결을 지정하는 드로잉에만 사용됩니다. ODC 파일은 자격 증명을 매핑하는 데 사용할 대상 응용 프로그램을 지정합니다.
무인 서비스 계정 보다 손쉬운 구성을 위해 Visio Graphics Service에서는 특수한 구성을 제공하는데, 이 구성에서는 관리자가 Secure Store 대상 응용 프로그램을 사용하여 모든 사용자를 단일 계정에 연결할 수 있는 고유한 매핑을 만들 수 있습니다. 이 매핑된 계정을 무인 서비스 계정이라고 하며 데이터베이스에 대한 액세스 권한이 있는 권한 수준이 낮은 Windows 도메인 계정이어야 합니다. Visio Graphics Service는 다른 인증 방식이 지정되어 있지 않은 경우 데이터베이스에 연결할 때 이 계정을 가장합니다. 이 방법을 사용하면 데이터베이스에 대해 개인 설정된 쿼리가 사용되지 않으며 데이터베이스 호출을 감사할 수 없습니다. 이 인증 방식은 SQL Server 데이터베이스에 연결할 때 사용되는 기본 인증 방식입니다. Visio 웹 드로잉에서 다른 인증 방식을 지정하는 ODC 파일이 사용되지 않으면 Visio Services에서는 무인 계정을 통해 지정된 자격 증명을 사용하여 SQL Server 데이터베이스에 연결합니다.
보다 규모가 큰 서버 팜의 경우 여기에 설명된 인증 방법을 혼합하여 Visio 드로잉에 사용할 수도 있습니다. 다음 사항을 유의하십시오.
Visio Services에서는 동일한 팜에 Secure Store Service 및 무인 서비스 계정을 모두 사용할 수 있도록 지원합니다. SQL Server 데이터에 연결되어 있지만 ODC 파일을 사용하지 않는 웹 드로잉에는 무인 계정이 필요하며 항상 사용됩니다.
Kerberos 인증을 사용하여 Windows 통합 인증이 구성된 경우 Visio Services에서 무인 계정 인증 모드를 사용하는 드로잉은 렌더링하지 않습니다.
특정 자격 증명을 요구하는 드로잉에 대해서는 Secure Store 대상 응용 프로그램이 지정된 ODC 파일을 사용하도록 드로잉을 구성하면 Windows 통합 인증과 Secure Store를 함께 사용할 수 있습니다.