엑스트라넷 환경의 모범 사례(SharePoint Server 2010)

 

적용 대상: SharePoint Foundation 2010, SharePoint Server 2010

마지막으로 수정된 항목: 2016-11-30

이 문서에서는 내부 네트워크 외부의 사용자에게 사이트에 대한 액세스 권한이 부여되는 SharePoint Server을 기준으로 하여 엑스트라넷 환경에 대한 계획 및 디자인 권장 사항에 대해 설명합니다. 이 문서는 Microsoft SharePoint Server 2010의 모범 사례 문서 시리즈 중 하나입니다.

1. SharePoint 2010 제품 모델에 대한 엑스트라넷 토폴로지 시작

SharePoint 2010 제품 모델에 대한 엑스트라넷 토폴로지에서는 SharePoint 2010 제품에서 테스트된 특정 엑스트라넷 토폴로지에 대해 설명합니다. 또한 SharePoint 2010 제품이 포함된 방화벽 또는 게이트웨이 제품에서 사용된 경우 ISA(Internet Security and Acceleration) Server, Forefront TMG(Threat Management Gateway) 및 Forefront UAG(Unified Access Gateway)에 대한 비교도 제공합니다.

SharePoint 2010 제품용 엑스트라넷 토폴로지

SharePoint 2010 제품 모델에 대한 엑스트라넷 토폴로지(영문일 수 있음)

SharePoint 2010 제품 모델용 엑스트라넷 토폴로지 다운로드(영문일 수 있음)(https://go.microsoft.com/fwlink/?LinkId=219527&clcid=0x412)(영문일 수 있음)

2. 적합한 서버 라이선스 선택

서버의 라이선스 또는 라이선스 조합은 몇 가지 요소에 따라 달라집니다. SharePoint Server 2010에 대해서는 서버 팜 계획(SharePoint Server 2010)에서 엑스트라넷 환경에 적용되는 라이선스 옵션 및 여러 고려 사항에 대한 설명을 참조하십시오.

3. 여러 가지 인증 메커니즘 활용

모든 사용자를 단일 인증 메커니즘으로 표준화하려고 하지 마십시오. 각 사용자 대상에 가장 적합한 환경을 제공하는 인증 메커니즘을 사용하십시오. 예를 들어 파트너에 대해 SAML 클레임 기반 인증을 사용하면 이러한 사용자가 하나의 인증서 집합을 사용할 수 있습니다. 단일 인증 메커니즘을 조직 내 모든 사용자에게 배포하는 대신 SharePoint Server에서 제공되는 유연한 인증 구성 기능을 활용하십시오.

여러 가지 인증 메커니즘을 활용하는 디자인의 예를 보려면 디자인 예제: 회사 배포(SharePoint Server 2010)를 참조하십시오.

4. 사용자 인증의 일관성 유지

사용자가 내부 네트워크 안에 있든 바깥에 있든 사이트에 로그온할 때 동일한 계정과 자격 증명을 사용할 수 있도록 하십시오. 사용자가 서로 다른 두 가지 인증 공급자를 통해 사이트에 연결할 경우 SharePoint Server은 각 사용자에게 대해 서로 다른 두 가지 계정과 프로필을 만들기 때문에 이러한 일관성이 중요합니다.

Windows 인증을 내부적으로 사용할 경우 사용자가 내부적으로 그리고 외부적으로 동일한 계정을 사용하여 로그온할 수 있도록 보장하기 위한 방법이 최소한 두 가지 있습니다.

• 방화벽 또는 게이트웨이 제품에서 폼 기반 인증을 사용하여 SharePoint 팜으로 전달되는 Windows 자격 증명을 수집합니다. 이러한 방법은 SharePoint 사이트에 대해 폼 기반 인증이 지원되지 않는 클래식 모드 인증을 사용하는 환경에 적용됩니다.

• SSL(Secure Sockets Layer)을 사용하여 내부 및 외부적으로 사용할 수 있는 단일 URL을 구현합니다. 즉, 직원이 어디에 있든 간에 SSL용으로 구성된 동일한 영역을 사용합니다.

5. 웹 응용 프로그램 간에 영역을 동일하게 구성

엑스트라넷 환경에서는 영역 디자인이 중요합니다. 영역 구성이 다음 요구 사항을 충족하는지 확인하십시오.

• 여러 웹 응용 프로그램에서 영역을 서로 동일하게 구성합니다. 인증, 영역, 영역에 지정된 사용자에 대한 구성이 동일해야 합니다. 하지만 영역에 연결된 정책은 웹 응용 프로그램에 따라 다를 수 있습니다. 예를 들어 인트라넷 영역은 모든 웹 응용 프로그램에서 동일한 직원을 위해 사용되어야 합니다. 즉, 인트라넷 영역을 특정 웹 응용 프로그램에서는 내부 직원용으로 구성하고 다른 웹 응용 프로그램에서는 원격 직원용으로 구성하면 안 됩니다.

• 각 영역과 각 리소스에 대해 대체 액세스 매핑을 적절하고 정확하게 구성합니다. 영역을 만들면 대체 액세스 매핑이 자동으로 만들어집니다. 그러나 SharePoint Server에서 파일 공유 등의 외부 리소스에 있는 콘텐츠를 크롤링하도록 구성할 수 있습니다. 대체 액세스 매핑을 사용하여 이러한 외부 리소스에 대해 각 영역의 링크를 수동으로 만들어야 합니다.

6. 역방향 프록시 서버 활용

각 요청에 대해 요청 검사 규칙을 적용할 수 있는 역방향 프록시 서버를 사용하여 직접 사용자 요청으로부터 환경을 보호합니다. 역방향 프록시는 내부 클라이언트의 구성에 대한 정보 노출을 방지할 수 있으며, 웹 서버에서의 SSL 오버헤드를 방지하기 위해 클라이언트 SSL 세션을 안전하게 종료하는 데 사용할 수 있습니다.

Forefront UAG(Unified Access Gateway)는 엑스트라넷 환경에서 SharePoint Server과 조합할 경우 다양한 기능을 제공하는 역방향 프록시 서버입니다. 자세한 내용은 다음 리소스를 참조하십시오.

• SharePoint publishing solution guide

• Why enable SharePoint extranet access with Forefront UAG?

7. 모바일 장치에 대한 방화벽 간 액세스 및 설정 구성

방화벽 간 액세스 영역은 모바일 알림 메시지에 대한 외부 URLS를 생성하는 데 사용됩니다. 또한 사용자가 리본 메뉴에서 링크를 포함시켜 전자 메일 보내기 단추를 클릭하여 외부에서 액세스할 수 있는 URL을 전송할 수도 있습니다. 장치를 회사 방화벽 외부에서 사용할 때 Windows Phone 7과 같은 모바일 장치에서 SharePoint 사이트에 액세스할 수 있도록 하려면 몇 가지 구성이 필요합니다.

자세한 내용은 다음 문서를 참조하십시오.

• 모바일 장치에 대한 외부 액세스 구성(SharePoint Server 2010)

• 모바일 장치용 계획(SharePoint Server 2010)

8. 다중 도메인에 대한 사용자 선택 구성

엑스트라넷 환경은 여러 도메인으로 확장될 수 있으므로, 의도된 도메인으로부터 사용자, 그룹 및 클레임을 반환하도록 사용자 선택을 구성해야 합니다.

자세한 내용은 다음 리소스를 참조하십시오.

• 여러 포리스트 또는 도메인에서 사용자 선택 사용

• 단방향 트러스트 사용 시 크로스 포리스트 또는 도메인 간 쿼리 사용

9. 바이러스 검사 설정 구성

SharePoint Server에는 중앙 관리를 사용하거나 stsadm 명령줄 도구를 사용하여 구성할 수 있는 바이러스 백신 스캐너가 포함되어 있습니다.

10. Secure Store Service를 사용하여 백 엔드 데이터 원본에 액세스하는 서비스에 대한 자격 증명 관리

위임된 Windows ID(Excel Services, PerformancePoint Services, InfoPath Forms Services 및 Visio Services)를 사용하여 외부 데이터 원본에 액세스하는 서비스 응용 프로그램은 환경에 대한 추가 요구 사항이 있습니다. 외부 데이터 원본이 서비스를 호스팅하는 SharePoint 팜과 동일한 도메인 내에 있어야 하거나 서비스 응용 프로그램이 Secure Store Service를 사용하도록 구성되어 있어야 합니다. Secure Store Service를 사용하지 않고 팜 서버가 두 도메인 간에 분할되어 있는 경우에는 응용 프로그램 서버가 외부 데이터 원본과 동일한 도메인에 있어야 합니다. 외부 데이터 원본이 동일한 도메인 내에 있지 않은 경우 외부 데이터 원본에 대한 인증이 실패하게 됩니다.

11. 연속 토폴로지 분할을 위한 DNS 구성

웹 서버가 내부 네트워크와 경계 네트워크 사이에 분할되어 있는 경우 트래픽을 의도된 웹 서버로 보내도록 DNS가 각 네트워크 영역에서 적합한 레코드를 사용하여 구성되었는지 확인합니다.

DNS 구성에 대한 자세한 내용은 디자인 예제: 회사 배포(SharePoint Server 2010) 문서의 "영역 및 URL"을 참조하십시오.

SharePoint Server 2010 콘텐츠 게시 팀에서는 이 문서 작성에 도움을 주신 다음 기고자 여러분에게 감사의 뜻을 전합니다.

• Ali Mazaheri, Microsoft Consulting Services

• Bryan Porter, Microsoft Consulting Services

• Steve Walker, Microsoft SharePoint Customer Engineering

• Tajeshwar Singh, Microsoft Consulting Services