Reporting Services에 대한 인증 구성
새 설치: 2006년 12월 12일
Reporting Services에서 인증은 인터넷 정보 서비스(IIS)에 의해 처리됩니다. Reporting Services는 가상 디렉터리 수준에서 설정되는 인증 방법을 사용하여 보고서 서버에 대한 사용자 연결을 인증합니다. 대부분의 경우 인증 유형은 부모 웹 사이트에서 상속되지만 가상 디렉터리에 다른 인증 유형을 지정할 수 있습니다.
Reporting Services는 IIS에서 다음 인증 방법과 함께 작동합니다.
- Windows 통합 인증
- 기본 인증
- 익명 인증(로그온 요청을 타사 또는 사용자 지정 폼 기반 공급자에 전달하는 경우에만 사용 권장)
다이제스트 및 .NET Passport 인증은 Reporting Services에서 지원되지 않습니다.
Reporting Services와 통합하는 응용 프로그램을 개발하는 경우 보고서 서버 웹 서비스에 대한 요청을 인증하는 방법을 알아야 합니다. 자세한 내용은 Web Service Authentication을 참조하십시오.
기본 인증 설정
기본적으로 보고서 서버 및 보고서 관리자 가상 디렉터리는 Windows 통합 인증을 사용하도록 구성됩니다. 가상 디렉터리에 대해 익명 액세스를 사용할 수 없습니다. 다른 인증 방법은 선택하지 않습니다.
기본 보안을 사용하는 경우 보고서 서버에 액세스해야 하는 각 사용자는 유효한 Windows 사용자 계정을 가지거나 Windows 그룹 계정의 멤버여야 합니다. 트러스트된 도메인에 한하여 다른 도메인의 계정을 포함할 수 있습니다. 이 계정은 보고서 서버를 호스팅하는 웹 서버에 액세스할 수 있어야 하며 이후에 특정 보고서 서버 작업에 액세스할 수 있도록 역할에 할당되어야 합니다.
모든 클라이언트 및 서버 컴퓨터가 동일한 도메인 또는 트러스트된 도메인에 있고 브라우저 유형이 통합 Windows 인증을 지원하며 회사 방화벽 뒤에서 인트라넷 액세스에 대해 보고서 서버가 배포되는 경우 기본 설정이 가장 적합합니다. 보고서 서버에 대한 인터넷 액세스를 지원하거나 작업 그룹 보안을 사용하는 경우 기본 설정을 사용자 지정할 가능성이 가장 높습니다.
Windows 자격 증명을 전달하려면 트러스트된 단일 도메인이 필요합니다. 서버에 대해 Kerberos 버전 5 프로토콜을 사용하는 경우에만 자격 증명을 두 번 이상 전달할 수 있습니다. Kerberos를 사용하지 않으면 만료 전까지 자격 증명을 한 번만 전달할 수 있습니다. 여러 컴퓨터 연결에 대해 자격 증명을 구성하는 방법은 자격 증명 및 연결 정보 지정을 참조하십시오.
[!참고] 보고서 서버 가상 디렉터리를 포함하는 웹 사이트가 Kerberos 인증에 대해 구성되어 있고 사용자가 응용 프로그램 풀에서 도메인 사용자 계정을 사용하는 경우 계정에 대한 SPN(서비스 사용자 이름)을 만들어야 할 수 있습니다. 자세한 내용은 Microsoft TechNet 웹 사이트의 Kerberos에 대한 제약 위임 구성(IIS 6.0)(Configuring Constrained Delegation for Kerberos (IIS 6.0))을 참조하십시오.
인증 유형 개요
IIS는 보고서 서버 및 보고서 관리자에 대한 사용자 연결을 인증합니다. 다음 목록에서는 사용할 수 있는 IIS 인증 옵션에 대해 설명합니다.
- 위임되거나 가장된 자격 증명을 사용하는 Windows 통합 인증
보고서 서버에 대한 연결은 현재 사용자의 암호화된 도메인 자격 증명을 사용합니다. Windows 인증(통합 보안)은 보고서 서버 및 보고서 관리자 가상 디렉터리에 대한 기본 인증 방법입니다. Reporting Services 구성 도구와 설치 프로그램은 항상 이 방법을 사용하도록 디렉터리 보안을 구성합니다. 도메인에서 Kerberos 인증이 사용되는 경우 데이터를 보고서에 제공하는 외부 데이터 원본에 연결하는 데 현재 보안 티켓을 사용할 수도 있습니다.
기본 인증
이전에 할당된 Windows 계정 사용자 이름 및 암호를 사용하여 보고서 서버에 연결합니다. 기본 인증을 사용하는 경우 사용자 이름 및 암호는 일반 텍스트로 전송됩니다. 그러나 네트워크를 통해 사용자 계정 정보를 보내기 전에 SSL(Secure Sockets Layer)을 사용하여 암호화하여 보다 안전한 전송을 수행할 수 있습니다.SSL은 HTTP TCP/IP 연결을 통해 클라이언트에서 보고서 서버로 연결 요청을 보내는 데 암호화된 채널을 제공합니다. 자세한 내용은 Microsoft TechNet 웹 사이트의 SSL을 사용하여 기밀 데이터 암호화(Using SSL to Encrypt Confidential Data)를 참조하십시오.
- 익명 액세스
익명 액세스에 대한 Windows 사용자 계정에서 모든 사용자에 대해 보고서 서버에 연결합니다. IIS에서 이는 기본적으로 IUSR_<computername> 계정입니다. 사용자에게 사용자 이름 또는 암호를 묻는 메시지가 표시되지 않습니다. 사용자 지정 보안 확장 프로그램을 사용하는 경우에만 익명 액세스를 사용해야 합니다. 사용자 지정 인증을 사용하지 않는 경우에는 보고서 서버 가상 디렉터리에서 익명 액세스를 사용하지 마십시오. 그렇지 않으면 역할 할당을 의미 있는 방식으로 변경할 수 없게 되고 모든 사용자가 익명 사용자 계정으로 보고서 서버에 액세스하게 되며 보고서 관리자를 통해 보고서 서버를 관리할 수 있는 권한은 아무에게도 부여되지 않게 됩니다.
인증 설정 변경
Reporting Services는 기본적으로 Windows 통합 인증을 사용합니다. 다른 인증 공급자를 사용할 경우에는 IIS 관리자를 사용하여 디렉터리 보안 속성을 지정합니다.
- IIS 관리자를 엽니다.
- 보고서 서버 가상 디렉터리를 마우스 오른쪽 단추로 클릭하고 속성을 클릭합니다.
- 디렉터리 보안을 클릭합니다.
- 인증 및 액세스 제어에서 편집을 클릭하여 인증 방법 대화 상자를 엽니다.
- (옵션) Windows 통합 인증 확인란의 선택을 취소합니다.
Windows 통합 인증과 기본 인증 모두에 대해 보고서 서버 가상 디렉터리가 구성된 경우 보고서 서버는 Windows 인증을 먼저 시도합니다. 기본 인증만 사용할 경우에는 Windows 통합 인증 확인란의 선택을 취소해야 합니다. - 기본 인증을 선택합니다.
- 웹 서버의 클라이언트를 인증하는 데 사용되는 기본 도메인 또는 영역을 설정합니다.
사용자 지정 인증 확장 프로그램을 배포하거나 기본 인증에 대해 구성된 보고서 서버를 통한 보고서 작성기에 대한 액세스를 허용하는 경우를 제외하고는 익명 액세스를 사용하지 마십시오. 다이제스트 또는 Passport를 사용하지 마십시오. 이는 Reporting Services에서 지원되지 않는 인증 옵션입니다.
보고서 서버에 대한 인증 방법을 구성하는 경우 모든 구성 요소에 대해 동일한 방법을 사용해야 합니다. 보고서 관리자에 대해 다른 인증 유형을 지정하지 마십시오. 다른 인증 유형을 지정하는 경우 사용자는 보고서 관리자 작업과 보고서 서버 작업 모두에 대해 서로 다른 로그온 자격 증명을 제공해야 합니다. 마찬가지로 보고서 서버에서 기본 인증을 사용하도록 구성한 경우를 제외하고 보고서 작성기에 대한 인증 유형은 보고서 서버에서 사용하는 인증 공급자와 동일해야 합니다. 기본 인증을 사용하는 경우 보고서 작성기 폴더에 대한 익명 액세스에서 ClickOnce 응용 프로그램 실행 프로그램에 연결 요청을 전달하도록 허용해야 합니다. 자세한 내용은 보고서 작성기 액세스를 위한 보고서 서버 구성을 참조하십시오.
기본 인증을 사용하는 방법과 IIS에서 인증 유형을 선택하는 방법은 Microsoft TechNet 웹 사이트의 기본 인증 사용 및 영역 이름 구성(Enabling Basic Authentication and Configuring the Realm Name) 및 웹 사이트 인증 방법 선택(Selecting a Web Site Authentication Method)을 참조하십시오.
익스트라넷 및 인터넷 액세스에 대한 인증 구성
인터넷 또는 익스트라넷 액세스가 필요한 배포 모델에는 Windows 통합 인증이 적합하지 않습니다. 인터넷 연결 웹 서버에 Reporting Services를 배포하는 경우 보고서 서버에 대한 액세스 권한을 외부 사용자에게 부여하는 방법을 보다 효과적으로 제어할 수 있는 사용자 지정 인증 확장 프로그램으로 Windows 인증을 대체해야 합니다. 사용자 지정 인증 확장 프로그램을 만들려면 사용자 지정 코드와 ASP.NET 보안 관련 지식이 필요합니다. 자세한 내용은 Implementing a Security Extension을 참조하십시오.
사용자 지정 인증 확장 프로그램을 코딩하지 않으려는 경우 Microsoft Active Directory 그룹 및 계정을 사용할 수 있지만 보고서 서버 배포 범위를 대폭 줄여야 합니다. 다음 지침에서는 이러한 시나리오를 지원하는 방법에 대해 설명합니다.
- 읽기 전용 권한을 가진 낮은 권한의 도메인 사용자 계정을 만듭니다. 이 계정은 보고서 서버를 호스팅하는 컴퓨터에 대한 액세스 권한을 가지고 있어야 합니다. 사용자가 권한이 낮은 도메인 계정을 사용하여 로그온할 수 있도록 사용자 지정 웹 폼을 제공합니다.
- 사용자 계정을 보고서 서버 폴더 계층의 특정 항목에 매핑시키는 역할 할당을 만듭니다. 미리 정의된 역할인 브라우저를 역할 할당으로 선택하여 읽기 전용 작업에 대한 액세스를 제한할 수 있습니다.
- 저장된 자격 증명을 사용하여 보고서 데이터를 가져오도록 보고서를 구성합니다. 이 방법은 보고서 서버에 액세스할 수 있는 계정이 아닌 다른 계정을 사용하여 외부 데이터 원본을 쿼리할 경우에 유용합니다. 이러한 옵션에 대한 자세한 내용은 자격 증명 및 연결 정보 지정을 참조하십시오.
참고 항목
개념
Reporting Services의 사용 권한 및 보안 관리
역할 할당 만들기, 수정 및 삭제
자격 증명 및 연결 정보 지정
Reporting Services 배포에서 연결 및 계정
SSL(Secure Sockets Layer) 연결에 대한 보고서 서버 구성
보고서 작성기 액세스를 위한 보고서 서버 구성
관련 자료
Implementing a Security Extension