SharePoint Server의 Business Connectivity Services 보안 작업 개요Overview of Business Connectivity Services security tasks in SharePoint Server

적용 대상: 예2013 예2016 yes2019 SharePointOnline 없음APPLIES TO: yes2013 yes2016 yes2019 noSharePoint Online

Microsoft Business Connectivity Services(BCS)를 통해 사용하는 데이터에 대한 보안을 제공하는 것은 모든 BCS 솔루션의 중요한 부분입니다. SharePoint 콘텐츠 데이터베이스에 저장되는 일반적인 SharePoint 데이터와 달리 BCS 솔루션에서 표시하는 데이터는 외부 시스템에서 SharePoint 외부에 존재합니다. BCS는 SharePoint가 외부 데이터에 연결하기 위해 사용하는 채널을 제공합니다. 사이트 액세스 권한 및 목록 권한과 같은 일반적인 SharePoint Server 보안 컨트롤 내에서 작동하는 것 외에도 BCS 솔루션은 추가적인 통신 및 보안 계층을 처리해야 합니다. 예를 들어 외부 시스템에서는 다른 인증 메커니즘 또는 공급자를 사용할 수 있으며, 사용자가 SharePoint Server에 액세스하기 위해 사용하는 것과 다른 인증 자격이 필요할 수 있습니다. BCS 솔루션에는 다양한 보안 계층이 있기 때문에 관련된 보안 구성 작업도 여러 가지입니다.Providing security for the data that you work with through Microsoft Business Connectivity Services (BCS) is a critical part of every BCS solution. Unlike regular SharePoint data, which is stored in a SharePoint content database, the data that BCS solutions make visible live outside of SharePoint in external systems. BCS provides the channel that SharePoint uses to get to the external data. In addition to working within the usual SharePoint Server security controls such as site access permissions and list permissions, BCS solutions have to deal with additional communication and security layers. For example, the external system might use a different authentication mechanism or provider, and require different credentials than the ones your users use to access SharePoint Server with. Because there are more security layers in a BCS solution, there are more security configuration tasks involved.

Business Connectivity Services 보안 작업은 IT 전문가 역할, 사이트 모음 관리자 또는 사이트 소유자 역할, 개발자 역할의 세 가지 역할로 구분됩니다. 다음 예에서는 각 역할의 책임에 대해 설명합니다.The Business Connectivity Services security tasks fall to three different roles: the IT professional; the site collection administrator, or site owner; and the developer. The following examples describe what each role is responsible for.

  • IT 전문가는 메타데이터 저장소 및 해당 콘텐츠에 대해 보안을 관리할 책임이 있습니다. 이들은 또한 Secure Store Service에서 계정 및 그룹 관리와 자격 증명 매핑을 처리합니다.IT professionals have the responsibility of managing the security on the Metadata Store and its contents. They also handle account and group administration and credential mapping in the Secure Store Service.

  • 사이트 모음 관리자 및 사이트 소유자는 외부 시스템에서 사용하는 보안 종류를 이해하고 이러한 시스템과 통신하기 위한 비코드 또는 선언적, 외부 콘텐츠 형식을 구성하는 방법을 이해할 책임이 있습니다. 이들은 또한 외부 목록 및 비즈니스 데이터 웹 파트에 대한 보안을 계획하고 적용할 책임이 있습니다.Site collection administrators and site owners are responsible for understanding the kind of security the external system uses and how to configure no-code, or declarative, external content types to communicate with it. They are also responsible for planning and applying security to external lists and business data Web Parts.

  • BCS 솔루션 개발자는 외부 시스템이 사용하는 보안 종류를 이해하고 이와 통신하기 위한 BDC 모델 구성 방법 및 Office 및 SharePoint용 앱의 개발 및 배포에 대한 보안을 이해할 책임이 있습니다.BCS solution developers are responsible for understanding the kind of security that the external system uses and how to configure the BDC model to communicate with it, and security around development and deployment of apps for Office and SharePoint.

BCS(Business Connectivity Services) 보안Business Connectivity Services security

****Business Data Connectivity** 서비스에 대한 관리 위임****Delegation of administration to the **Business Data Connectivity service****

팜 관리자가 Business Data Connectivity 서비스 인스턴스를 만든 후 처음 해야 하는 작업은 서비스 관리를 다른 계정(일반적으로 팜 관리자 권한이 없는 계정)에 위임하는 것입니다. 이 모범 사례는 최소 권한의 원칙을 따릅니다. 위임된 계정에는 SharePoint 중앙 관리 웹 사이트를 열고 Business Data Connectivity 서비스 서비스 응용 프로그램에 액세스하는 데 필요한 권한이 부여됩니다. 이 계정은 서비스를 관리하는 데 사용되는 기본 계정이어야 합니다. 부여하거나 취소할 수 있는 유일한 권한은 모든 권한입니다.The first task that the farm administrator should perform after creating an instance of the Business Data Connectivity service is to delegate administration of the service to a different account, preferably one without farm administrator rights. This best practice follows the principle of least-privilege. The delegated account will be granted the necessary permissions to open the SharePoint Central Administration website and access to the Business Data Connectivity service service application. This should be the primary account that is used to administer the service. The only permission that can be granted or revoked is Full Control.

메타데이터 저장소 및 해당 콘텐츠에 대한 권한 관리Managing permission on the Metadata Store and its contents

메타데이터 저장소에는 Business Data Connectivity 서비스 응용 프로그램이 사용하는 BDC 모델 정의, 외부 콘텐츠 형식 및 외부 시스템이 저장됩니다. BCS 서비스 관리자의 주요 작업 중 하나는 메타데이터 저장소 및 여기에 포함된 모든 항목의 보안을 관리하는 것입니다. 메타데이터 저장소의 항목은 두 가지 방식으로 권한을 갖습니다. 첫 번째로는 메타데이터 저장소, BDC 모델, 외부 시스템 또는 외부 콘텐츠 형식에 권한을 직접 적용할 수 있습니다. 두 번째 방법은 상위 수준 항목에서 권한을 상속하는 것입니다. 다음 그림에서는 두 방법을 모두 보여줍니다.The Metadata Store holds the external content type, the external system, and the BDC model definitions that the Business Data Connectivity service application uses. One of the main jobs of the BCS Services administrator is to manage security of the Metadata Store and all the items it contains. Items in the Metadata Store get their permissions in two ways. First you can directly apply the permissions to the Metadata Store, BDC models, external systems, or external content types. The second way is by inheriting them from a higher level item. Both methods are shown in the following figure.

그림: 메타데이터 저장소 권한Figure: Metadata Store permissions

메타데이터 저장소 사용 권한 다이어그램

  • 상속성 상속성은 두 가지 방식으로 발생합니다. 첫 번째는, 항목이 메타데이터 저장소에 추가될 때입니다. 이 때 메타데이터 저장소 자체의 권한 구성을 상속합니다. 두 번째로는 메타데이터 저장소, 외부 시스템 및 외부 콘텐츠 형식 항목이 계층에서 아래 있는 항목의 권한을 강제로 덮어쓸 수 있습니다. 이 경우는 상위 항목에 대한 권한을 설정할 때 사용 권한을 모든 ...에 전파를 클릭하고 확인을 클릭할 때 발생합니다.Inheritance Inheritance happens in two ways. First when any item is added to the Metadata Store, it inherits the permissions configuration of the Metadata Store itself. Second, the Metadata Store, external system, and external content type items can forcibly overwrite the permissions of items that are below them in the hierarchy. This happens when you select the Propagate permissions to all… and click OK when you are setting permissions on the parent item.

  • 직접 응용 프로그램 항목의 사용 권한이 사용자의 요구에 맞지 않으면 수동으로 조정할 수 있습니다.Direct Application If the permissions that an item do not meet your needs, you can manually adjust them.

다음 4가지 권한을 직접 적용할 수 있습니다.You can directly apply four permissions:

  • 편집 사용자 또는 그룹이 항목을 편집할 수 있습니다.Edit This allows the user or group to edit the item

  • 실행 사용자 또는 그룹이 메타데이터 저장소에서 외부 콘텐츠 형식의 작업(만들기, 읽기, 업데이트, 삭제, 쿼리)을 실행할 수 있습니다. BCS 솔루션의 모든 사용자는 연관된 외부 콘텐츠 형식에 대해 실행 권한이 있어야 합니다.Execute This allows the user or group to execute the operations (create, read, update, delete, query) of external content types in the Metadata Store. All users of a BCS solution must have execute permission on the associated external content type.

  • 클라이언트에서 선택 가능 사용자 또는 그룹이 외부 항목 선택에 제공하여 외부 목록에 대한 외부 콘텐츠 형식 및 SharePoint용 앱을 사용할 수 있습니다.Selectable in Clients This allows the user or group to use the External Content Type for External Lists, and apps for SharePoint by making them available in the external item picker

  • 사용 권한 설정 사용자 또는 그룹이 항목에 대한 권한을 설정할 수 있습니다. 모든 항목은 사용 권한 설정 권한이 있는 사용자 또는 그룹을 하나 이상 포함해야 합니다.Set Permissions This allows the user or group to set permissions on the item. Every item must have at least one user or group that has the Set Permissions permission.

메타데이터 저장소 권한을 관리하기 위한 권장 사항Recommendations for managing Metadata Store permissions

  1. 계정(일반적으로 Business Connectivity Services 관리자 계정)을 하나 선택하고 여기에 메타데이터 저장소 수준의 사용 권한 설정 권한을 부여합니다 그러면 모든 항목이 보안 방식으로 관리되는 관리 계정에서 사용 권한 설정 권한을 갖는 사용자 또는 그룹을 하나 이상 포함해야 하는 요구 사항이 충족됩니다. 사용 권한을 모든 ...에 전파 옵션은 선택하지 마십시오. 모든 항목이 메타데이터 저장소에 추가될 때 이 구성을 상속하므로 사용 권한을 모든 ...에 전파 옵션을 선택할 필요가 없습니다. 이렇게 하면 불필요한 계정에 모든 외부 시스템, BDC 모델 또는 가져서는 안되는 외부 콘텐츠 형식에 대한 액세스 권한을 부여하지 않도록 방지할 수도 있습니다.Pick one account, probably your Business Connectivity Services administrator account, and grant it Set Permissions permissions at the Metadata Store level. This will satisfy the requirement that every item has one user or group that has Set Permissions permissions with a securely managed administrative account. If you don't explicitly set an account, the farm account is used by default. Do not select the Propagate permissions to all option. You don't have to select the Propagate permissions to all option because every item will inherit this configuration when it is added to the Metadata Store. This also prevents unnecessary accounts from gaining access to any external systems, BDC models, or external content types that they shouldn't have.

  2. 직접 응용 프로그램 방법을 사용하고, 개별 항목에 대해 권한을 구성하고, 사용 권한을 모든 ...에 전파 옵션은 여기에서도 선택하지 않습니다. 이렇게 하면 각 개체에서 고유한 권한 구성을 유지 관리할 수 있습니다.Use the direct application method, configure the permissions on the individual items, again not selecting the Propagate permissions to all option. This will allow you to maintain unique permissions configuration on each object.

  3. 주기적으로 유지 관리 및 운영 계획에 따라 메타데이터 저장소 수준부터 시작하여 하위 계층까지 권한 구성을 검토하고 각 항목이 올바른 권한 구성을 포함하는지 확인합니다. 권한 구성이 원래 의도한 것으로부터 변경된 경우 수동으로 다시 구성해야 합니다.Periodically, as part of your maintenance and operational plans, review the permissions configuration starting from the Metadata Store level and moving down the hierarchy to ensure that each item has the correct permissions configuration. If the permissions configuration has drifted from what it should be you should manually reconfigure them.

  4. 또한 상위 항목 및 모든 하위 항목에 대한 모든 권한을 완전히 다시 설정해야 하는 경우에만 사용 권한을 모든 ...에 전파 옵션을 사용해야 합니다. 이 옵션은 파괴적인 프로세스이며, 하위 항목에 대한 모든 사용자 지정 권한이 손실됩니다. 이 작업을 수행하면 사용자 또는 그룹의 BCS 솔루션이 중단되고 해당 사용자 또는 그룹의 권한이 손실될 수 있습니다.You should only use the Propagate all permissions option when you must completely reset all the permissions on the parent item and all its children. Note that this is a destructive process and all custom permissions on child items are lost. This action can break BCS solutions for users or groups that lose their permissions.

Secure Store Service에서 계정 및 그룹 매핑Mapping accounts and groups in Secure Store Service

Kerberos 제한 위임을 구성하지 않은 경우 BCS는 SharePoint Server 팜 외부의 사용자 자격 증명을 데이터가 상주하는 외부 시스템으로 전달할 수 없습니다. Kerberos 제한 위임은 구성 및 유지 관리가 쉽지 않을 수 있습니다. 대안으로 Secure Store Service를 사용할 수도 있습니다. Secure Store를 사용하면 BCS가 외부 시스템에 액세스하는 데 사용할 수 있는 자격 증명 집합에 사용자 그룹을 매핑할 수 있습니다.BCS cannot pass a user's credentials outside of the SharePoint Server farm to the external system where the data resides unless you've configured Kerberos Constrained Delegation. Kerberos Constrained Delegation can be challenging to configure and maintain. As an alternative, you can use the Secure Store Service. With Secure Store, you can map a group of users to a set of credentials that BCS can use to access the external system.

다음 두 가지 방법으로 이러한 매핑을 구성할 수 있습니다.There are two ways to configure your mappings:

  • 그룹 매핑 그룹 매핑 대상 응용 프로그램에서는 AD DS 사용자 계정 및 보안 그룹을 Secure Store에 추가하고 이를 외부 시스템의 단일 자격 증명 집합에 매핑합니다. 이 방법은 BCS 솔루션에 대한 액세스를 관리하는 가장 쉬운 방법입니다.Group mapping In group mapping target application, you add AD DS user accounts and security groups to Secure Store and then map them to a single set of credentials for the external system. This is the easiest way to manage access to a BCS solution.

  • 개별 매핑 개별 매핑 대상 응용 프로그램에서는 단일 AD DS 사용자 계정을 외부 시스템의 단일 자격 증명 집합에만 매핑할 수 있습니다. 기본적으로 이 매핑은 1:1 매핑입니다. 이 작업은 일반적으로 관리할 계정이 매우 적거나 외부 시스템에 대한 액세스 및 활동을 추적하려는 경우에만 수행합니다.Individual mapping In an individual mapping target application you can only map a single AD DS user account to a single set of credentials for the external system. Basically, this is a 1:1 mapping. You would generally do this if you have very few accounts to manage or if you want to track access and activity on the external system.

Business Data Connectivity Service 응용 프로그램에 대한 사용 권한 관리Managing permissions on the Business Data Connectivity Service application

기본적으로 팜의 모든 웹 응용 프로그램에는 서버 팜 계정을 통해 Business Data Connectivity Service 응용 프로그램에 대한 액세스 권한이 부여됩니다. 특정 웹 응용 프로그램에 대해서만 액세스를 제한하려면 해당 서버 팜 계정을 제거하고 원하는 웹 응용 프로그램의 응용 프로그램 풀 ID 계정을 추가하여 이를 변경할 수 있습니다. 이렇게 하면 Business Data Connectivity Service 응용 프로그램에 대해 액세스 권한을 갖는 웹 응용 프로그램을 제어할 수 있습니다. 자세한 내용은 SharePoint Server에서 게시된 서비스 응용 프로그램에 대한 사용 권한 설정을 참조하세요.By default, every Web Application in your farm is granted access to the Business Data Connectivity Service application through the server farm account. If you want to restrict access to only certain web applications, you can change this by removing the server farm account and then adding the Application Pool Identity account of desired the web applications. By doing this you control which web applications have access to the Business Data Connectivity Service application. For more information, see Set permissions to published service applications in SharePoint Server.

다른 팜에 Business Data Connectivity Service 응용 프로그램을 게시할 경우에는 소비 팜의 팜 ID를 추가해야 합니다. 자세한 내용은 SharePoint Server에서 팜 간에 서비스 응용 프로그램 공유를 참조하세요.If you are publishing the Business Data Connectivity Service Application to other farms, you have to add the Farm IDs of the consuming farms. For more information, see Share service applications across farms in SharePoint Server.

참고 항목See also

개념Concepts

SharePoint Server의 Business Connectivity Services 개요Overview of Business Connectivity Services in SharePoint Server