SharePoint Server의 서버 간 인증 및 사용자 프로필
적용 대상:
2013 2016 2019 Subscription Edition 
SharePoint in Microsoft 365
서버 간 인증을 사용하는 경우 서버 간 인증이 가능한 서버가 사용자를 대신해 서로 간에 리소스를 요청 및 액세스할 수 있습니다. 따라서 SharePoint Server를 실행하고 서버 및 들어오는 리소스 요청을 서비스하는 서버는 다음 두 작업을 완료할 수 있어야 합니다.
특정 SharePoint 사용자에 대한 요청 확인
사용자와 연관된 역할 클레임 집합 확인(사용자의 ID 리하이드레이션이라고 부르는 프로세스)
사용자의 ID를 리하디드하기 위해 서버 간 인증을 수행할 수 있는 서버는 SharePoint 리소스에 대한 액세스를 요청합니다. SharePoint Server는 들어오는 보안 토큰으로부터 클레임을 가져와서 특정 SharePoint 사용자에 대한 것으로 확인합니다. 기본적으로 SharePoint Server는 기본 제공되는 User Profile Service 응용 프로그램을 사용해서 ID를 확인합니다.
해당 사용자 프로필을 찾기 위한 핵심 사용자 특성은 다음과 같습니다.
Windows SID(보안 식별자)
AD DS(Active Directory 도메인 서비스) UPN(사용자 계정 이름)
SMTP(Simple Mail Transfer Protocol) 주소
SIP(Session Initiation Protocol) 주소
따라서 이러한 사용자 특성 중 하나 이상이 사용자 프로필에서 최신 상태로 존재해야 합니다.
참고
SharePoint Server 2013의 경우 ID 저장소를 User Profile Service 응용 프로그램에 주기적으로 동기화하는 것이 좋습니다. 자세한 내용은 SharePoint Server 2013의 프로필 동기화 계획을 참조하십시오.
또한 SharePoint Server에서는 이러한 4가지 특성을 기반으로 하는 특정 조회 쿼리에 대해 User Profile Service 응용 프로그램에 일치하는 항목이 하나만 있어야 합니다. 그렇지 않으면 여러 사용자 프로필이 발견되었다는 오류 조건이 반환됩니다. 따라서 여러 개의 사용자 프로필이 이러한 4가지 특성을 공유하지 않도록 방지하기 위해 User Profile Service 응용 프로그램에서 오래된 사용자 프로필을 주기적으로 삭제해야 합니다.
사용자 프로필 및 해당 사용자에 대한 관련 그룹 멤버 자격이 동기화되지 않은 경우 SharePoint Server가 특정 리소스에 대한 액세스를 잘못 거부할 수 있습니다. 따라서 그룹 멤버 자격을 User Profile Service 응용 프로그램과 동기화해야 합니다. Windows 클레임의 경우 User Profile Service 응용 프로그램은 이전에 설명한 4개의 핵심 사용자 특성 및 그룹 멤버 자격을 가져옵니다.
양식 기반 및 SAML(Security Assertion Markup Language) 기반 클레임 인증의 경우 다음 중 하나를 수행해야 합니다.
User Profile Service 응용 프로그램이 지원하는 데이터 원본에 대한 동기화 연결을 만들고 이 연결을 특정 양식 기반 또는 SAML 인증 공급자와 연관시킵니다. 또한 사용자 저장소의 특성을 이전에 설명한 대로 또는 최대한 데이터 원본에서 가져올 수 있는 만큼 4개의 사용자 특성에 매핑해야 합니다.
동기화를 수동으로 수행할 수 있도록 사용자 지정 구성 요소를 만들고 배포합니다. 이는 Windows를 사용하지 않는 사용자에게 가장 가능성이 높은 옵션입니다. 양식 기반 또는 SAML 인증 공급자는 사용자의 ID가 역할 클레임을 가져오기 위해 리하이딩될 때 호출됩니다.
서버 요청을 위한 사용자 리하이드레이션
요청 서버가 표준 Windows 인증 메서드를 사용하는 Exchange Server 2016 또는 비즈니스용 Skype 서버 2015를 실행하는 경우 요청 서버에서 보낸 들어오는 보안 토큰에는 사용자의 UPN이 포함되며 사용자 ID의 SMTP, SIP 및 SID와 같은 다른 특성이 포함될 수 있습니다. 수신 서버인 SharePoint Server는 이 정보를 사용하여 사용자 프로필을 찾습니다.
SharePoint Server를 실행하는 요청 서버에 대해 수신 서버는 다음과 같은 클레임 기반 인증 방법을 통해 사용자를 리하이드레이션합니다.
Windows 클레임 인증의 경우 SharePoint Server는 AD DS 특성을 사용하여 사용자에 대한 사용자 프로필(예: UPN 또는 SID 값) 및 해당 역할 클레임(그룹 멤버 자격)을 찾습니다.
양식 기반 인증의 경우 SharePoint Server는 계정 특성을 사용하여 사용자의 프로필을 찾은 다음 역할 공급자 및 모든 추가 사용자 지정 클레임 공급자를 호출하여 해당 역할 클레임 집합을 가져옵니다. 예를 들어 SharePoint Server는 AD DS, SQL Server 데이터베이스와 같은 데이터베이스 또는 LDAP(Lightweight Directory Access Protocol) 데이터 저장소의 특성을 사용하여 사용자를 나타내는 사용자 프로필(예: UPN 또는 SID 값)을 찾습니다. 양식 기반 공급자를 동기화하는 구성 요소는 최소한 사용자 프로필을 사용자의 계정 이름으로 채워야 합니다. 또한 사용자 지정 클레임 공급자를 만들어서 추가 클레임을 사용자 프로필에 특성으로 가져올 수 있습니다.
SAML 기반 클레임 인증의 경우 SharePoint Server는 AccountName 특성을 사용하여 사용자의 프로필을 찾은 다음 SAML 공급자 및 모든 추가 사용자 지정 클레임 공급자를 호출하여 해당 역할 클레임 집합을 가져옵니다. 사용자 ID 클레임은 사용자 프로필을 채우도록 구성해야 하는 해당 SAML 클레임 공급자를 통해 사용자 프로필의 계정 특성에 매핑되어야 합니다. 마찬가지로 UPN 클레임은 UPN 특성에 매핑되어야 하며, SMTP 클레임은 SMTP 특성에 매핑되어야 합니다. 사용자가 해당 ID 공급자로부터 일반적으로 가져오는 클레임 집합을 복제하려면 클레임 증분을 통해 해당 클레임(역할 클레임 포함)을 추가해야 합니다. 사용자 지정 클레임 공급자는 이러한 클레임을 사용자 프로필에 특성으로 가져와야 합니다.