SharePoint Server의 서버 간 인증 및 사용자 프로필Server-to-server authentication and user profiles in SharePoint Server

적용 대상: 예2013 예2016 yes2019 SharePointOnline 없음APPLIES TO: yes2013 yes2016 yes2019 noSharePoint Online

서버 간 인증을 사용하는 경우 서버 간 인증이 가능한 서버가 사용자를 대신해 서로 간에 리소스를 요청 및 액세스할 수 있습니다. 따라서 SharePoint Server를 실행하고 서버 및 들어오는 리소스 요청을 서비스하는 서버는 다음 두 작업을 완료할 수 있어야 합니다.Server-to-server authentication allows for servers that are capable of server-to-server authentication to access and request resources from one another on behalf of users. Therefore, the server that runs SharePoint Server and that services the incoming resource request must be able to complete two tasks:

  • 특정 SharePoint 사용자에 대한 요청 확인Resolve the request to a specific SharePoint user

  • 사용자와 연관된 역할 클레임 집합 확인(사용자의 ID 리하이드레이션이라고 부르는 프로세스)Determine the set of role claims that are associated with the user, a process known as rehydrating the user's identity

서버 간 인증을 수행할 수 있는 서버는 사용자의 ID를 리하이드레이션하기 위해 SharePoint 리소스에 대한 액세스를 요청합니다. SharePoint Server는 들어오는 보안 토큰으로부터 클레임을 가져와서 특정 SharePoint 사용자에 대한 것으로 확인합니다. 기본적으로 SharePoint Server는 기본 제공되는 User Profile Service 응용 프로그램을 사용해서 ID를 확인합니다.To rehydrate a user's identity, a server that can perform server-to-server authentication requests access to SharePoint resources. SharePoint Server takes the claims from the incoming security token and resolves it to a specific SharePoint user. By default, SharePoint Server uses the built-in User Profile service application to resolve the identity.

해당 사용자 프로필을 찾기 위한 핵심 사용자 특성은 다음과 같습니다.The key user attributes for locating the corresponding user profile are as follows:

  • Windows SID(보안 식별자)The Windows Security Identifier (SID)

  • AD DS(Active Directory 도메인 서비스) UPN(사용자 계정 이름)The Active Directory Domain Services (AD DS) user principal name (UPN)

  • SMTP(Simple Mail Transfer Protocol) 주소The Simple Mail Transfer Protocol (SMTP) address

  • SIP(Session Initiation Protocol) 주소The Session Initiation Protocol (SIP) address

따라서 이러한 사용자 특성 중 하나 이상이 사용자 프로필에서 최신 상태로 존재해야 합니다.Therefore, at least one of these user attributes must be current in user profiles.

참고

SharePoint Server 2013의 경우 ID 저장소를 User Profile Service 응용 프로그램에 주기적으로 동기화하는 것이 좋습니다. 자세한 내용은 SharePoint Server 2013의 프로필 동기화 계획을 참조하세요.For SharePoint Server 2013 only, we recommend a periodic synchronization from identity stores to the User Profile service application. For more information, see Plan profile synchronization for SharePoint Server 2013.

또한 SharePoint Server에서는 이러한 4가지 특성을 기반으로 하는 특정 조회 쿼리에 대해 User Profile Service 응용 프로그램에 일치하는 항목이 하나만 있어야 합니다. 그렇지 않으면 여러 사용자 프로필이 발견되었다는 오류 조건이 반환됩니다. 따라서 여러 개의 사용자 프로필이 이러한 4가지 특성을 공유하지 않도록 방지하기 위해 User Profile Service 응용 프로그램에서 오래된 사용자 프로필을 주기적으로 삭제해야 합니다.Furthermore, SharePoint Server expects only one matching entry in the User Profile service application for a given lookup query that is based on these four attributes. Otherwise, it returns an error condition that multiple user profiles were found. Therefore, you should delete obsolete user profiles in the User Profile service application periodically to avoid multiple user profiles that share these four attributes.

사용자 프로필 및 해당 사용자에 대한 관련 그룹 멤버 자격이 동기화되지 않은 경우 SharePoint Server가 특정 리소스에 대한 액세스를 잘못 거부할 수 있습니다. 따라서 그룹 멤버 자격을 User Profile Service 응용 프로그램과 동기화해야 합니다. Windows 클레임의 경우 User Profile Service 응용 프로그램은 이전에 설명한 4개의 핵심 사용자 특성 및 그룹 멤버 자격을 가져옵니다.If a user profile and the relevant group memberships for the user are not synchronized, SharePoint Server may incorrectly deny access to a given resource. Therefore, make sure that group memberships are synchronized with the User Profile service application. For Windows claims, the User Profile service application imports the four key user attributes previously described and group memberships.

양식 기반 및 SAML(Security Assertion Markup Language) 기반 클레임 인증의 경우 다음 중 하나를 수행해야 합니다.For forms-based and Security Assertion Markup Language (SAML)-based claims authentication, you must do one of the following:

  • User Profile Service 응용 프로그램이 지원하는 데이터 원본에 대한 동기화 연결을 만들고 이 연결을 특정 양식 기반 또는 SAML 인증 공급자와 연관시킵니다. 또한 사용자 저장소의 특성을 이전에 설명한 대로 또는 최대한 데이터 원본에서 가져올 수 있는 만큼 4개의 사용자 특성에 매핑해야 합니다.Create a synchronization connection to a data source that the User Profile service application supports and associate the connection with a specific forms-based or SAML authentication provider. Additionally, you have to map attributes from the user store to the four user attributes previously described, or as many of them as you can obtain from the data source.

  • 동기화를 수동으로 수행할 수 있도록 사용자 지정 구성 요소를 만들고 배포합니다. 이 옵션은 Windows를 사용하지 않는 사용자의 경우에 대부분 사용됩니다. 양식 기반 또는 SAML 인증 공급자는 역할 클레임을 가져오기 위해 사용자 ID를 리하이드레이션할 때 호출됩니다.Create and deploy a custom component to perform the synchronization manually. This is the most likely option for users who do not use Windows. Note that the forms-based or SAML authentication provider is invoked when the user's identity is rehydrated to get their role claims.

서버 요청을 위한 사용자 리하이드레이션User rehydration for requesting servers

요청 서버가 Exchange Server 2016 또는 비즈니스용 Skype 서버 2015(표준 Windows 인증 방법 사용)을 실행하는 경우, 요청 서버에서 전송한 들어오는 보안 토큰에는 사용자의 UPN이 포함되며, SMTP, SIP 및 사용자의 ID에 대한 SID와 같은 기타 특성이 포함될 수도 있습니다. 수신 서버인 SharePoint Server는 이 정보를 사용하여 사용자 프로필을 찾습니다.If the requesting server is running Exchange Server 2016 or Skype for Business Server 2015, which use standard Windows authentication methods, the incoming security token sent by the requesting server contains the UPN of the user and may contain other attributes such as SMTP, SIP, and the SID of the user's identity. SharePoint Server, the receiving server, uses this information to locate the user profile.

SharePoint Server를 실행하는 요청 서버에 대해 수신 서버는 다음과 같은 클레임 기반 인증 방법을 통해 사용자를 리하이드레이션합니다.For a requesting server that is running SharePoint Server, the receiving server rehydrates the user through the following claims-based authentication methods:

  • Windows 클레임 인증의 경우 SharePoint Server는 AD DS 특성을 사용하여 사용자에 대한 사용자 프로필(예: UPN 또는 SID 값) 및 해당 역할 클레임(그룹 멤버 자격)을 찾습니다.For Windows claims authentication, SharePoint Server uses AD DS attributes to find the user profile for the user (for example, the UPN or SID values) and their role claims (group membership).

  • 양식 기반 인증의 경우 SharePoint Server는 계정 특성을 사용하여 사용자의 프로필을 찾은 후 역할 공급자 및 모든 추가 사용자 지정 클레임 공급자를 호출하여 해당 역할 클레임 집합을 가져옵니다. 예를 들어 SharePoint Server는 AD DS, 데이터베이스(예: SQL Server 데이터베이스) 또는 LDAP(Lightweight Directory Access Protocol) 데이터 저장소의 특성을 사용해서 사용자를 나타내는 사용자 프로필(예: UPN 또는 SID 값)을 찾습니다. 양식 기반 공급자와 동기화하기 위한 구성 요소는 사용자 프로필에 최소한 사용자의 계정 이름을 채워야 합니다. 또한 사용자 지정 클레임 공급자를 만들어서 추가 클레임을 사용자 프로필에 특성으로 가져올 수 있습니다.For forms-based authentication, SharePoint Server uses the Account attribute to locate the user's profile and then invokes the role provider and all additional custom claims providers to obtain the corresponding set of role claims. For example, SharePoint Server uses attributes in AD DS, in a database such as a SQL Server database, or in an Lightweight Directory Access Protocol (LDAP) data store to find the user profile that represents the user (for example, the UPN or SID values). Your component to synchronize your forms-based provider should at a minimum populate user profiles with the user's account name. You can also create a custom claim provider to import additional claims as attributes into user profiles.

  • SAML 기반 클레임 인증의 경우 SharePoint Server는 AccountName 특성을 사용해서 사용자의 프로필을 찾은 후 SAML 공급자 및 모든 추가 사용자 지정 클레임 공급자를 호출하여 해당하는 역할 클레임 집합을 가져옵니다. 사용자 ID 클레임은 사용자 프로필을 채우도록 구성해야 하는 해당 SAML 클레임 공급자를 통해 사용자 프로필의 계정 특성에 매핑되어야 합니다. 마찬가지로 UPN 클레임은 UPN 특성에 매핑되어야 하며, SMTP 클레임은 SMTP 특성에 매핑되어야 합니다. 사용자가 해당 ID 공급자로부터 일반적으로 가져오는 클레임 집합을 복제하려면 클레임 증분을 통해 해당 클레임(역할 클레임 포함)을 추가해야 합니다. 사용자 지정 클레임 공급자는 이러한 클레임을 사용자 프로필에 특성으로 가져와야 합니다.For SAML-based claims authentication, SharePoint Server uses the AccountName attribute to locate the user's profile and then invokes the SAML provider and all additional custom claims providers to obtain the corresponding set of role claims. The user identity claim should be mapped to the Account attribute in user profiles through the corresponding SAML claims provider, which should be configured to populate your user profiles. Similarly, a UPN claim should be mapped to the UPN attribute and the SMTP claim should be mapped to the SMTP attribute. To duplicate the set of claims that the user would usually obtain from their identity provider, you must add those claims, including the role claims, through claims augmentation. A custom claim provider must import those claims as attributes into user profiles.

참고 항목See also

개념Concepts

SharePoint Server에서 서버 간 인증 계획Plan for server-to-server authentication in SharePoint Server

SharePoint Server의 인증 개요Authentication overview for SharePoint Server