SharePoint 팜 외부에 있는 데이터 원본에 대해 Windows 인증을 사용하려면 Reporting Services SharePoint 모드에서 c2WTS(Windows 토큰 서비스에 대한 SharePoint 클레임)가 필요합니다. WFE(웹 프런트 엔드)와 Reporting Services 공유 서비스 간의 통신은 항상 클레임 인증이므로 사용자가 Windows 인증을 사용하여 데이터 원본에 액세스하는 경우에도 마찬가지입니다.
데이터 원본이 공유 서비스와 동일한 컴퓨터에 있더라도 c2WTS가 필요합니다. 그러나 이 시나리오에서는 제한된 위임이 필요하지 않습니다.
c2WTS에서 만든 토큰은 제한된 위임(특정 서비스로 제한) 및 구성 옵션 "모든 인증 프로토콜 사용"에서만 작동합니다. 앞에서 설명한 것처럼 데이터 원본이 공유 서비스와 동일한 컴퓨터에 있는 경우 제한된 위임이 필요하지 않습니다.
환경에서 Kerberos 제한 위임을 사용하는 경우 SharePoint Server 서비스 및 외부 데이터 원본이 동일한 Windows 도메인에 있어야 합니다. c2WTS(Windows 토큰 서비스에 대한 클레임)를 사용하는 서비스는 c2WTS에서 Kerberos 프로토콜 전환을 사용하여 클레임을 Windows 자격 증명으로 변환할 수 있도록 Kerberos 제한된 위임을 사용해야 합니다. 이러한 요구 사항은 모든 SharePoint 공유 서비스에 적용됩니다. 자세한 내용은 Microsoft SharePoint 2010 제품에 대한 Kerberos 인증 개요를 참조하세요(https://technet.microsoft.com/library/gg502594.aspx)
이 절차는 이 항목에 요약되어 있습니다.
| 적용 대상: SharePoint 2013 | SharePoint 2010 |
필수 조건
비고
참고: 일부 구성 단계는 변경되거나 특정 팜 토폴로지에서 작동하지 않을 수 있습니다. 예를 들어 단일 서버 설치는 Windows Identity Foundation c2WTS 서비스를 지원하지 않으므로 이 팜 구성에서는 Windows 토큰 위임 시나리오에 대한 클레임을 수행할 수 없습니다.
c2WTS를 구성하는 데 필요한 기본 단계
c2WTS 서비스 계정을 구성합니다. c2WTS를 실행하는 각 애플리케이션 서버의 로컬 관리자 그룹에 서비스 계정을 추가합니다. 또한 계정에 다음과 같은 로컬 보안 정책 권한이 있는지 확인합니다.
운영 체제의 일부로 작동
인증 후 클라이언트를 사칭하다
서비스로 로그인
c2WTS에 사용하는 계정도 프로토콜 전환을 사용하여 제한된 위임에 대해 구성해야 하며 통신하는 데 필요한 서비스에 위임할 수 있는 권한이 필요합니다(i.e. SQL 서버 엔진, SQL Server Analysis Services). 위임을 구성하려면 Active Directory 사용자 및 컴퓨터 스냅인을 사용할 수 있습니다.
각 서비스 계정을 마우스 오른쪽 단추로 클릭하고 속성 대화 상자를 엽니다. 대화 상자에서 위임 탭을 클릭합니다.
비고
참고: 위임 탭은 개체에 SPN이 할당된 경우에만 표시됩니다. c2WTS에는 c2WTS 계정에 SPN이 필요하지 않지만 SPN이 없으면 위임 탭이 표시되지 않습니다. 제한된 위임을 구성하는 다른 방법으로는 ADSIEdit와 같은 유틸리티를 사용할 수 있습니다.
위임 탭의 주요 구성 옵션은 다음과 같습니다.
지정된 서비스에만 위임할 수 있도록 이 사용자를 신뢰"를 선택합니다.
"인증 프로토콜 사용"을 선택합니다.
자세한 내용은 SharePoint 2010 및 SQL Server 2008 R2 제품에 대한 Kerberos 인증 구성 백서의 "컴퓨터 및 서비스 계정에 대한 Kerberos 제한 위임 구성" 섹션을 참조하세요.
c2WTS 'AllowedCallers' 구성
c2WTS는 구성 파일 c2wtshost.exe.config에 '호출자' ID가 명시적으로 나열되어 있어야 합니다. 설정하지 않는 한, c2WTS는 시스템에서 인증된 모든 사용자로부터 요청을 수락하지 않습니다. 이 경우 '호출자'는 WSS_WPG Windows 그룹입니다. c2wtshost.exe.confi 파일은 다음 위치에 저장됩니다.
\Program Files\Windows Identity Foundation\v3.5\c2wtshost.exe.config
다음은 구성 파일의 예입니다.
<configuration> <windowsTokenService> <!-- By default no callers are allowed to use the Windows Identity Foundation Claims To NT Token Service. Add the identities you wish to allow below. --> <allowedCallers> <clear/> <add value="WSS_WPG" /> </allowedCallers> </windowsTokenService> </configuration>운영 체제 c2WTS 서비스를 시작합니다.
이전 단계에서 구성한 서비스 계정을 사용하도록 서비스를 구성합니다.
시작 유형을 "자동"으로 변경하고 서비스를 시작합니다.
SharePoint 'Windows 토큰 서비스에 대한 클레임'을 시작합니다. 서버의 서비스 관리 페이지에서 SharePoint 중앙 관리를 통해 Windows 토큰 서비스에 대한 클레임을 시작합니다. 작업을 수행할 서버에서 서비스를 시작해야 합니다. 예를 들어 WFE인 서버와 Reporting Services 공유 서비스가 실행 중인 애플리케이션 서버인 다른 서버가 있는 경우 애플리케이션 서버에서 c2WTS만 시작해야 합니다. WFE에는 c2WTS가 필요하지 않습니다.
또한 참조하십시오
C2WTS(Windows 토큰 서비스에 대한 클레임) 개요(https://msdn.microsoft.com/library/ee517278.aspx)
Microsoft SharePoint 2010 제품에 대한 Kerberos 인증 개요(https://technet.microsoft.com/library/gg502594.aspx)