2010년 2월 18일 목요일

MOSS 2007 Single Sign On

    예전 블로그에 포스팅 했던 놈을 다시 찾았습니다. 쓸만한 것들만 추려서 다시 올립니다.

     

    ---------------------------------

    오랜만의 포스팅이군요… 그 동안 프로젝트가 있어서 왔다 갔다 하느라 포스팅이 뜸 했답니다. 이제 프로젝트도 끝났고 프로젝트 하면서 배웠던 것들도 정리 할 겸 해서 블로그에 올려 봅니다.

    첫번째 주제는 MOSS의 Single Sign On 입니다.

  1. MOSS의 Single Sign On

    일반적인 SI 프로젝트에서 SSO라고 부를 때에는 대부분 Site Minder같은 제품을 위주로 하는 Web기반 Application들의 Single Sign On프로젝트를 이르는 경우가 많습니다. 하지만 MOSS에서 이야기 하는 SSO는 개념이 다릅니다. MOSS가 Portal로써의 역할을 가지고 있기 때문에 MOSS로 들어오는 사용자들의 Credential을 MOSS 뒷 단의 Application에 접근 할 때 어떤 Credential로 접근을 해야 할 지 알려 주는 역할을 하는 것이 MOSS환경에서 SSO가 하는 역할입니다.

    1. 시나리오

    언제 MOSS의 SSO서비스를 사용 할 수 있는지 알아 봅시다.

    아래 그림은 기존 Application이 MS SQL Server같은 back end에 DB를 자체 계정으로 접근 하는 경우가 있을 수 있습니다. User A와 User B가 MSSQL 서버에 접근 할 때는 SQLUserA로 접근해서 데이터를 쿼리 하는 경우에 MOSS의 SSO가 제공하는 API나 웹서비스를 사용하면 SSO가 SQLUserA와 Application의 이름을 저장하고 있다가 시스템이 요청 할 때 해당 Credential을 제공 할 수 있습니다.

    clip_image001

    두번째는 User A와 User B가 각각 들어 왔을 때 back end에 각 시스템 나름데로 credential을 가지고 있을 때 필요한 credential을 동적으로 제공 할 수 있습니다. 즉, MOSS사용자 User A가 Notes DB에 접근 할 때에는 NotesUserA로 접근 해야 한다면 MOSS SSO 서비스가 그에 맞는 Credential을 제공 할 수 있다는 의미 입니다.

    clip_image002

  2. 설정 방법
    1. 계정 생성
      1. SSO 서비스를 운용하기 위한 서비스 계정을 생성 합니다. (예: domain\ssosrv )
      2. 생성한 계정을 Local Administrators 그룹에 포함 시킵니다.
      3. 생성한 중앙 관리 사이트의 "Farm Administrators" group에 포함 시킵니다.
    1. SSO 서비스 시작
      1. 시작->관리도구->서비스 MMC콘솔에서 "Microsoft Single Sign-on Service"를 시작유형을 "자동"으로 로그온 계정을 위에서 생성한 계정으로 지정하고 시작 합니다.
    1. MOSS 가 사용하는 SQL DB 에 위에서 생성한 계정이 다음과 같은 role 권한을 가지고 있어야 합니다.
      • dbcreator
      • Securityadmin
    1. SSO 서비스 설정
      1. 중앙관리 사이트에 SSO서비스 계정으로 로그인 합니다.
      2. 중앙관리 -> 작업 -> Single Sign-on관리를 클릭합니다.
      3. 서버 설정 관리로 클릭해 들어 갑니다.

    clip_image003

    위 그림처럼 Single Sign-on 관리자 계정과 엔터프라이즈 응용 프로그램 정의 관리자 계정에 SSO서비스 계정을 넣고 확인을 누릅니다.

    clip_image004

    1. "엔터프라이즈 응용 프로그램 정의의 설정 관리"를 눌러 SSO서비스에 등록할 Application을 추가 합니다.

    여기서는 일단 AdventureWorks DW에 Windows인증을 통해 접근 하는 SSO응용 프로그램을 등록 하도록 하겠습니다.

    • 응용 프로그램 및 담당자 정보 -> 표시 이름 : AventureWorksDW, 응용프로그램 이름 : AdventureWorksDW, 담당자 전자 메일 주소 : 본인 메일 주소
    • 계정 유형 : 그룹
    • 인증 유형 : Windows 인증 체크

    clip_image005

    1. 생성한 Application에 접근시 제공할 Credential을 지정합니다.
      1. 중앙관리->작업-> Single Sign on관리를 클릭

    clip_image006

    1. 엔터프라이즈 응용 프로그램 정의의 계정 정보 관리 클릭

    아래와 같이 AdventureWorksDW 에 접근할 Windows 보안 그룹을 지정 하고 설정 을 클릭합니다.

    clip_image007

    clip_image008

    이제는 AdventureWorksDW 응용프로그램에 접근시 제공할 Credential을 적습니다.

    확인을 누르고 다음화면에서 완료를 누릅니다.

    이제 앞서 지정했던 Windows 그룹(Fabriakm\Domain Users)에 해당하는 사용자 들이 MOSS에 들어오면 AdventureWorksDW 에 접근할 때 모두 fabirkam\AWDWUser 라는 계정과 암호로 바꿔서 접근 하게 됩니다.

작성자: 시간:

댓글 없음:

댓글 쓰기

피드 구독하기: 댓글 (Atom)