클라이언트 애플리케이션에서 Analysis Services 인스턴스로 연결하려면 Windows 인증(통합)이 필요합니다. 다음 방법 중 원하는 방법을 사용하여 Windows 사용자 ID를 제공할 수 있습니다.
NTLM
Kerberos (Kerberos 제한 위임 분석 서비스 구성 참조)
연결 문자열의 EffectiveUserName
기본 또는 익명(HTTP 액세스에 대한 구성 필요)
저장된 자격 증명
클레임 인증은 지원되지 않습니다. Windows 클레임 토큰을 사용하여 Analysis Services에 액세스할 수 없습니다. Analysis Services 클라이언트 라이브러리는 Windows 보안 원칙에서만 작동합니다. BI 솔루션에 클레임 ID가 포함된 경우 각 사용자에 대한 Windows ID 섀도 계정이 필요하거나 저장된 자격 증명을 사용하여 Analysis Services 데이터에 액세스해야 합니다.
BI 및 Analysis Services 인증 흐름에 대한 자세한 내용은 Microsoft BI 인증 및 ID 위임을 참조하세요.
인증 대안 이해
Analysis Services 데이터베이스에 연결하려면 Windows 사용자 또는 그룹 ID 및 관련 권한이 필요합니다. ID는 보고서를 봐야 하는 모든 사용자가 사용하는 범용 로그인일 수 있지만 개별 사용자의 ID가 포함될 가능성이 더 높습니다.
테이블 형식 또는 다차원 모델은 요청을 하는 사용자에 따라 개체 또는 데이터 자체 내에서 서로 다른 수준의 데이터 액세스를 가지는 경우가 많습니다. 이 요구 사항을 충족하기 위해 NTLM, Kerberos, EffectiveUserName 또는 기본 인증을 사용할 수 있습니다. 이러한 모든 기술은 각 연결을 통해 서로 다른 사용자 ID를 전달하는 방법을 제공합니다. 그러나 이러한 선택 항목의 대부분은 단일 홉 제한 사항이 적용됩니다. 위임이 있는 Kerberos만 원래 사용자 ID가 여러 컴퓨터 연결을 통해 원격 서버의 백 엔드 데이터 저장소로 흐를 수 있습니다.
NTLM
지정 SSPI=Negotiate하는 연결의 경우 NTLM은 Kerberos 도메인 컨트롤러를 사용할 수 없을 때 사용되는 백업 인증 하위 시스템입니다. NTLM에서 모든 사용자 또는 클라이언트 애플리케이션은 요청이 클라이언트에서 서버로 직접 연결되고, 연결을 요청하는 사람이 리소스에 대한 권한을 가지며, 클라이언트와 서버 컴퓨터가 동일한 도메인에 있는 한 서버 리소스에 액세스할 수 있습니다.
다중 계층 솔루션에서 NLTM의 단일 홉 제한은 주요 제약 조건이 될 수 있습니다. 요청을 만드는 사용자 ID는 정확히 하나의 원격 서버에서 가장할 수 있지만 더 이상 이동하지 않습니다. 현재 작업에서 여러 컴퓨터에서 실행되는 서비스가 필요한 경우 백 엔드 서버에서 보안 토큰을 다시 사용하도록 Kerberos 제한 위임을 구성해야 합니다. 또는 저장된 자격 증명 또는 기본 인증을 사용하여 단일 홉 연결을 통해 새 ID 정보를 전달할 수 있습니다.
Kerberos 인증 및 Kerberos 제한 위임
Kerberos 인증은 Active Directory 도메인에서 Windows 통합 보안의 기초입니다. Kerberos에서의 사용자 가장은 NTLM과 마찬가지로, 위임을 활성화하지 않는 한 단일 홉으로 제한됩니다.
다중 홉 연결을 지원하기 위해 Kerberos는 제한된 위임과 제한되지 않은 위임을 모두 제공하지만 대부분의 시나리오에서 제한된 위임은 보안 모범 사례로 간주됩니다. 제한된 위임을 사용하면 서비스에서 사용자 ID의 보안 토큰을 원격 컴퓨터의 지정된 하위 수준 서비스에 전달할 수 있습니다. 다중 계층 애플리케이션의 경우 중간 계층 애플리케이션 서버에서 Analysis Services와 같은 백 엔드 데이터베이스로 사용자 ID를 위임하는 것이 일반적인 요구 사항입니다. 예를 들어 사용자 ID에 따라 다른 데이터를 반환하는 테이블 형식 또는 다차원 모델은 사용자가 자격 증명을 다시 입력하거나 다른 방법으로 보안 자격 증명을 가져오지 않도록 중간 계층 서비스의 ID 위임이 필요합니다.
제한된 위임을 사용하려면 Active Directory에서 추가 구성이 필요하며, 여기서 요청의 송신 및 수신 종료에 대한 서비스는 위임에 대해 명시적으로 권한이 부여됩니다. 미리 구성 비용이 발생하지만 서비스가 구성되면 암호 업데이트는 Active Directory에서 독립적으로 관리됩니다. 추가 설명된 저장된 자격 증명 옵션을 사용하는 경우처럼 애플리케이션에서 저장된 계정 정보를 업데이트할 필요가 없습니다.
제한된 위임을 위해 Analysis Services를 구성하는 방법에 대한 자세한 내용은 Kerberos 제한 위임에 대한 Analysis Services 구성을 참조하세요.
비고
Windows Server 2012는 도메인 간에 제한된 위임을 지원합니다. 반면, Windows Server 2008 또는 2008 R2와 같이 기능 수준이 낮은 도메인에서 Kerberos 제한 위임을 구성하려면 클라이언트 컴퓨터와 서버 컴퓨터가 모두 동일한 도메인의 멤버여야 합니다.
EffectiveUserName
EffectiveUserName은 Analysis Services에 ID 정보를 전달하는 데 사용되는 연결 문자열 속성입니다. SharePoint용 PowerPivot은 이를 사용하여 사용 현황 로그에 사용자 활동을 기록합니다. Excel Services 및 PerformancePoint Services는 이를 사용하여 SharePoint의 통합 문서 또는 대시보드에서 사용하는 데이터를 검색할 수 있습니다. Analysis Services 인스턴스에서 작업을 수행하는 사용자 지정 애플리케이션 또는 스크립트에서도 사용할 수 있습니다.
SharePoint에서 EffectiveUserName을 사용하는 방법에 대한 자세한 내용은 SharePoint Server 2010에서 Analysis Services EffectiveUserName 사용을 참조하세요.
기본 인증 및 익명 사용자
기본 인증은 백 엔드 서버에 특정 사용자로 연결하는 네 번째 대안을 제공합니다. 기본 인증을 사용하면 Windows 사용자 이름과 암호가 연결 문자열에 전달되어 전송 중에 중요한 정보가 보호되도록 하기 위한 추가 유선 암호화 요구 사항이 도입됩니다. 기본 인증을 사용하는 데 있어 중요한 이점은 인증 요청이 도메인 경계를 넘을 수 있다는 것입니다.
익명 인증의 경우 익명 사용자 ID를 특정 Windows 사용자 계정(기본적으로 IUSR_GUEST) 또는 애플리케이션 풀 ID로 설정할 수 있습니다. 익명 사용자 계정은 Analysis Services 연결에서 사용되며 Analysis Services 인스턴스에 대한 데이터 액세스 권한이 있어야 합니다. 이 방법을 사용하면 익명 계정과 연결된 사용자 ID만 연결에 사용됩니다. 애플리케이션에 추가 ID 관리가 필요한 경우 다른 방법 중 하나를 선택하거나 제공하는 ID 관리 솔루션을 보완해야 합니다.
기본 및 익명은 IIS 및 msmdpump.dll 사용하여 연결을 설정하여 HTTP 액세스를 위한 Analysis Services를 구성하는 경우에만 사용할 수 있습니다. 자세한 내용은 IIS(인터넷 정보 서비스) 8.0에서 Analysis Services에 대한 HTTP 액세스 구성을 참조하세요.
저장된 자격 증명
대부분의 중간 계층 애플리케이션 서비스에는 Analysis Services 또는 SQL Server 관계형 엔진과 같은 하위 수준 데이터 저장소에서 데이터를 검색하는 데 사용되는 사용자 이름 및 암호를 저장하는 기능이 포함됩니다. 따라서 저장된 자격 증명은 데이터를 검색하기 위한 다섯 번째 대안을 제공합니다. 이 방법의 제한 사항에는 사용자 이름 및 암호를 최신 상태로 유지하는 것과 관련된 유지 관리 오버헤드와 연결에서 단일 ID 사용이 포함됩니다. 솔루션에 원래 호출자의 ID가 필요한 경우 저장된 자격 증명은 실행 가능한 대안이 아닙니다.
저장된 자격 증명에 대한 자세한 내용은 SSRS(공유 데이터 원본 만들기, 수정 및 삭제) 및 SharePoint Server 2013의 Secure Store Service에서 Excel Services 사용을 참조하세요.
또한 참조하십시오
전송 보안에서 대리 사용
IIS(인터넷 정보 서비스) 8.0에서 Analysis Services에 대한 HTTP 액세스 구성
Kerberos 제한 위임에 대해 Analysis Services 구성
Analysis Services 인스턴스에 대한 SPN 등록
Analysis Services에 연결