Créer un compte de connexion

S’applique à : SQL Server Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics Analytics Platform System (PDW)

Cet article explique comment restaurer un compte de connexion dans SQL Server ou Azure SQL Database à l'aide de SQL Server Management Studio (SSMS) ou de Transact-SQL. Un compte de connexion est l'identité de la personne ou du processus qui se connecte à une instance de SQL Server.

Remarque

Microsoft Entra ID était anciennement appelé Azure Active Directory (Azure AD).

Background

Un compte de connexion est un principal de sécurité, ou une entité qui peut être authentifiée par un système sécurisé. Pour se connecter à SQL Server, les utilisateurs doivent disposer d'un compte de connexion. Vous pouvez créer un compte de connexion basé sur un principal Windows (tel qu'un utilisateur de domaine ou un groupe de domaines Windows) ou créer un compte de connexion qui n'est pas basé sur un principal Windows (tel qu'un compte de connexion SQL Server).

Remarque

Pour utiliser l'authentification SQL Server, le moteur de base de données doit utiliser une authentification en mode mixte. Pour plus d’informations, consultez Choisir un mode d’authentification.

Azure SQL a introduit les principaux de serveur Microsoft Entra (connexions) à utiliser pour s'authentifier auprès d'Azure SQL Database, d'Azure SQL Managed Instance et d'Azure Synapse Analytics (pools SQL dédiés uniquement).

SQL Server 2022 introduit également l'authentification Microsoft Entra pour SQL Server.

En tant que principal de sécurité, il est possible d'accorder des autorisations à des comptes de connexion. L'étendue d'un compte de connexion est l'intégralité du moteur de base de données. Pour se connecter à une base de données spécifique sur l'instance de SQL Server, un compte de connexion doit être mappé à un utilisateur de base de données. Les autorisations dans la base de données sont accordées et refusées à l'utilisateur de la base de données, pas au compte de connexion. Les autorisations dont l'étendue englobe la totalité de l'instance de SQL Server (par exemple, l'autorisation CREATE ENDPOINT) peuvent être accordées à un compte de connexion.

Remarque

Lors d'une connexion à SQL Server, l'identité est validée sur la base de données master. Faites appel à des utilisateurs de base de données autonome pour authentifier les connexions SQL Server et SQL Database au niveau de la base de données. Aucune connexion n'est nécessaire pour les utilisateurs de base de données autonome. Une base de données autonome est une base de données qui est isolée des autres bases de données et de l'instance SQL Server ou SQL Database (et de la base de données master) qui héberge la base de données. SQL Server prend en charge les utilisateurs de base de données autonome pour Windows et l’authentification SQL Server. Si vous utilisez SQL Database, associez les utilisateurs de base de données autonome à des règles de pare-feu au niveau de la base de données. Pour plus d’informations, consultez Utilisateurs de base de données autonome - Rendre votre base de données portable.

autorisations

SQL Server nécessite l'autorisation ALTER ANY LOGIN ou ALTER LOGIN sur le serveur, ou le rôle serveur fixe ##MS_LoginManager## (SQL Server 2022 et versions ultérieures).

SQL Database nécessite l'appartenance au rôle loginmanager ou au rôle serveur fixe ##MS_LoginManager##.

Créer une connexion à l'aide de SSMS pour SQL Server

  1. Dans l'Explorateur d'objets, développez le dossier de l'instance du serveur où vous souhaitez créer le compte de connexion.

  2. Cliquez avec le bouton droit sur le dossier Sécurité, pointez sur Nouveau, puis sélectionnez Connexion….

  3. Dans la boîte de dialogue Nouvelle connexion, dans la page Général, entrez le nom d’un utilisateur dans la zone Nom de la connexion. Vous pouvez également sélectionner Rechercher… pour ouvrir la boîte de dialogue Sélectionner un utilisateur ou un groupe.

    Remarque

    Certains ports doivent être autorisés à communiquer avec le contrôleur de domaine si vous recherchez un principal Windows. Si vous rencontrez des difficultés pour obtenir des résultats pour la recherche, consultez Vue d’ensemble du service et les exigences de port réseau pour Windows.

    Si vous sélectionnez Rechercher... :

    1. Sous Sélectionner ce type d'objet, sélectionnez Types d'objets… pour ouvrir la boîte de dialogue Types d'objets et sélectionnez l'ensemble ou certains des éléments suivants : Principaux de sécurité intégrés, Groupes et Utilisateurs. Les optionsPrincipaux de sécurité intégrés et Utilisateurs sont sélectionnées par défaut. Lorsque vous avez terminé, sélectionnez OK.

    2. Sous À partir de cet emplacement, sélectionnez Emplacements… pour ouvrir la boîte de dialogue Emplacements et sélectionnez un des emplacements de serveur disponibles. Lorsque vous avez terminé, sélectionnez OK.

    3. Sous Entrez le nom de l’objet à sélectionner (exemples), entrez l’utilisateur ou le nom de groupe que vous souhaitez rechercher. Pour plus d'informations, consultez Boîte de dialogue Choisir des utilisateurs, des ordinateurs ou des groupes.

    4. Sélectionnez Avancé… pour obtenir davantage d'options de recherche avancée. Pour plus d’informations, consultez Boîte de dialogue Choisir des utilisateurs, des ordinateurs ou des groupes - Page Avancé.

    5. Cliquez sur OK.

  4. Pour créer un compte de connexion selon un principal Windows, sélectionnez Authentification Windows. Il s'agit de la sélection par défaut.

  5. Pour créer un compte de connexion qui est enregistré sur une base de données SQL Server, sélectionnez Authentification SQL Server.

    1. Dans la zone Mot de passe , entrez un mot de passe pour le nouvel utilisateur. Entrez de nouveau ce mot de passe dans la zone Confirmer le mot de passe .

    2. Lorsque vous modifiez un mot de passe existant, sélectionnez Spécifier l'ancien mot de passe, puis tapez l'ancien mot de passe dans la zone Ancien mot de passe .

    3. Pour appliquer des options de stratégie de mot de passe pour la complexité et l'application, sélectionnez Conserver la stratégie de mot de passe. Pour plus d'informations, consultez Password Policy. Il s'agit d'une option par défaut lorsque Authentification SQL Server est sélectionné.

    4. Pour appliquer des options de stratégie de mot de passe pour l'expiration, sélectionnez Conserver l'expiration du mot de passe. L'optionConserver la stratégie de mot de passe doit être sélectionnée pour activer cette case à cocher. Il s'agit d'une option par défaut lorsque Authentification SQL Server est sélectionné.

    5. Pour forcer l'utilisateur à créer un nouveau mot de passe après la première utilisation du compte de connexion, sélectionnez L'utilisateur doit changer de mot de passe à la prochaine connexion. L'optionConserver l'expiration du mot de passe doit être sélectionnée pour activer cette case à cocher. Il s'agit d'une option par défaut lorsque Authentification SQL Server est sélectionné.

  6. Pour associer le compte de connexion à un certificat de sécurité autonome, sélectionnez Mappé au certificat , puis sélectionnez le nom d’un certificat existant dans la liste.

  7. Pour associer le compte de connexion à une clé asymétrique autonome, sélectionnez Mappé à la clé asymétrique , puis sélectionnez le nom d’une clé existante dans la liste.

  8. Pour associer le compte de connexion à des informations d'identification de sécurité, cochez la case Mappé aux identifiants, puis sélectionnez des identifiants existants dans la liste ou sélectionnez Ajouter pour créer des identifiants. Pour supprimer du compte de connexion un mappage à des identifiants de sécurité, sélectionnez les identifiants dans Identifiants mappées et sélectionnez Supprimer. Pour plus d'informations sur les identifiants en général, consultez Identifiants (moteur de base de données).

  9. Sélectionnez une base de données par défaut pour le compte de connexion dans la liste Base de données par défaut . La valeur par défaut de cette option est master.

  10. Dans la liste Langue par défaut , sélectionnez une langue par défaut pour le compte de connexion.

  11. Cliquez sur OK.

Options supplémentaires

La boîte de dialogue Nouvelle connexion offre également des options dans quatre autres pages : Rôles de serveur, Mappage de l'utilisateur, Éléments sécurisables et État.

Rôles du serveur

Remarque

Ces rôles serveur ne sont pas disponibles pour SQL Database. Il existe des rôles de niveau serveur fixes disponibles pour SQL Database. Pour plus d'informations, consultez Rôles serveur Azure SQL Database pour la gestion des autorisations.

La page Rôles de serveur répertorie tous les rôles possibles qui peuvent être affectés au nouveau compte de connexion. Les options suivantes sont disponibles :

Case à cocherbulkadmin
Les membres du rôle serveur fixe bulkadmin peuvent exécuter l’instruction BULK INSERT.

Case à cocherdbcreator
Les membres du rôle serveur fixe dbcreator peuvent créer, modifier, supprimer et restaurer n’importe quelle base de données.

Case à cocherdiskadmin
Les membres du rôle serveur fixe diskadmin peuvent gérer les fichiers de disque.

Case à cocherprocessadmin
Les membres du rôle serveur fixe processadmin peuvent arrêter les processus en cours d'exécution dans une instance du moteur de base de données.

Case à cocherpublic
Tous les utilisateurs, groupes et rôles SQL Server appartiennent au rôle serveur fixe public par défaut.

Case à cochersecurityadmin
Les membres du rôle serveur fixe securityadmin gèrent les connexions et leurs propriétés. Ils peuvent assigner des autorisations GRANT, DENY et REVOKE au niveau du serveur. Ils peuvent aussi assigner des autorisations GRANT, DENY et REVOKE au niveau de la base de données. En outre, ils peuvent réinitialiser les mots de passe pour les comptes de connexion SQL Server.

Case à cocherserveradmin
Les membres du rôle serveur fixe serveradmin peuvent modifier les options de configuration à l’échelle du serveur et arrêter le serveur.

Case à cochersetupadmin
Les membres du rôle serveur fixe setupadmin peuvent ajouter et supprimer des serveurs liés et exécuter certaines procédures stockées du système.

Case à cochersysadmin
Les membres du rôle serveur fixe sysadmin peuvent effectuer n'importe quelle activité sur le moteur de base de données.

Mappage d'utilisateur

La page Mappage de l'utilisateur répertorie toutes les bases de données possibles et les appartenances de rôle de base de données sur ces bases de données qui peuvent être appliquées à la connexion. Les bases de données sélectionnées déterminent les appartenances aux rôles disponibles pour la connexion. Les options suivantes sont disponibles sur cette page :

Utilisateurs mappés à cette connexion
Sélectionnez les bases de données auxquelles cette connexion peut accéder. Lorsque vous sélectionnez une base de données, ses rôles de base de données valides s’affichent dans le volet Appartenance au rôle de base de données pour : nom_base_de_données .

Carte
Autorise la connexion à accéder aux bases de données répertoriées au-dessous.

Sauvegarde de la base de données
Répertorie les bases de données disponibles sur le serveur.

Utilisateur
Spécifiez un utilisateur de la base de données à mapper sur cette connexion. Par défaut, l'utilisateur a le même nom que la connexion.

Schéma par défaut
Spécifie le schéma par défaut de l'utilisateur. Lors de la création d'un utilisateur, son schéma par défaut est dbo. Il est possible de spécifier un schéma par défaut qui n’existe pas encore. Vous ne pouvez pas spécifier de schéma par défaut pour un utilisateur mappé sur un groupe Windows, un certificat ou une clé asymétrique.

Compte Invité activé pour : nom_base_de_données
Attribut en lecture seule indiquant si le compte Invité est activé sur la base de données sélectionnée. Utilisez la page État de la boîte de dialogue Propriétés de la connexion du compte Invité pour activer ou désactiver le compte Invité.

Appartenance au rôle de base de données pour : nom_base_de_données
Sélectionnez les rôles pour l'utilisateur dans la base de données spécifiée. Tous les utilisateurs sont membres du rôle public de chaque base de données et ne peuvent pas être supprimés. Pour plus d’informations sur les rôles de base de données, consultez Rôles au niveau de la base de données.

Éléments sécurisables

La page Éléments sécurisables répertorie tous les éléments sécurisables possibles et les autorisations sur ces éléments sécurisables qui peuvent être accordées à la connexion. Les options suivantes sont disponibles sur cette page :

Grille supérieure
Contient un ou plusieurs éléments pour lesquels des autorisations peuvent être définies. Les colonnes affichées dans la grille supérieure varient selon le principal ou l'élément sécurisable.

Pour ajouter des éléments à la grille supérieure :

  1. Sélectionnez Rechercher.

  2. Dans la boîte de dialogue Ajouter des objets, sélectionnez l'une des options suivantes : Objets spécifiques…, Tous les objets des types… ou Le serveurnom_serveur. Cliquez sur OK.

    Remarque

    La sélection de l’option Le serveurnom_serveur remplit automatiquement la grille supérieure avec tous les objets sécurisables de ce serveur.

  3. Si vous sélectionnez Objets spécifiques… :

    1. Dans la boîte de dialogue Sélectionner les objets, sous Sélectionnez ces types d'objets, sélectionnez Types d'objets….

    2. Dans la boîte de dialogue Sélectionner les types d'objets , sélectionnez tout ou partie des types d'objets suivants : Points de terminaison, Connexions, Serveurs, Groupes de disponibilitéet Rôles de serveur. Cliquez sur OK.

    3. Sous Entrez les noms d'objets à sélectionner (exemples), sélectionnez Parcourir….

    4. Dans la boîte de dialogue Rechercher des objets, sélectionnez les objets disponibles du type sélectionné dans la boîte de dialogue Sélectionner les types d'objets, puis sélectionnez OK.

    5. Dans la boîte de dialogue Sélectionner des objets, sélectionnez OK.

  4. Si vous sélectionnez Tous les objets correspondant aux types…, dans la boîte de dialogue Sélectionner les types d’objets, sélectionnez l’ensemble ou certains des types d’objets suivants : Points de terminaison, Connexions, Serveurs, Groupes de disponibilité et Rôles de serveur. Cliquez sur OK.

Nom
Nom de chaque principal ou élément sécurisable ajouté à la grille.

Type
Décrit le type de chaque élément.

Onglet Autorisations explicites
Énumère les autorisations possibles pour les éléments sécurisables sélectionnés dans la grille supérieure. Toutes les options ne sont pas disponibles pour toutes les autorisations explicites.

autorisations
Nom de l'autorisation.

Fournisseur d'autorisations
Principal ayant accordé l'autorisation.

Octroyer
Sélectionnez cette option pour octroyer cette autorisation à la connexion. Désactivez-la pour révoquer cette autorisation.

Avec autorisation
Reflète l'état de l'option WITH GRANT pour l'autorisation indiquée dans la liste. Cette zone est en lecture seule. Pour appliquer cette autorisation, utilisez l'instruction GRANT .

Deny
Sélectionnez cette option pour refuser cette autorisation à la connexion. Désactivez-la pour révoquer cette autorisation.

État

La page État répertorie certaines des options d'authentification et d'autorisation qui peuvent être configurées sur le compte de connexion SQL Server sélectionné.

Les options suivantes sont disponibles sur cette page :

Autorisation de se connecter au moteur de base de données
Lorsque vous travaillez avec ce paramètre, vous devez considérer la connexion sélectionnée comme un principal auquel une autorisation sur un élément sécurisable peut être accordée ou refusée.

Sélectionnez Octroyer pour accorder l'autorisation CONNECT SQL à la connexion. Sélectionnez Refuser pour refuser l'autorisation CONNECT SQL à la connexion.

Connexion
Lorsque vous travaillez avec ce paramètre, vous devez considérer la connexion sélectionnée comme un enregistrement d'une table. Les modifications apportées aux valeurs répertoriées ici seront appliquées à l'enregistrement.

Une connexion qui a été désactivée continue d'exister en tant qu'enregistrement. Mais si elle tente de se connecter à SQL Server, elle ne sera pas authentifiée.

Sélectionnez cette option pour activer ou désactiver cette connexion. Cette option utilise l’instruction ALTER LOGIN avec l’option ENABLE ou DISABLE.

Authentification SQL Server
La case à cocher La connexion est verrouillée n'est disponible que si la connexion sélectionnée se connecte à l'aide de l'authentification SQL Server et qu'elle a été verrouillée. Ce paramètre est en lecture seule. Pour déverrouiller une connexion verrouillée, exécutez ALTER LOGIN avec l’option UNLOCK.

Créer une connexion à l'aide de l'authentification Windows avec T-SQL

  1. Dans l' Explorateur d'objets, connectez-vous à une instance du Moteur de base de données.

  2. Dans la barre d’outils standard, sélectionnez Nouvelle requête.

  3. Copiez et collez l’exemple suivant dans la fenêtre de requête, puis sélectionnez Exécuter.

    -- Create a login for SQL Server by specifying a server name and a Windows domain account name.
    
    CREATE LOGIN [<domainName>\<loginName>] FROM WINDOWS;
    GO
    

Créer une connexion à l'aide de l'authentification SQL Server avec T-SQL

  1. Dans l' Explorateur d'objets, connectez-vous à une instance du Moteur de base de données.

  2. Dans la barre d’outils standard, sélectionnez Nouvelle requête.

  3. Copiez et collez l’exemple suivant dans la fenêtre de requête, puis sélectionnez Exécuter.

    -- Creates the user "shcooper" for SQL Server using the security credential "RestrictedFaculty"
    -- The user login starts with the password "Baz1nga," but that password must be changed after the first login.
    
    CREATE LOGIN shcooper
       WITH PASSWORD = 'Baz1nga' MUST_CHANGE,
       CREDENTIAL = RestrictedFaculty;
    GO
    

Pour plus d'informations, consultez CREATE LOGIN (Transact-SQL).

Suivi : Mesures à prendre après avoir créé un compte de connexion

La connexion à SQL Server est possible après la création du compte de connexion, mais ce dernier ne dispose pas nécessairement des autorisations suffisantes pour effectuer des tâches utiles. La liste suivante fournit des liens vers des actions de compte de connexion courantes.