Choisir un mode d’authentification
S'applique à : SQL Server
Pendant l’installation, vous devez sélectionner un mode d’authentification pour le moteur de base de données. Deux modes sont possibles : le mode d’authentification Windows et le mode mixte. Le mode d’authentification Windows active l’authentification Windows et désactive l’authentification SQL Server. Le mode mixte active à la fois l’authentification Windows et l’authentification SQL Server. L'authentification Windows est toujours disponible et ne peut pas être désactivée.
Configuration du mode d'authentification
Si vous sélectionnez le mode d'authentification mixte (mode SQL Server et Authentification Windows) au cours de l'installation, vous devez fournir, puis confirmer, un mot de passe fort pour le compte d'administrateur système SQL Server intégré appelé sa
. Le compte sa
se connecte à l'aide de l'authentification SQL Server.
Si vous sélectionnez l’authentification Windows pendant l’installation, l’installation crée le compte sa
pour l’authentification SQL Server, mais il est désactivé. Si vous passez ultérieurement en mode d'authentification mixte et que vous souhaitez utiliser le compte sa
, vous devez d'abord l'activer. Tout compte Windows ou SQL Server peut être configuré en tant qu'administrateur système. Étant donné que le compte sa
est connu et qu'il est souvent la cible d'utilisateurs malveillants, n'activez pas le compte sa
à moins que votre application n'en ait besoin. N'attribuez jamais de mot de passe vide ou faible au compte sa
. Pour passer du mode d’authentification Windows au mode d’authentification mixte et utiliser l’authentification SQL Server, consultez Modifier le mode d’authentification du serveur.
Connexion via l'authentification Windows
Quand un utilisateur se connecte par le biais d'un compte d'utilisateur Windows, SQL Server valide le nom et le mot de passe du compte à l'aide du jeton du principal Windows du système d'exploitation. Autrement dit, l'identité de l'utilisateur est confirmée par Windows. SQL Server ne demande pas le mot de passe et n’effectue pas de validation d’identité. L'authentification Windows est le mode d'authentification par défaut. Elle est plus sécurisée que l'authentification SQL Server. L’authentification Windows utilise Technology LAN Manager (NTLM) ou le protocole de sécurité Kerberos, met en œuvre des stratégies de mot de passe portant sur la validation de la complexité des mots de passe forts et prend en charge le verrouillage des comptes et l’expiration des mots de passe. Une connexion établie à l’aide de l’authentification Windows est parfois appelée une connexion approuvée car SQL Server approuve les informations d’identification fournies par Windows.
Pour des informations sur la configuration de Kerberos, consultez Inscrire un nom de principal du service pour les connexions Kerberos.
En utilisant l'authentification Windows, vous pouvez créer des groupes Windows au niveau du domaine, et une connexion sur SQL Server pour le groupe entier. La gestion de l'accès au niveau du domaine peut simplifier l'administration du compte.
Important
Lorsque c'est possible, utilisez l'authentification Windows.
Connexion via l'authentification SQL Server
Lorsque vous utilisez l’authentification SQL Server, les connexions sont créées dans SQL Server et ne sont pas basées sur des comptes d’utilisateur Windows. Le nom d’utilisateur et le mot de passe sont créés à l’aide de SQL Server et stockés dans SQL Server. Les utilisateurs qui recourent à l’authentification SQL Server doivent fournir leurs informations d’identification (nom de connexion et mot de passe) chaque fois qu’ils se connectent. Lorsque vous utilisez l’authentification SQL Server, vous devez définir des mots de passe forts pour tous les comptes SQL Server. Pour obtenir des conseils sur les mots de passe forts, consultez Mots de passe forts.
Trois stratégies de mot de passe facultatives sont disponibles pour les connexions SQL Server.
L'utilisateur doit changer de mot de passe à la prochaine connexion
Oblige l'utilisateur à changer de mot de passe la prochaine fois qu'il se connecte. La possibilité de changer de mot de passe est fournie par SQL Server Management Studio. Les développeurs de logiciels d’autres entreprises doivent fournir cette fonctionnalité si cette option est utilisée.
Conserver l'expiration du mot de passe
La stratégie relative à la durée de vie maximale des mots de passe de l'ordinateur est appliquée aux connexions SQL Server.
Conserver la stratégie de mot de passe
Les stratégies de mot de passe Windows de l'ordinateur sont appliquées aux connexions SQL Server. Elles prennent notamment en compte la longueur et la complexité des mots de passe. Cette fonctionnalité dépend de l'API
NetValidatePasswordPolicy
, disponible uniquement dans Windows Server 2003 et versions ultérieures.
Pour déterminer les stratégies de mot de passe de l'ordinateur local
Dans le menu Démarrer, sélectionnez Exécuter.
Dans la boîte de dialogue Exécuter, tapez secpol.msc, puis sélectionnez OK.
Dans l’application Paramètres de sécurité locale, développez Paramètres de sécurité, Stratégies de comptes, puis sélectionnez sur Stratégie de mot de passe.
Les stratégies de mot de passe sont décrites dans le volet de résultats.
Inconvénients de l'authentification SQL Server
Si un utilisateur est un utilisateur de domaine Windows qui dispose d’une connexion et d’un mot de passe pour Windows, il doit toujours fournir un autre nom de connexion et un autre mot de passe (SQL Server) pour se connecter. Pour de nombreux utilisateurs, il est difficile de gérer plusieurs noms et plusieurs mots de passe. Devoir fournir des informations d’identification SQL Server à chaque connexion de l’utilisateur à la base de données peut s’avérer fastidieux.
L’authentification SQL Server ne peut pas utiliser le protocole de sécurité Kerberos.
Windows offre des stratégies de mot de passe supplémentaires qui ne sont pas disponibles pour les connexions SQL Server.
Le mot de passe de connexion chiffré de l'authentification SQL Server doit être passé sur le réseau au moment de la connexion. Certaines applications qui se connectent automatiquement conservent le mot de passe au niveau du client. Il s'agit de points d'attaque supplémentaires.
Avantages de l'authentification SQL Server
Permet à SQL Server de prendre en charge des applications anciennes et des applications tierces qui requièrent l’authentification SQL Server.
Permet à SQL Server de prendre en charge des environnements contenant des systèmes d'exploitation mixtes, où tous les utilisateurs ne sont pas authentifiés par un domaine Windows.
Permet aux utilisateurs de se connecter à partir de domaines inconnus ou non approuvés. Par exemple, une application où les clients établis se connectent via des connexions SQL Server assignées pour obtenir l’état de leurs commandes.
Permet à SQL Server de prendre en charge les applications web où les utilisateurs créent leur propre identité.
Permet aux développeurs de logiciels de distribuer leurs applications à l’aide d’une hiérarchie d’autorisations complexe basée sur des connexions SQL Server connues et prédéfinies.
Remarque
L'utilisation de l'authentification SQL Server ne limite pas les autorisations des administrateurs locaux sur l'ordinateur où SQL Server est installé.