Tipi di autenticazione dell'endpoint

Per l'autenticazione dell'endpoint è necessario concedere agli utenti le autorizzazioni necessarie per la connessione agli endpoint creati sul server e specificare la modalità di esecuzione dell'autenticazione.

La modalità di esecuzione dell'autenticazione è specificata mediante la clausola AUTHENTICATION dell'istruzione CREATE ENDPOINT o dell'istruzione ALTER ENDPOINT. La clausola AUTHENTICATION offre le opzioni seguenti per la specifica dei tipi di autenticazione:

  • BASIC

  • DIGEST

  • NTLM

  • KERBEROS

  • INTEGRATED

[!NOTA]

Non è previsto il supporto per l'autenticazione anonima dell'endpoint. Per accedere a un endpoint l'utente deve essere un utente autenticato di Windows valido, ovvero un utente di Windows trusted o un membro account sul computer locale.

Autenticazione di base

L'autenticazione di base è uno dei due meccanismi di autenticazione necessari nella specifica HTTP 1.1. Questo tipo di autenticazione è costituito da un'intestazione che include il nome utente e la password con codifica Base64 separati da due punti. Per ulteriori informazioni, visitare il sito Web all'indirizzo http://www.ietf.org/rfc/rfc2617.txt.

Tenere presente quanto segue quando si specifica BASIC:

  • Il valore PORTS non può essere impostato su CLEAR.

  • È necessario eseguire il mapping tra le credenziali inviate come autenticazione HTTP di base e un account di accesso di Windows valido.

L'autenticazione di base deve essere utilizzata solo se strettamente necessario. Poiché utilizza la codifica Base64 di facile decodifica, quando si specifica l'autenticazione di base nell'istanza di SQL Server è necessario utilizzare una porta SSL (Secure Sockets Layer) per la connessione HTTP. L'autenticazione di base può essere utilizzata nei casi in cui l'utente a cui è stata concessa l'autorizzazione per l'accesso all'endpoint è un utente locale del computer server.

Autenticazione digest

Digest è il secondo meccanismo di autenticazione necessario nella specifica HTTP 1.1. Questa autenticazione è costituita da nome utente e password, che vengono sottoposti ad hashing con MD5, un algoritmo di hashing unidirezionale, e quindi inviati al server. Il server può accedere alla password effettiva o a un hash MD5 archiviato creato durante l'impostazione della password. Il server confronta quindi il valore calcolato archiviato con quello fornito dal client. In questo modo, il client è in grado di dimostrare di conoscere la password senza effettivamente fornirla al server. Per ulteriori informazioni, visitare il sito Web all'indirizzo http://www.ietf.org/rfc/rfc2617.txt.

È necessario eseguire il mapping tra le credenziali inviate come parte dell'autenticazione digest tramite HTTP e un account di dominio di Windows valido. Non è previsto il supporto per gli account utente locali nell'autenticazione digest basata su Windows.

[!NOTA]

Per motivi di protezione, l'autenticazione digest basata su Windows supporta solo la crittografia MD5-sess su controller di dominio eseguiti in Windows Server 2003.

Autenticazione NTLM

NTLM è il meccanismo di autenticazione supportato da Windows 95, Windows 98 e Windows NT 4.0 (client e server). Questo meccanismo è un protocollo In attesa/Risposta che offre un'autenticazione più avanzata rispetto ai meccanismi di autenticazione di base o digest. L'autenticazione NTLM viene implementata in Windows 2000 e versioni successive mediante Security Support Provider Interface (SSPI). Per ulteriori informazioni, vedere Microsoft NTLM.

Autenticazione Kerberos

L'autenticazione Kerberos è un meccanismo di autenticazione standard Internet L'autenticazione Kerberos è supportata in Windows 2000 e versioni successive mediante SSPI.

Quando si utilizza l'autenticazione Kerberos, l'istanza di SQL Server deve associare un nome SPN all'account in cui verrà eseguita. Per ulteriori informazioni, vedere Registrazione di nomi SPN Kerberos utilizzando Http.sys.

Per ulteriori informazioni sull'autenticazione Kerberos, vedere Microsoft Kerberos.

Autenticazione integrata

Gli endpoint configurati per il supporto dell'autenticazione integrata possono rispondere con i tipi di autenticazione seguenti come parte della richiesta di autenticazione: Kerberos o NTLM.

In questa configurazione il server tenta di autenticare il client con il tipo utilizzato dal client nella richiesta di autenticazione.

[!NOTA]

Se questa operazione ha esito negativo per uno dei tipi di autenticazione integrata, il server interrompe la connessione per il client. Il server non utilizzerà l'altro tipo di autenticazione.