Scegliere una modalità di autenticazione

Si applica a: SQL Server

Durante la configurazione, è necessario selezionare una modalità di autenticazione per il motore di database. Sono disponibili due modalità: la modalità di autenticazione di Windows e la modalità mista. La modalità di autenticazione di Windows abilita l'autenticazione di Windows e disabilita quella di SQL Server. La modalità mista abilita sia l'autenticazione di Windows sia quella di SQL Server. L'autenticazione di Windows è sempre disponibile e non può essere disabilitata.

Configurazione della modalità di autenticazione

Se si seleziona l'autenticazione in modalità mista (modalità autenticazione SQL Server e Windows) durante la configurazione, è necessario fornire e confermare una password complessa per l'account amministratore di sistema predefinito di SQL Server denominato sa. L'account sa consente di connettersi utilizzando l'autenticazione di SQL Server.

Se si seleziona l'autenticazione di Windows durante la configurazione, viene creato l'account sa per l'autenticazione di SQL Server, che rimane però disabilitato. Se successivamente si passa all'autenticazione in modalità mista e si desidera utilizzare l'account sa, sarà necessario abilitarlo. Qualsiasi account di Windows o di SQL Server può essere configurato come amministratore di sistema. Poiché l'account sa è un account noto ed è spesso preso di mira dagli utenti malintenzionati, si consiglia di abilitare tale account sa solo se richiesto dall'applicazione. Non impostare mai password vuote o vulnerabili per l'account sa. Per passare dalla modalità di autenticazione di Windows all'autenticazione in modalità mista e usare l'autenticazione di SQL Server, vedere Modificare la modalità di autenticazione del server.

Connessione tramite l'autenticazione di Windows

Quando un utente si connette usando un account utente di Windows, SQL Server convalida il nome dell'account e la password tramite il token di Windows nel sistema operativo. L'identità utente viene pertanto verificata da Windows. SQL Server non richiede la password e non esegue la convalida dell'identità. L'autenticazione di Windows è la modalità di autenticazione predefinita ed è molto più sicura rispetto all'autenticazione di SQL Server. L'autenticazione di Windows, per la quale viene utilizzato il protocollo di sicurezza New Technology LAN Manager (NTLM) o Kerberos, garantisce l'applicazione dei criteri password mediante convalida della complessità delle password e fornisce supporto per blocchi dell'account e per la scadenza delle password. In alcuni casi, una connessione effettuata con l'autenticazione di Windows viene denominata connessione trusted, poiché SQL Server considera attendibili le credenziali fornite da Windows.

Per altre informazioni sulla configurazione di Kerberos, consultare Registrare un nome dell'entità servizio per le connessioni Kerberos.

Utilizzando l'autenticazione di Windows, è possibile creare i gruppi di Windows a livello di dominio e un account di accesso in SQL Server per l'intero gruppo. Gestire l'accesso a livello di dominio può semplificare l'amministrazione di account.

Importante

Se possibile, usare l'autenticazione di Windows.

Connessione tramite l'autenticazione di SQL Server

Quando si usa l'autenticazione di SQL Server, in SQL Server vengono creati account di accesso che non sono basati su account utente di Windows. Sia il nome utente che la password vengono creati mediante SQL Server e archiviati in SQL Server. Gli utenti che si connettono tramite l'autenticazione di SQL Server devono fornire le proprie credenziali (accesso e password) a ogni tentativo di connessione. Se si utilizza l'autenticazione di SQL Server, è necessario impostare password complesse per tutti gli account di SQL Server. Per consultare le linee guida per la creazione di password complesse, vedere Password complesse.

Sono disponibili tre criteri password facoltativi per l'accesso di SQL server.

  • Richiedi modifica della password all'accesso successivo

    Viene richiesto di modificare la password alla connessione successiva dell'utente. La possibilità di modificare la password è resa disponibile da SQL Server Management Studio. Se viene selezionata questa opzione, gli sviluppatori software di altre società devono fornire questa funzionalità.

  • Imponi scadenza password

    Per l'accesso di SQL server vengono applicati i criteri di durata massima delle password del computer.

  • Applica criteri password

    Per l'accesso di SQL server vengono applicati i criteri password di Windows del computer, tra cui quelli relativi alla lunghezza e alla complessità delle password. Questa funzionalità dipende dall'API NetValidatePasswordPolicy, disponibile unicamente in Windows Server 2003 e versioni successive.

Per determinare i criteri password del computer locale

  1. Nel menu Start selezionare Esegui.

  2. Nella finestra di dialogo Esegui digitare secpol.msc, quindi selezionare Ok.

  3. Nell'applicazione Impostazioni di protezione locale, espandere Impostazioni di protezione e Criteri contabili, quindi selezionare Criteri password.

    I criteri password sono descritti nel riquadro dei risultati.

Svantaggi dell'autenticazione di SQL Server

  • Se l'utente è un utente di dominio Windows con un account di accesso e una password per Windows, deve comunque specificare un altro account di accesso (SQL Server) e un'altra password per connettersi. Tenere traccia di più nomi e password è un'operazione problematica per molti utenti. La necessità di fornire le credenziali di SQL Server ogni volta che ci si connette al database può risultare fastidiosa.

  • L'autenticazione di SQL Server non può usare il protocollo di sicurezza Kerberos.

  • In Windows sono presenti criteri password aggiuntivi non disponibili per l'accesso di SQL server.

  • È necessario che la password di accesso crittografata per l'autenticazione di SQL Server venga trasmessa in rete al momento della connessione. In alcune applicazioni che si connettono automaticamente, la password verrà archiviata nel client, creando punti di attacco aggiuntivi.

Vantaggi dell'autenticazione di SQL Server

  • Consente a SQL Server di supportare le applicazioni meno recenti e le applicazioni di terze parti che richiedono l'autenticazione di SQL Server.

  • Consente a SQL Server di supportare ambienti con sistemi operativi misti in cui gli utenti non sono autenticati da un dominio Windows.

  • Consente agli utenti di connettersi da domini sconosciuti o non attendibili. Ad esempio, un'applicazione in cui clienti specifici si connettono con account di accesso di SQL Server assegnati per ricevere lo stato dei relativi ordini.

  • Consente a SQL Server di supportare le applicazioni basate sul Web in cui gli utenti creano le proprie identità.

  • Consente agli sviluppatori di software di distribuire le proprie applicazioni tramite una gerarchia di autorizzazioni complessa, basata su account di accesso di SQL Server noti e preimpostati.

    Nota

    L'utilizzo dell'autenticazione di SQL Server non limita le autorizzazioni degli amministratori locali sul computer in cui è installato SQL Server.