Criar um logon

Aplica-se a: SQL Server Banco de Dados SQL do Azure Instância Gerenciada de SQL do Azure Azure Synapse Analytics Analytics Platform System (PDW)

Este artigo descreve como criar um logon no SQL Server ou no banco de dados SQL do Azure usando o SQL Server Management Studio (SSMS) ou Transact-SQL. Um logon é a identidade da pessoa ou do processo que está se conectando a uma instância do SQL Server.

Observação

O Microsoft Entra ID era conhecido como Azure Active Directory (Azure AD).

Tela de fundo

Um logon é uma entidade de segurança ou uma entidade que pode ser autenticada por um sistema seguro. Usuários precisam de um logon para se conectar ao SQL Server. Você pode criar um logon com base em uma entidade de segurança do Windows (como usuário de domínio ou grupo de domínio do Windows) ou pode criar um logon que não esteja baseado em uma entidade de segurança do Windows (como um logon do SQL Server).

Observação

Para usar a autenticação do SQL Server, o mecanismo de banco de dados deve usar a autenticação de modo misto. Para obter mais informações, veja Escolher um modo de autenticação.

O SQL do Azure introduziu entidades de segurança do servidor do Microsoft Entra (logons) a serem usadas para autenticação no Banco de Dados SQL do Azure, na Instância Gerenciada de SQL do Azure e no Azure Synapse Analytics (pools de SQL dedicados apenas).

O SSQL Server 2022 também introduz a Autenticação do Microsoft Entra para SQL Server.

Como uma entidade de segurança, as permissões podem ser concedidas a logons. O escopo de um logon é o mecanismo de banco de dados inteiro. Para se conectar a um banco de dados específico na instância do SQL Server, um logon deve ser mapeado para um usuário de banco de dados. Permissões, e não o logon, são concedidas dentro do banco de dados e são negadas ao usuário de banco de dados. É possível conceder a um logon permissões que tenham o escopo da instância inteira do SQL Server (por exemplo, a permissão CREATE ENDPOINT).

Observação

Quando um logon se conecta ao SQL Server, a identidade é validada no banco de dados master. Use usuários de banco de dados independentes para autenticar conexões do SQL Server e de bancos de dados SQL no nível do banco de dados. Quando você usa usuários de banco de dados independente, não é necessário logon. Um banco de dados independente é um banco de dados isolado de outros bancos de dados e da instância do SQL Server ou do banco de dados SQL (e o banco de dados master) que hospeda o banco de dados. O SQL Server dá suporte a usuários de bancos de dados independentes para autenticação no Windows e SQL Server. Ao usar o banco de dados SQL, agrupe usuários do banco de dados independentes com regras de firewall de nível de banco de dados. Para obter mais informações, consulte Usuários do banco de dados independente – Tornando o banco de dados portátil.

Permissões

O SQL Server requer a permissão ALTER ANY LOGIN ou ALTER LOGIN no servidor ou a função de servidor fixa ##MS_LoginManager## (SQL Server 2022 e posteriores).

O Banco de dados SQL requer associação à função loginmanager ou à função de servidor fixa, ##MS_LoginManager##.

Criar um logon usando SSMS para SQL Server

  1. No Pesquisador de Objetos, expanda a pasta da instância de servidor no qual deseja criar o novo logon.

  2. Clique com o botão direito do mouse na pasta Segurança, aponte para Novo e selecione Logon....

  3. Na caixa de diálogo Logon – Novo, na página Geral, insira o nome de um usuário na caixa Nome de logon. Como alternativa, escolha Pesquisar... para abrir a caixa de diálogo Selecionar usuário ou grupo.

    Observação

    Determinadas portas devem ter permissão para se comunicar com o controlador de domínio se você estiver procurando por uma entidade de segurança do Windows. Se você estiver tendo problemas para obter resultados para a pesquisa, consulte Visão geral do serviço e requisitos de porta de rede para Windows.

    Se você selecionar Pesquisar...:

    1. Em Selecionar este tipo de objeto, selecione Tipos de objeto... para abrir a caixa de diálogo Tipos de objeto e selecione qualquer opção a seguir ou todas elas: Entidades de segurança internas, Grupos e Usuários. Entidades de segurança internas e Usuários estão selecionados por padrão. Ao terminar, selecione OK.

    2. Em Desta localização, escolha Localizações... para abrir a caixa de diálogo Localizações e escolha um dos locais de servidor disponíveis. Ao terminar, selecione OK.

    3. Sob Inserir os nomes de objeto a serem selecionados (exemplos), insira o nome de usuário ou de grupo que você deseja localizar. Para obter mais informações, consulte Caixa de Diálogo Selecionar Usuários, Computadores ou Grupos.

    4. Escolha Avançado... para ver mais opções de pesquisa avançada. Para obter mais informações, veja Caixa de Diálogo Selecionar Usuários, Computadores ou Grupos – Página Avançada.

    5. Selecione OK.

  4. Para criar um logon fundado em uma entidade de segurança de Windows, selecione Autenticação do Windows. Essa é a seleção padrão.

  5. Para criar um logon salvo em um banco de dados SQL Server, escolha Autenticação do SQL Server.

    1. Na caixa Senha , digite uma senha para o novo usuário. Insira novamente essa senha na caixa Confirmar Senha .

    2. Ao alterar uma senha existente, selecione Especificar senha antigae digite a senha antiga na caixa Senha antiga .

    3. Para impor opções de política de senha para complexidade e execução, selecione Impor política de senha. Para obter mais informações, consulte Password Policy. Esta será uma opção padrão quando Autenticação do SQL Server estiver selecionada.

    4. Para impor opções de política de senha para expiração, selecione Impor expiração de senha. Impor política de senha deve ser selecionada para habilitar esta caixa de seleção. Esta será uma opção padrão quando Autenticação do SQL Server estiver selecionada.

    5. Para forçar o usuário a criar uma nova senha depois da primeira vez que o logon for usado, selecione O usuário deve alterar senha a próximo logon. Impor expiração de senha deve ser selecionada para habilitar esta caixa de seleção. Esta será uma opção padrão quando Autenticação do SQL Server estiver selecionada.

  6. Para associar o logon a um certificado de segurança autônomo, selecione Mapeado para certificado e selecione o nome de um certificado existente na lista.

  7. Para associar o logon a uma chave assimétrica autônoma, selecione Mapeado para chave assimétrica e selecione o nome de uma chave existente na lista.

  8. Para associar o logon a uma credencial de segurança, marque a caixa de seleção Mapeado para Credencial e selecione uma credencial existente na lista ou escolha Adicionar para criar uma credencial. Para remover um mapeamento a uma credencial de segurança do logon, selecione a credencial de Credenciais mapeadas e escolha Remover. Veja mais informações sobre credenciais em geral em Credenciais (Mecanismo de Banco de Dados).

  9. Na lista Banco de dados padrão , selecione um banco de dados padrão para o logon. master é o padrão dessa opção.

  10. Na lista Idioma padrão , selecione um idioma padrão para o logon.

  11. Selecione OK.

Opções adicionais

A caixa de diálogo Logon – Novo também oferece outras quatro opções de páginas: Funções de servidor, Mapeamento de usuário, Protegíveis e Status.

Funções de servidor

Observação

Essas funções de servidor não estão disponíveis para o banco de dados SQL. Há funções fixas no nível de servidor disponíveis para o banco de dados SQL. Veja mais informações em Funções do servidor do Banco de Dados SQL do Azure para gerenciamento de permissões.

A página Funções de Servidor lista todas as funções possíveis que podem ser atribuídas ao novo logon. As opções a seguir estão disponíveis:

Caixa de seleçãobulkadmin
Os membros da função de servidor fixa bulkadmin podem executar a instrução BULK INSERT.

Caixa de seleçãodbcreator
Os membros da função de servidor fixa dbcreator podem criar, alterar, remover e restaurar qualquer banco de dados.

Caixa de seleçãodiskadmin
Os membros da função de servidor fixa diskadmin podem gerenciar arquivos em disco.

Caixa de seleçãoprocessadmin
Os membros da função de servidor fixa processadmin podem terminar processos em execução em uma instância do mecanismo de banco de dados.

Caixa de seleçãopublic
Todos os usuários, grupos e funções do SQL Server pertencem à função de servidor fixa public .

Caixa de seleçãosecurityadmin
Os membros da função de servidor fixa securityadmin gerenciam logons e suas propriedades. Eles podem CONCEDER, NEGAR e REVOGAR permissões de nível de servidor. Eles também podem CONCEDER, NEGAR e REVOGAR permissões de nível de banco de dados. Além disso, eles podem redefinir senhas para logons do SQL Server.

Caixa de seleçãoserveradmin
Os membros da função de servidor fixa serveradmin podem alterar as opções de configuração de todo o servidor e fechar o servidor.

Caixa de seleçãosetupadmin
Os membros da função de servidor fixa setupadmin podem adicionar e remover servidores vinculados e podem executar alguns procedimentos armazenados no sistema.

Caixa de seleçãosysadmin
Os membros da função de servidor fixa sysadmin podem executar qualquer atividade no mecanismo de banco de dados.

Mapeamento de usuário

A página Mapeamento de Usuário lista todos os possíveis bancos de dados e associações de função de banco de dados nesses bancos de dados que podem ser se aplicados ao logon. Os bancos de dados selecionados determinam as associações de função que estão disponíveis para o logon. As opções a seguir estão disponíveis nesta página:

Usuários mapeados para este logon
Selecione os bancos de dados que este logon pode acessar. Quando você seleciona um banco de dados, as funções de banco de dados válidas dele são exibidas no painel Associação à função de banco de dados para: database_name.

Map
Permita que o logon acesse os bancos de dados listados abaixo.

Backup de banco de dados
Liste os bancos de dados disponíveis no servidor.

Usuário
Especifique um usuário de banco de dados a ser mapeado para o logon. Por padrão, o usuário de banco de dados tem o mesmo nome do logon.

Esquema Padrão
Especifica o esquema padrão do usuário. Quando um usuário é criado pela primeira vez, seu esquema padrão é dbo. É possível especificar um esquema padrão que ainda não existe. Não é possível especificar um esquema padrão de um usuário mapeado para um grupo do Windows, um certificado ou uma chave assimétrica.

Conta Convidado habilitada para: database_name
Atributo somente leitura que indica se a conta de Convidado está habilitada no banco de dados selecionado. Use a página Status da caixa de diálogo Propriedades de Logon da conta Convidado para habilitar ou desabilitar a conta Convidado.

Associação à função de banco de dados para: database_name
Selecione as funções para o usuário no banco de dados especificado. Todos os usuários são membros da função public em todo banco de dados e não podem ser removidos. Para obter mais informações sobre as funções de banco de dados, veja Funções no nível de banco de dados.

Protegíveis

A página Protegíveis lista todos os protegíveis e as permissões possíveis nesses protegíveis que podem ser concedidos ao logon. As opções a seguir estão disponíveis nesta página:

Grade superior
Contém um ou mais itens para os quais podem ser definidas permissões. As colunas que são exibidas na grade superior variam, dependendo da entidade ou protegível.

Para adicionar itens à grade superior:

  1. Selecione Pesquisar.

  2. Na caixa de diálogo Adicionar objetos, selecione uma destas opções: Objetos específicos..., Todos objetos dos tipos... ou O servidorserver_name. Selecione OK.

    Observação

    A seleção de O servidorserver_name preenche automaticamente a grade superior com os objetos protegíveis de todos os servidores.

  3. Se você selecionar Objetos específicos...:

    1. Na caixa de diálogo Selecionar objetos, em Selecionar estes tipos de objeto, selecione Tipos de objeto....

    2. Na caixa de diálogo Selecionar Tipos de Objeto , selecione qualquer um destes tipos de objeto ou todos: Pontos de Extremidade, Logons, Servidores, Grupos de Disponibilidadee Funções de servidor. Selecione OK.

    3. Em Inserir os nomes de objeto a serem selecionados (exemplos), escolha Procurar....

    4. Na caixa de diálogo Procurar por objetos, selecione um dos objetos disponíveis do tipo que você marcou na caixa de diálogo Selecionar Tipos de Objeto e depois OK.

    5. Na caixa de diálogo Selecionar objetos, selecione OK.

  4. Se você selecionar Todos os objetos dos tipos...., na caixa de diálogo Selecionar Tipos de Objeto, selecione qualquer um destes tipos de objeto ou todos eles: Pontos de Extremidade, Logons, Servidores, Grupos de Disponibilidade e Funções de servidor. Selecione OK.

Nome
O nome de cada entidade ou protegível que é adicionado à grade.

Tipo
Descreve o tipo de cada item.

Guia Explícita
Lista as permissões possíveis para o protegível que está selecionado na grade superior. Nem todas as opções estão disponíveis para todas as permissões explícitas.

Permissões
O nome da permissão.

Concessor
A entidade que concedeu a permissão.

Conceder
Selecione para conceder essa permissão ao logon. Desmarque para revogar essa permissão.

Com Concessão
Reflete o estado da opção WITH GRANT para a permissão listada. Essa caixa é somente leitura. Para aplicar essa permissão, use a instrução GRANT .

Deny
Selecione para negar essa permissão ao logon. Desmarque para revogar essa permissão.

Status

A página Status lista algumas das opções de autenticação e de autorização que podem ser configuradas no logon do SQL Server selecionado.

As opções a seguir estão disponíveis nesta página:

Permissão para conexão com mecanismo de banco de dados
Quando você trabalha nessa configuração, deve pensar no logon selecionado como uma entidade que pode ter a permissão concedida ou recusada em um protegível.

Selecione Conceder para conceder a permissão CONNECT SQL ao logon. Selecione Negar para negar CONNECT SQL ao logon.

Logon
Quando você trabalha nessa configuração, deve pensar no logon selecionado como um registro em uma tabela. As alterações dos valores listados aqui serão aplicadas ao registro.

Um logon que foi desabilitado continua existindo como um registro. Mas se tentar se conectar ao SQL Server, o logon não será autenticado.

Selecione esta opção para habilitar ou desabilitar o logon. Esta opção usa a instrução ALTER LOGIN com a opção ENABLE ou DISABLE.

Autenticação do SQL Server
A caixa de seleção O logon está bloqueado só estará disponível se o logon selecionado se conectar usando a autenticação do SQL Server e se estiver bloqueado. Esta é uma configuração somente leitura. Para desbloquear um logon bloqueado, execute ALTER LOGINcom a opção UNLOCK.

Criar um logon usando a autenticação do Windows com o T-SQL

  1. No Pesquisador de Objetos, conecte-se a uma instância do Mecanismo de Banco de Dados.

  2. Na barra Padrão, selecione Nova Consulta.

  3. Copie e cole o exemplo a seguir na janela de consulta e selecione Executar.

    -- Create a login for SQL Server by specifying a server name and a Windows domain account name.
    
    CREATE LOGIN [<domainName>\<loginName>] FROM WINDOWS;
    GO
    

Criar um logon usando a autenticação do SQL Server com o T-SQL

  1. No Pesquisador de Objetos, conecte-se a uma instância do Mecanismo de Banco de Dados.

  2. Na barra Padrão, selecione Nova Consulta.

  3. Copie e cole o exemplo a seguir na janela de consulta e selecione Executar.

    -- Creates the user "shcooper" for SQL Server using the security credential "RestrictedFaculty"
    -- The user login starts with the password "Baz1nga," but that password must be changed after the first login.
    
    CREATE LOGIN shcooper
       WITH PASSWORD = 'Baz1nga' MUST_CHANGE,
       CREDENTIAL = RestrictedFaculty;
    GO
    

Para obter mais informações, confira CRIAR LOGON (Transact-SQL).

Acompanhamento: etapas a serem executadas após a criação do logon

O logon pode se conectar ao SQL Server após a criação, mas não necessariamente tem permissão suficiente para executar algum trabalho útil. A lista a seguir fornece links a ações de logon comuns.