Vytvoření role aplikace

platí pro:SQL ServerAzure SQL Databaseazure SQL Managed Instance

Tento článek popisuje, jak vytvořit roli aplikace v SQL Serveru pomocí aplikace SQL Server Management Studio nebo Transact-SQL. Role aplikací omezují přístup uživatelů k databázi s výjimkou konkrétních aplikací. Role aplikací nemají žádné uživatele, takže se při výběru role aplikace nezobrazí seznam Členů rolí.

Důležitý

Složitost hesla se kontroluje, když jsou nastavená hesla rolí aplikace. Aplikace, které vyvolávají role aplikací, musí ukládat svá hesla. Hesla rolí aplikací by měla být vždy uložena zašifrovaná.

Pozadí

Počínaje SQL Serverem 2012 (11.x) sql Server a Azure SQL DB používaly hodnotu hash SHA-512 v kombinaci s 32bitovou náhodnou a jedinečnou solí. Tato metoda znepřístupnil útočníkům statisticky neproveditelná hesla.

SQL Server 2025 (17.x) zavádí algoritmus iterated hash, RFC2898, označovaný také jako funkce odvození klíče založené na heslech (PBKDF). Tento algoritmus stále používá algoritmus SHA-512, ale několikrát zatřiďuje heslo (100 000 iterací), což výrazně zpomaluje útoky hrubou silou. Tato změna vylepšuje ochranu heslem v reakci na vyvíjející se bezpečnostní hrozby a pomáhá zákazníkům dodržovat pokyny NIST SP 800-63b. Toto vylepšení zabezpečení používá silnější algoritmus hash, který může mírně zvýšit dobu přihlášení pro přihlášení k ověřování SQL. Dopad je obecně nižší v prostředích s sdružováním připojení, ale může být patrnější ve scénářích bez sdružování nebo v případě, že se latence přihlášení pečlivě monitoruje.

Použití aplikace SQL Server Management Studio

1. V Průzkumníku objektů rozbalte databázi, ve které chcete vytvořit roli aplikace.

2. Rozbalte složku Security.

3. Rozbalte složku Role.

4. Klikněte pravým tlačítkem na složku Role aplikace a vyberte Nová role aplikace....

5. V dialogovém okně Role aplikace – Nová na obecné stráncezadejte nový název nové role aplikace do pole Název role.

6. Do pole Výchozí schéma zadejte schéma, které bude vlastnit objekty vytvořené touto rolí zadáním názvů objektů. Alternativně můžete vybrat trojtečku (...) pro otevření dialogového okna Vyhledat schéma.

7. Do pole Heslo zadejte heslo pro novou roli. Toto heslo znovu zadejte do pole Potvrzení hesla.

8. V části Schémata vlastněná touto rolívyberte nebo zobrazte schémata, která budou vlastníkem této role. Schéma může vlastnit pouze jedno schéma nebo roli.

9. Vyberte OK.

Další možnosti

Dialogové okno Role aplikace – nové nabízí také možnosti na dvou dalších stránkách: Securables a Rozšířené vlastnosti.

• Na stránce Zabezpečitelné jsou uvedeny všechny možné zabezpečitelné prvky a oprávnění k těmto zabezpečitelným prvkům, která je možné udělit pro přihlášení.

• Stránka Rozšířených vlastností umožňuje přidat vlastní vlastnosti uživatelům databáze.

Použití jazyka transact-SQL

1. V Průzkumníku objektůse připojte k instanci služby Database Engine.

2. Na panelu Standard vyberte Nový dotaz.

3. Zkopírujte a vložte následující příklad do okna dotazu a vyberte Spustit. Tento kód vytvoří aplikační roli, weekly_receipts která má heslo, a Sales jako výchozí schéma. Nahraďte <password> silným heslem.

   -- 
   
   CREATE APPLICATION ROLE weekly_receipts
       WITH PASSWORD = '<password>'
       , DEFAULT_SCHEMA = Sales;
   GO
   

Dovolení

Vyžaduje ALTER ANY APPLICATION ROLE oprávnění k databázi.

Související obsah

• CREATE APPLICATION ROLE (Transact-SQL)