Choisir un mode d'authentification

  • Article

Pendant l’installation, vous devez sélectionner un mode d’authentification pour le Moteur de base de données. Il existe deux modes possibles : Mode d'authentification Windows et mode mixte. Le mode d’authentification Windows active l’authentification Windows et désactive l’authentification SQL Server . Le mode mixte active à la fois l’authentification Windows et l’authentification SQL Server . L'authentification Windows est toujours disponible et ne peut pas être désactivée.

Configuration du mode d'authentification

Si vous sélectionnez le mode d'authentification mixte au cours de l'installation, vous devez fournir, puis confirmer, un mot de passe fort pour le compte d'administrateur système SQL Server intégré appelé sa. Le compte sa se connecte à l'aide de l'authentification SQL Server .

Si vous sélectionnez l'authentification Windows au cours de l'installation, le programme d'installation crée le compte sa pour l'authentification SQL Server mais celui-ci est désactivé. Si vous passez ultérieurement en mode d'authentification mixte et que vous souhaitez utiliser le compte sa, vous devez d'abord l'activer. Tout compte Windows ou SQL Server peut être configuré en tant qu'administrateur système. Étant donné que le compte sa est connu et qu'il est souvent la cible d'utilisateurs malveillants, ne l'activez pas à moins que votre application n'en ait besoin. N'attribuez jamais de mot de passe vide ou faible au compte sa. Pour passer du mode d’authentification Windows au mode d’authentification mixte et utiliser l’authentification SQL Server , consultez Modifier le mode d’authentification du serveur.

Connexion via l'authentification Windows

Quand un utilisateur se connecte par le biais d'un compte d'utilisateur Windows, SQL Server valide le nom et le mot de passe du compte à l'aide du jeton du principal Windows du système d'exploitation. Autrement dit, l'identité de l'utilisateur est confirmée par Windows. SQL Server ne demande pas le mot de passe et n’effectue pas de validation d’identité. L’authentification Windows est le mode d’authentification par défaut et offre une sécurité très supérieure à l’authentification SQL Server . L’authentification Windows utilise le protocole de sécurité Kerberos, met en œuvre des stratégies de mot de passe portant sur la validation de la complexité des mots de passe forts et prend en charge le verrouillage des comptes et l’expiration des mots de passe. Une connexion établie à l'aide de l'authentification Windows est parfois appelée une connexion approuvée car SQL Server approuve les informations d'identification fournies par Windows.

En utilisant l'authentification Windows, vous pouvez créer des groupes Windows au niveau du domaine, et une connexion sur SQL Server pour le groupe entier. La gestion de l'accès au niveau du domaine peut simplifier l'administration du compte.

Important

Lorsque c'est possible, utilisez l'authentification Windows.

Connexion via l'authentification SQL Server

Lors de l’utilisation de l’authentification SQL Server , les connexions créées dans SQL Server ne sont pas basées sur les comptes d’utilisateur Windows. Le nom d’utilisateur et le mot de passe sont créés à l’aide de SQL Server et stockés dans SQL Server. Les utilisateurs qui recourent à l’authentification SQL Server doivent fournir leurs informations d’identification (nom de connexion et mot de passe) chaque fois qu’ils se connectent. Lorsque vous utilisez l’authentification SQL Server , vous devez définir des mots de passe forts pour tous les comptes SQL Server . Pour obtenir des conseils sur les mots de passe forts, consultez Mots de passe forts.

Trois stratégies de mot de passe facultatives sont disponibles pour les connexions SQL Server .

  • L'utilisateur doit changer de mot de passe à la prochaine connexion

    Oblige l'utilisateur à changer de mot de passe la prochaine fois qu'il se connecte. La possibilité de changer de mot de passe est fournie par SQL Server Management Studio. Les développeurs de logiciels tiers doivent fournir cette fonctionnalité si cette option est utilisée.

  • Conserver l'expiration du mot de passe

    La stratégie relative à la durée de vie maximale des mots de passe de l'ordinateur est appliquée aux connexions SQL Server .

  • Conserver la stratégie de mot de passe

    Les stratégies de mot de passe Windows de l'ordinateur sont appliquées aux connexions SQL Server . Elles prennent notamment en compte la longueur et la complexité des mots de passe. Cette fonctionnalité dépend de l'API NetValidatePasswordPolicy disponible uniquement dans Windows Server 2003 et versions ultérieures.

Pour déterminer les stratégies de mot de passe de l'ordinateur local

  1. Dans le menu Démarrer , cliquez sur Exécuter.

  2. Dans la boîte de dialogue Exécuter , tapez secpol.msc, puis cliquez sur OK.

  3. Dans l’application Paramètres de sécurité locale , développez Paramètres de sécurité, Stratégies de comptes, puis cliquez sur Stratégie de mot de passe.

    Les stratégies de mot de passe sont décrites dans le volet de résultats.

Inconvénients de l'authentification SQL Server

  • Si un utilisateur est un utilisateur de domaine Windows disposant d’une connexion et d’un mot de passe pour Windows, il doit toujours fournir un autre nom de connexion (SQL Server) et un mot de passe pour se connecter. Pour de nombreux utilisateurs, il est difficile de gérer plusieurs noms et plusieurs mots de passe. Devoir fournir des informations d’identification SQL Server à chaque connexion à la base de données peut s’avérer fastidieux.

  • SQL Server L’authentification ne peut pas utiliser le protocole de sécurité Kerberos.

  • Windows offre des stratégies de mot de passe supplémentaires qui ne sont pas disponibles pour les connexions SQL Server .

  • Le mot de passe de connexion chiffré de l'authentification SQL Server doit être passé sur le réseau au moment de la connexion. Certaines applications qui se connectent automatiquement conservent le mot de passe au niveau du client. Il s'agit de points d'attaque supplémentaires.

Avantages de l'authentification SQL Server

  • Permet à SQL Server de prendre en charge des applications anciennes ou tierces qui nécessitent l’authentification SQL Server .

  • Permet à SQL Server de prendre en charge des environnements contenant des systèmes d'exploitation mixtes, où tous les utilisateurs ne sont pas authentifiés par un domaine Windows.

  • Permet aux utilisateurs de se connecter à partir de domaines inconnus ou non approuvés. Par exemple, une application où les clients établis se connectent avec des noms de connexion SQL Server assignés pour recevoir l'état de leur commande.

  • Permet à SQL Server de prendre en charge des applications Web où les utilisateurs créent leur propre identité.

  • Permet aux développeurs de logiciels de distribuer leurs applications en utilisant une hiérarchie d'autorisations complexe, basée sur des connexions SQL Server connues et prédéfinies.

    Notes

    L'utilisation de l'authentification SQL Server ne limite pas les autorisations des administrateurs locaux sur l'ordinateur où SQL Server est installé.

Voir aussi

Considérations sur la sécurité pour une installation SQL Server