Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier les répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer de répertoire.
S’applique à :
SQL ServerAzure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsAnalytics Platform System (PDW)
Cet article explique comment créer un compte de connexion dans SQL Server ou Azure SQL Database à l’aide de SQL Server Management Studio (SSMS) ou Transact-SQL. Un compte de connexion est l’identité de la personne ou du processus qui se connecte à une instance de SQL Server.
Note
Microsoft Entra ID était précédemment connu sous le nom d’Azure Active Directory (Azure AD).
Contexte
Un compte de connexion est un principal de sécurité, ou une entité qui peut être authentifiée par un système sécurisé. Pour se connecter à SQL Server, les utilisateurs doivent disposer d’un compte de connexion. Vous pouvez créer un compte de connexion basé sur un principal Windows (tel qu’un utilisateur de domaine ou un groupe de domaines Windows) ou créer un compte de connexion qui n’est pas basé sur un principal Windows (tel qu’un compte de connexion SQL Server).
À compter de SQL Server 2012 (11.x), SQL Server et Azure SQL DB utilisaient un hachage SHA-512 combiné à un salage unique et aléatoire de 32 bits. Cette méthode rendait statistiquement impossible la déduction des mots de passe par les attaquants.
SQL Server 2025 (17.x) introduit un algorithme de hachage itéré, RFC2898, également appelé fonction de dérivation de clé basée sur mot de passe (PBKDF). Cet algorithme utilise toujours SHA-512, mais hache le mot de passe plusieurs fois (100 000 itérations), ralentissant considérablement les attaques par force brute. Cette modification améliore la protection par mot de passe en réponse aux menaces de sécurité en constante évolution et aide les clients à se conformer aux directives NIST SP 800-63b. Cette amélioration de la sécurité utilise un algorithme de hachage plus fort, qui peut légèrement augmenter le temps de connexion pour les connexions d’authentification SQL. L’impact est généralement inférieur dans les environnements avec le regroupement de connexions, mais peut être plus visible dans les scénarios sans regroupement ni où la latence de connexion est étroitement surveillée.
Note
Pour utiliser l’authentification SQL Server, le moteur de base de données doit utiliser une authentification en mode mixte. Pour plus d’informations, consultez Choisir un mode d’authentification.
Azure SQL a introduit les principaux de serveur Microsoft Entra (comptes de connexion) à utiliser pour s’authentifier auprès d’Azure SQL Database, d’Azure SQL Managed Instance et d’Azure Synapse Analytics (pools SQL dédiés uniquement).
SQL Server 2022 introduit également l’authentification Microsoft Entra pour SQL Server.
En tant que principal de sécurité, il est possible d'accorder des autorisations à des comptes de connexion. L’étendue d’un compte de connexion est l’intégralité du moteur de base de données. Pour se connecter à une base de données spécifique sur l’instance de SQL Server, un compte de connexion doit être mappé à un utilisateur de base de données. Les autorisations dans la base de données sont accordées et refusées à l'utilisateur de la base de données, pas au compte de connexion. Les autorisations dont l’étendue englobe la totalité de l’instance de SQL Server (par exemple, l’autorisation CREATE ENDPOINT) peuvent être accordées à un compte de connexion.
Note
Lors d’une connexion à SQL Server, l’identité est validée sur la base de données master. Faites appel à des utilisateurs de base de données autonome pour authentifier les connexions SQL Server et SQL Database au niveau de la base de données. Aucune connexion n’est nécessaire pour les utilisateurs de base de données autonome. Une base de données autonome est une base de données qui est isolée des autres bases de données et de l’instance SQL Server ou SQL Database (et de la base de données master) qui héberge la base de données. SQL Server prend en charge les utilisateurs de base de données autonome pour Windows et l’authentification SQL Server. Si vous utilisez SQL Database, associez les utilisateurs de base de données autonome à des règles de pare-feu au niveau de la base de données. Pour plus d’informations, voir Rendre votre base de données portable en utilisation des bases de données autonomes.
Autorisations
SQL Server nécessite l’autorisation ALTER ANY LOGIN ou ALTER LOGIN sur le serveur, ou le rôle serveur fixe ##MS_LoginManager## (SQL Server 2022 et versions ultérieures).
SQL Database nécessite l’appartenance au rôle loginmanager ou au rôle serveur fixe ##MS_LoginManager##.
Créer une connexion à l’aide de SSMS pour SQL Server
Dans l'Explorateur d'objets, développez le dossier de l'instance du serveur où vous souhaitez créer le compte de connexion.
Cliquez avec le bouton droit sur le dossier Sécurité, pointez sur Nouveau, puis sélectionnez Connexion….
Dans la boîte de dialogue Nouvelle connexion, dans la page Général, entrez le nom d’un utilisateur dans la zone Nom de la connexion. Vous pouvez également cliquer sur Rechercher… pour ouvrir la boîte de dialogue Sélectionner un utilisateur ou un groupe.
Note
Certains ports doivent être autorisés à communiquer avec le contrôleur de domaine si vous recherchez un principal Windows. Si vous rencontrez des difficultés pour obtenir des résultats, consultez Vue d’ensemble des services et exigences des ports réseau pour Windows.
Si vous sélectionnez Rechercher... :
Sous Sélectionner ce type d’objet, cliquez sur Types d’objets… pour ouvrir la boîte de dialogue Types d’objets et sélectionnez l’ensemble ou certains des éléments suivants : Principaux de sécurité intégrés, Groupes et Utilisateurs. Les optionsPrincipaux de sécurité intégrés et Utilisateurs sont sélectionnées par défaut. Lorsque vous avez terminé, sélectionnez OK.
Sous À partir de cet emplacement, cliquez sur Emplacements… pour ouvrir la boîte de dialogue Emplacements et sélectionner un des emplacements de serveur disponibles. Lorsque vous avez terminé, sélectionnez OK.
Sous Entrez le nom de l’objet à sélectionner (exemples), entrez l’utilisateur ou le nom de groupe que vous souhaitez rechercher. Pour plus d'informations, consultez Boîte de dialogue Choisir des utilisateurs, des ordinateurs ou des groupes.
Cliquez sur Avancé… pour obtenir davantage d’options de recherche avancée. Pour plus d’informations, consultez Boîte de dialogue Choisir des utilisateurs, des ordinateurs ou des groupes - Page Avancé.
Sélectionnez OK.
Pour créer un compte de connexion selon un principal Windows, sélectionnez Authentification Windows. Il s'agit de la sélection par défaut.
Pour créer un compte de connexion qui est enregistré sur une base de données SQL Server, sélectionnez Authentification SQL Server.
Dans la zone Mot de passe , entrez un mot de passe pour le nouvel utilisateur. Entrez de nouveau ce mot de passe dans la zone Confirmer le mot de passe .
Lorsque vous modifiez un mot de passe existant, sélectionnez Spécifier l'ancien mot de passe, puis tapez l'ancien mot de passe dans la zone Ancien mot de passe .
Pour appliquer des options de stratégie de mot de passe pour la complexité et l'application, sélectionnez Conserver la stratégie de mot de passe. Pour plus d'informations, consultez Password Policy. Il s'agit d'une option par défaut lorsque Authentification SQL Server est sélectionné.
Pour appliquer des options de stratégie de mot de passe pour l'expiration, sélectionnez Conserver l'expiration du mot de passe. L’optionConserver la stratégie de mot de passe doit être sélectionnée pour activer cette case à cocher. Il s'agit d'une option par défaut lorsque Authentification SQL Server est sélectionné.
Pour forcer l'utilisateur à créer un nouveau mot de passe après la première utilisation du compte de connexion, sélectionnez L'utilisateur doit changer de mot de passe à la prochaine connexion. L’optionConserver l’expiration du mot de passe doit être sélectionnée pour activer cette case à cocher. Il s'agit d'une option par défaut lorsque Authentification SQL Server est sélectionné.
Pour associer le compte de connexion à un certificat de sécurité autonome, sélectionnez Mappé au certificat , puis sélectionnez le nom d’un certificat existant dans la liste.
Pour associer le compte de connexion à une clé asymétrique autonome, sélectionnez Mappé à la clé asymétrique , puis sélectionnez le nom d’une clé existante dans la liste.
Pour associer le compte de connexion à des informations d’identification de sécurité, activez la case à cocher Mappé aux informations d’identification , puis sélectionnez des informations d’identification existantes dans la liste ou cliquez sur Ajouter pour créer de nouvelles informations d’identification. Pour supprimer du compte de connexion un mappage à des informations d’identification de sécurité, sélectionnez les informations d’identification dans Informations d’identification mappées et cliquez sur Supprimer. Pour plus d’informations sur les informations d’identification en général, consultez Informations d’identification (moteur de base de données).
Sélectionnez une base de données par défaut pour le compte de connexion dans la liste Base de données par défaut .
masterest la valeur par défaut pour cette option.Dans la liste Langue par défaut , sélectionnez une langue par défaut pour le compte de connexion.
Sélectionnez OK.
Options supplémentaires
La boîte de dialogue Nouvelle connexion offre également des options dans quatre pages supplémentaires : Rôles de serveur, Mappage de l’utilisateur, Éléments sécurisables et État.
Rôles serveur
Note
Ces rôles serveur ne sont pas disponibles pour SQL Database. Il existe des rôles de niveau serveur fixes disponibles pour SQL Database. Pour plus d’informations, consultez Rôles serveur Azure SQL Database pour la gestion des autorisations.
La page Rôles de serveur répertorie tous les rôles possibles qui peuvent être affectés au nouveau compte de connexion. Les options suivantes sont disponibles :
Case à cocher bulkadmin
Les membres du rôle serveur fixe bulkadmin peuvent exécuter l’instruction BULK INSERT.
Case à cocher dbcreator
Les membres du rôle serveur fixe dbcreator peuvent créer, modifier, supprimer et restaurer n’importe quelle base de données.
Case à cocher diskadmin
Les membres du rôle serveur fixe diskadmin peuvent gérer les fichiers de disque.
Case à cocher processadmin
Les membres du rôle serveur fixe processadmin peuvent arrêter les processus en cours d’exécution dans une instance du moteur de base de données.
Case à cocher public
Tous les utilisateurs, groupes et rôles SQL Server appartiennent au rôle serveur fixe public par défaut.
Case à cocher securityadmin
Les membres du rôle serveur fixe securityadmin gèrent les connexions et leurs propriétés. Ils peuvent assigner des autorisations GRANT, DENY et REVOKE au niveau du serveur. Ils peuvent aussi assigner des autorisations GRANT, DENY et REVOKE au niveau de la base de données. En outre, ils peuvent réinitialiser les mots de passe pour les connexions SQL Server.
Case à cocher serveradmin
Les membres du rôle serveur fixe serveradmin peuvent modifier les options de configuration à l’échelle du serveur et arrêter le serveur.
Case à cocher setupadmin
Les membres du rôle serveur fixe setupadmin peuvent ajouter et supprimer des serveurs liés et exécuter certaines procédures stockées du système.
Case à cocher sysadmin
Les membres du rôle serveur fixe sysadmin peuvent effectuer n’importe quelle activité sur le moteur de base de données.
Mappage d’utilisateur
La page Mappage de l'utilisateur répertorie toutes les bases de données possibles et les appartenances de rôle de base de données sur ces bases de données qui peuvent être appliquées à la connexion. Les bases de données sélectionnées déterminent les appartenances aux rôles disponibles pour la connexion. Les options suivantes sont disponibles sur cette page :
Utilisateurs mappés à cette connexion
Sélectionnez les bases de données auxquelles cette connexion peut accéder. Lorsque vous sélectionnez une base de données, ses rôles de base de données valides s’affichent dans le volet Appartenance au rôle de base de données pour :nom_base_de_données .
Mapper
Autorise la connexion à accéder aux bases de données répertoriées au-dessous.
Base de données
Répertorie les bases de données disponibles sur le serveur.
Utilisateur
Spécifiez un utilisateur de la base de données à mapper sur cette connexion. Par défaut, l'utilisateur a le même nom que la connexion.
Schéma par défaut
Spécifie le schéma par défaut de l'utilisateur. Lors de la création d'un utilisateur, son schéma par défaut est dbo. Il est possible de spécifier un schéma par défaut qui n’existe pas encore. Vous ne pouvez pas spécifier de schéma par défaut pour un utilisateur mappé sur un groupe Windows, un certificat ou une clé asymétrique.
Compte Invité activé pour :nom_base_de_données
Attribut en lecture seule indiquant si le compte Invité est activé sur la base de données sélectionnée. Utilisez la page État de la boîte de dialogue Propriétés de la connexion du compte Invité pour activer ou désactiver le compte Invité.
Appartenance au rôle de base de données pour :nom_base_de_données
Sélectionnez les rôles pour l'utilisateur dans la base de données spécifiée. Tous les utilisateurs sont membres du rôle public de chaque base de données et ne peuvent pas être supprimés. Pour plus d’informations sur les rôles de base de données, consultez Rôles au niveau de la base de données.
Éléments sécurisables
La page Éléments sécurisables répertorie tous les éléments sécurisables possibles et les autorisations sur ces éléments sécurisables qui peuvent être accordées à la connexion. Les options suivantes sont disponibles sur cette page :
Grille supérieure
Contient un ou plusieurs éléments pour lesquels des autorisations peuvent être définies. Les colonnes affichées dans la grille supérieure varient selon le principal ou l'élément sécurisable.
Pour ajouter des éléments à la grille supérieure :
Sélectionnez Recherche.
Dans la boîte de dialogue Ajouter des objets, sélectionnez une des options suivantes : Objets spécifiques…, Tous les objets correspondant aux types…, ou Le serveurnom_serveur. Sélectionnez OK.
Note
La sélection de l’option Le serveurnom_serveur remplit automatiquement la grille supérieure avec tous les objets sécurisables de ce serveur.
Si vous sélectionnez Objets spécifiques… :
Dans la boîte de dialogue Sélectionner les objets, sous Sélectionnez ces types d’objets, cliquez sur Types d’objets….
Dans la boîte de dialogue Sélectionner les types d'objets , sélectionnez tout ou partie des types d'objets suivants : Points de terminaison, Connexions, Serveurs, Groupes de disponibilité et Rôles de serveur. Sélectionnez OK.
Sous Entrez les noms d’objets à sélectionner (exemples), cliquez sur Parcourir….
Dans la boîte de dialogue Rechercher des objets , sélectionnez les objets disponibles du type sélectionné dans la boîte de dialogue Sélectionner les types d’objets , puis cliquez sur OK.
Dans la boîte de dialogue Sélectionner des objets, cliquez sur OK.
Si vous sélectionnez Tous les objets correspondant aux types…, dans la boîte de dialogue Sélectionner les types d’objets, sélectionnez l’ensemble ou certains des types d’objets suivants : Points de terminaison, Connexions, Serveurs, Groupes de disponibilité et Rôles de serveur. Sélectionnez OK.
Name
Nom de chaque principal ou élément sécurisable ajouté à la grille.
Type
Décrit le type de chaque élément.
Onglet Autorisations explicites
Énumère les autorisations possibles pour les éléments sécurisables sélectionnés dans la grille supérieure. Toutes les options ne sont pas disponibles pour toutes les autorisations explicites.
Autorisations
Nom de l'autorisation.
Fournisseur d’autorisations
Principal ayant accordé l'autorisation.
Octroi
Sélectionnez cette option pour octroyer cette autorisation à la connexion. Désactivez-la pour révoquer cette autorisation.
Avec autorisation
Reflète l'état de l'option WITH GRANT pour l'autorisation indiquée dans la liste. Cette zone est en lecture seule. Pour appliquer cette autorisation, utilisez l'instruction GRANT .
Nier
Sélectionnez cette option pour refuser cette autorisation à la connexion. Désactivez-la pour révoquer cette autorisation.
Statut
La page Statut répertorie certaines des options d’authentification et d’autorisation qui peuvent être configurées sur le compte de connexion SQL Server sélectionné.
Les options suivantes sont disponibles sur cette page :
Autorisation de se connecter au moteur de base de données
Lorsque vous travaillez avec ce paramètre, vous devez considérer la connexion sélectionnée comme un principal auquel une autorisation sur un élément sécurisable peut être accordée ou refusée.
Sélectionnez Octroyer pour accorder l'autorisation CONNECT SQL à la connexion. Sélectionnez Refuser pour refuser l'autorisation CONNECT SQL à la connexion.
Connexion
Lorsque vous travaillez avec ce paramètre, vous devez considérer la connexion sélectionnée comme un enregistrement d'une table. Les modifications apportées aux valeurs répertoriées ici seront appliquées à l'enregistrement.
Une connexion qui a été désactivée continue d'exister en tant qu'enregistrement. Mais si elle tente de se connecter à SQL Server, elle ne sera pas authentifiée.
Sélectionnez cette option pour activer ou désactiver cette connexion. Cette option utilise l’instruction ALTER LOGIN avec l’option ENABLE ou DISABLE.
Authentification SQL Server
La case à cocher La connexion est verrouillée est disponible uniquement si la connexion sélectionnée se connecte à l’aide de l’authentification SQL Server et qu’elle a été verrouillée. Ce paramètre est en lecture seule. Pour déverrouiller une connexion verrouillée, exécutez ALTER LOGIN avec l’option UNLOCK.
Créer une connexion à l’aide de l’authentification Windows à l’aide de T-SQL
Dans l' Explorateur d'objets, connectez-vous à une instance du Moteur de base de données.
Dans la barre d’outils standard, sélectionnez Nouvelle requête.
Copiez et collez l’exemple suivant dans la fenêtre de requête, puis sélectionnez Exécuter.
-- Create a login for SQL Server by specifying a server name and a Windows domain account name. CREATE LOGIN [<domainName>\<loginName>] FROM WINDOWS; GO
Créer une connexion via l’authentification SQL Server avec T-SQL
Dans l' Explorateur d'objets, connectez-vous à une instance du Moteur de base de données.
Dans la barre d’outils standard, sélectionnez Nouvelle requête.
Copiez et collez l’exemple suivant dans la fenêtre de requête, puis sélectionnez Exécuter.
-- Creates the user "shcooper" for SQL Server using the security credential "RestrictedFaculty" -- The user login starts with the password "Baz1nga," but that password must be changed after the first login. CREATE LOGIN shcooper WITH PASSWORD = 'Baz1nga' MUST_CHANGE, CREDENTIAL = RestrictedFaculty; GO
Pour plus d’informations, consultez CREATE LOGIN.
Suivi : mesures à prendre après avoir créé un compte de connexion
Le compte de connexion peut se connecter à SQL Server après sa création, mais il ne dispose pas nécessairement des autorisations suffisantes pour effectuer des tâches utiles. La liste suivante fournit des liens vers des actions de compte de connexion courantes.
Pour effectuer une jointure entre le compte de connexion et un rôle de base de données, consultez Attacher un rôle.
Pour autoriser une connexion à utiliser une base de données, consultez Créer un utilisateur de base de données.
Pour accorder une autorisation à un compte de connexion, consultez Accorder une autorisation à un principal.
Note
Lorsque vous vous connectez à SQL Server via un groupe Windows ou Active Directory (AD), certaines opérations peuvent créer une connexion implicite pour l’appartenance à votre groupe sans exécuter d’instruction CREATE LOGIN. Cette création de connexion implicite conserve l’intégrité référentielle des métadonnées système dans SQL Server. La connexion implicite n’a pas l’autorisation de connexion explicite à la base de données. Par conséquent, si vous êtes supprimé du groupe, cette connexion ne peut pas se connecter elle-même.
Les connexions implicites sont créées automatiquement lorsque vous effectuez certaines opérations en tant que membre d’un groupe Windows, telles que l’exécution sp_defaultdb ou sp_defaultlanguage.
Un utilisateur membre du groupe peut également créer manuellement sa propre connexion dans la base de données en exécutant une instruction CREATE LOGIN.
Ce comportement est par conception et n’est pas planifié pour changer. Si vous avez besoin d’une surveillance supplémentaire, vous pouvez implémenter des déclencheurs pour détecter les tentatives de création de connexion.