Choisir un mode d’authentification
S’applique à :
SQL Server
Pendant l’installation, vous devez sélectionner un mode d’authentification pour le Moteur de base de données. Deux modes sont possibles : le mode d’authentification Windows et le mode mixte. Le mode d’authentification Windows active l’authentification Windows et désactive l’authentification SQL Server. Le mode mixte active l’authentification Windows et l’authentification SQL Server. L’authentification Windows est toujours disponible et ne peut pas être désactivée.
Configuration du mode d’authentification
Si vous sélectionnez Authentification en mode mixte (mode d’authentification SQL Server et Windows) pendant l’installation, vous devez fournir et confirmer un mot de passe fort pour le compte d’administrateur système SQL Server intégré nommé sa. Le sa compte se connecte à l’aide de l’authentification SQL Server.
Si vous sélectionnez l’authentification Windows lors de l’installation, le programme d’installation crée le sa compte pour l’authentification SQL Server, mais il est désactivé. Si vous passez ultérieurement à l’authentification en mode mixte et que vous souhaitez utiliser le sa compte, vous devez activer le compte. Tout compte Windows ou SQL Server peut être configuré en tant qu’administrateur système. Étant donné que le sa compte est bien connu et souvent ciblé par des utilisateurs malveillants, n’activez pas le sa compte, sauf si votre application l’exige. Ne définissez jamais de mot de passe vide ou faible pour le sa compte. Pour passer du mode d’authentification Windows à l’authentification en mode mixte et utiliser l’authentification SQL Server, consultez Modifier le mode d’authentification du serveur.
Connecter par le biais de l’authentification Windows
Lorsqu’un utilisateur se connecte via un compte d’utilisateur Windows, SQL Server valide le nom et le mot de passe du compte à l’aide du jeton principal Windows dans le système d’exploitation. Autrement dit, l'identité de l'utilisateur est confirmée par Windows. SQL Server ne demande pas le mot de passe et n’effectue pas la validation d’identité. L’authentification Windows est le mode d’authentification par défaut et est beaucoup plus sécurisée que l’authentification SQL Server. L’authentification Windows utilise le protocole de sécurité Kerberos, met en œuvre des stratégies de mot de passe portant sur la validation de la complexité des mots de passe forts et prend en charge le verrouillage des comptes et l’expiration des mots de passe. Une connexion établie à l’aide de l’authentification Windows est parfois appelée une connexion approuvée car SQL Server approuve les informations d’identification fournies par Windows.
À l’aide de l’authentification Windows, les groupes Windows peuvent être créés au niveau du domaine et une connexion peut être créée sur SQL Server pour l’ensemble du groupe. La gestion de l’accès au niveau du domaine peut simplifier l’administration des comptes.
Important
Lorsque c'est possible, utilisez l'authentification Windows.
Connecter par le biais de l’authentification SQL Server
Lorsque vous utilisez l’authentification SQL Server, les connexions sont créées dans SQL Server et ne sont pas basées sur des comptes d’utilisateur Windows. Le nom d’utilisateur et le mot de passe sont créés à l’aide de SQL Server et stockés dans SQL Server. Les utilisateurs qui se connectent à l’aide de l’authentification SQL Server doivent fournir leurs informations d’identification (connexion et mot de passe) chaque fois qu’ils se connectent. Lorsque vous utilisez l’authentification SQL Server, vous devez définir des mots de passe forts pour tous les comptes SQL Server. Pour obtenir des conseils sur les mots de passe forts, consultez Mots de passe forts.
Trois stratégies de mot de passe facultatives sont disponibles pour les connexions SQL Server.
L'utilisateur doit changer de mot de passe à la prochaine connexion
Oblige l'utilisateur à changer de mot de passe la prochaine fois qu'il se connecte. La possibilité de modifier le mot de passe est fournie par SQL Server Management Studio. Les développeurs de logiciels tiers doivent fournir cette fonctionnalité si cette option est utilisée.
Conserver l'expiration du mot de passe
La stratégie d’âge de mot de passe maximale de l’ordinateur est appliquée pour les connexions SQL Server.
Conserver la stratégie de mot de passe
Les stratégies de mot de passe Windows de l’ordinateur sont appliquées pour les connexions SQL Server. Elles prennent notamment en compte la longueur et la complexité des mots de passe. Cette fonctionnalité dépend de l’API
NetValidatePasswordPolicy, disponible uniquement dans Windows Server 2003 et versions ultérieures.
Pour déterminer les stratégies de mot de passe de l'ordinateur local
Dans le menu Démarrer, sélectionnez Exécuter.
Dans la boîte de dialogue Exécuter , tapez secpol.msc, puis sélectionnez OK.
Dans l’application Sécurité locale Paramètres, développez Sécurité Paramètres, développez Stratégies de compte, puis sélectionnez Stratégie de mot de passe.
Les stratégies de mot de passe sont décrites dans le volet de résultats.
Inconvénients de l'authentification SQL Server
Si un utilisateur est un utilisateur de domaine Windows disposant d’une connexion et d’un mot de passe pour Windows, il doit toujours fournir une autre connexion (SQL Server) et un mot de passe pour se connecter. Pour de nombreux utilisateurs, il est difficile de gérer plusieurs noms et plusieurs mots de passe. Avoir à fournir des informations d’identification SQL Server chaque fois que l’utilisateur se connecte à la base de données peut être ennuyeux.
L’authentification SQL Server ne peut pas utiliser le protocole de sécurité Kerberos.
Windows propose des stratégies de mot de passe supplémentaires qui ne sont pas disponibles pour les connexions SQL Server.
Le mot de passe de connexion d’authentification SQL Server chiffré doit être transmis sur le réseau au moment de la connexion. Certaines applications qui se connectent automatiquement conservent le mot de passe au niveau du client. Il s'agit de points d'attaque supplémentaires.
Avantages de l'authentification SQL Server
Permet à SQL Server de prendre en charge les applications et applications plus anciennes fournies par des tiers qui nécessitent l’authentification SQL Server.
Permet à SQL Server de prendre en charge des environnements avec des systèmes d’exploitation mixtes, où tous les utilisateurs ne sont pas authentifiés par un domaine Windows.
Permet aux utilisateurs de se connecter à partir de domaines inconnus ou non approuvés. Par exemple, une application où les clients établis se connectent via des connexions SQL Server assignées pour obtenir l’état de leurs commandes.
Permet à SQL Server de prendre en charge les applications web où les utilisateurs créent leurs propres identités.
Permet aux développeurs de logiciels de distribuer leurs applications à l’aide d’une hiérarchie d’autorisations complexe basée sur des connexions SQL Server connues et prédéfinies.
Remarque
L’utilisation de l’authentification SQL Server ne limite pas les autorisations des administrateurs locaux sur l’ordinateur sur lequel SQL Server est installé.
Voir aussi
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour