Utilisateurs de base de données autonome - Rendre votre base de données portable

S’applique à : SQL Server (toutes les versions prises en charge) Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics

Faites appel à des utilisateurs de base de données autonome pour authentifier les connexions SQL Server et SQL Database au niveau de la base de données. Une base de données autonome est une base de données isolée des autres bases de données et de l’instance de SQL Server/SQL Database (et de la base de données master) qui héberge la base de données. SQL Server prend en charge les utilisateurs de base de données autonome pour Windows et l'authentification SQL Server. Si vous utilisez SQL Database, associez les utilisateurs de base de données autonome à des règles de pare-feu au niveau de la base de données. Cette rubrique examine les avantages liés à l'utilisation du modèle de base de données autonome et les différences qu'il présente par rapport au modèle traditionnel de connexion/utilisateur et aux règles de pare-feu Windows ou au niveau du serveur. Le recours au modèle traditionnel de connexion/utilisateur et aux règles de pare-feu au niveau du serveur peut encore s'avérer nécessaire pour mettre en œuvre une logique métier d'application, des critères de facilité de gestion ou des scénarios spécifiques.

Notes

Microsoft travaille actuellement à faire évoluer le service SQL Database et à améliorer les contrats de niveau de service garantis. À l'avenir, vous devrez peut-être basculer vers le modèle d'utilisateurs de base de données autonome et vers les règles de pare-feu étendues à la base de données pour bénéficier d'un contrat de niveau de service offrant une meilleure disponibilité et d'une fréquence de connexion maximale plus élevée pour une base de données particulière. Microsoft vous invite à prendre en compte ces changements dès aujourd'hui.

Connexion traditionnelle et modèle utilisateur

Dans le modèle traditionnel de connexion, les utilisateurs Windows ou les membres des groupes Windows se connectent à Moteur de base de données en fournissant des informations d'identification utilisateur ou groupe authentifiées par Windows. Ou vous pouvez fournir un nom et un mot de passe et vous connecter par le biais de l’authentification SQL Server . Dans les deux cas, la base de données MASTER doit avoir une connexion qui correspond aux informations d'identification de connexion. Après que Moteur de base de données a confirmé les informations d'identification de l'authentification Windows ou a authentifié les informations d'identification de l'authentification SQL Server , la connexion tente généralement de se connecter à une base de données utilisateur. Pour se connecter à une base de données utilisateur, la connexion doit être mappée (c’est-à-dire associée à) un utilisateur de base de données dans la base de données utilisateur. La chaîne de connexion peut également spécifier la connexion à une base de données spécifique, facultative dans SQL Server , mais obligatoire dans SQL Database.

L'important est que la connexion (de la base de données MASTER) et l'utilisateur (de la base de données utilisateur) doivent exister et être liés entre eux. Cela signifie que la connexion à la base de données utilisateur a une dépendance à l’égard de la connexion de la base de données MASTER, ce qui limite la capacité de la base de données à être déplacée vers un autre serveur d’hébergement SQL Server ou Azure SQL Database . Et si, pour une raison quelconque, une connexion à la base de données MASTER n'est pas disponible (par exemple, un basculement en cours), le temps global de connexion augmente ou la connexion peut expirer. Il peut en résulter une réduction de l'extensibilité de la connexion.

Modèle utilisateur de base de données autonome

Dans le modèle utilisateur de la base de données autonome, la connexion de la base de données MASTER n'est pas présente. Au lieu de cela, le processus d'authentification se produit sur la base de données utilisateur, et l'utilisateur de base de données de la base de données utilisateur n'a pas de connexion associée dans la base de données MASTER. Le modèle utilisateur de base de données autonome prend en charge l’authentification Windows et l’authentification SQL Server, et il peut être utilisé dans SQL Server et SQL Database. Pour vous connecter en tant qu'utilisateur de base de données autonome, la chaîne de connexion doit toujours contenir un paramètre de la base de données utilisateur afin que Moteur de base de données sache quelle base de données est chargée de gérer le processus d'authentification. L'activité de l'utilisateur de base de données autonome étant limitée à l'authentification de base de données, lorsque vous vous connectez en tant qu'utilisateur de base de données autonome, le compte d'utilisateur base de données doit être créé indépendamment dans chaque base de données dont l'utilisateur a besoin. Pour modifier les bases de données, les utilisateurs SQL Database doivent créer une connexion. Les utilisateurs de base de données autonome dans SQL Server peuvent modifier les bases de données si un même utilisateur est présent dans une autre base de données.

Azure : SQL Database et Azure Synapse Analytics prennent en charge les identités Azure Active Directory en tant qu’utilisateurs de base de données autonome. SQL Database prend en charge les utilisateurs de base de données autonome utilisant l’authentification SQL Server, à la différence de Azure Synapse Analytics . Pour plus d’informations, consultez Connexion à SQL Database avec l’authentification Azure Active Directory. Lorsque vous utilisez l’authentification Azure Active Directory, les connexions à partir de SSMS peut être établies à l’aide de l’authentification Active Directory universelle. Les administrateurs peuvent configurer une authentification universelle pour exiger l’authentification multifacteur, qui vérifie l’identité à l’aide d’un appel téléphonique, d’un SMS, d’une carte à puce avec code confidentiel ou d’une notification d’application mobile. Pour plus d’informations, consultez Prise en charge de SSMS pour Azure AD MFA avec SQL Database et Azure Synapse Analytics.

Pour SQL Database et Azure Synapse Analytics, dans la mesure où le nom de la base de données est toujours requis dans la chaîne de connexion, aucune modification n’est requise sur la chaîne de connexion lorsque vous passez du modèle traditionnel au modèle utilisateur de base de données autonome. Pour les connexions SQL Server , le nom de la base de données doit être ajoutée à la chaîne de connexion, s’il n'est pas déjà présent.

Important

Lorsque vous utilisez le modèle traditionnel, les rôles de niveau serveur et les autorisations de niveau serveur peuvent limiter l'accès à toutes les bases de données. Lorsque vous utilisez le modèle de base de données autonome, les propriétaires et les utilisateurs de base de données ayant l'autorisation ALTER ANY USER peuvent accorder l'accès à la base de données. Cela réduit le contrôle d'accès des connexions serveur dotées de privilèges élevés et étend le contrôle d'accès pour inclure les utilisateurs de base de données à privilèges élevés.

Pare-feux

SQL Server

Les règles de pare-feu Windows s'appliquent à toutes les connexions et ont les mêmes effets sur les connexions (connexions de modèle traditionnel) et les utilisateurs de base de données autonome. Pour plus d'informations sur le pare-feu Windows, consultez Configurer un pare-feu Windows pour accéder au moteur de base de données.

SQL Database Pare-feux

SQL Database permet des règles de pare-feu distinctes pour les connexions au niveau serveur (connexions) et pour les connexions au niveau base de données (utilisateurs de base de données autonome). Quand vous vous connectez à une base de données utilisateur, les règles de pare-feu au niveau de la base de données sont contrôlées en premier. S’il n’existe aucune règle autorisant l’accès à la base de données, les règles de pare-feu au niveau du serveur sont vérifiées, ce qui nécessite l’accès à la base de données maître SQL Database serveur. L'association de règles de pare-feu au niveau de la base de données et d'utilisateurs de base de données autonome peut éliminer la nécessité d'accéder à la base de données MASTER du serveur pendant la connexion, d'où un avantage potentiel en matière d'extensibilité de la connexion.

Pour plus d'informations sur les règles de pare-feu SQL Database , consultez les rubriques suivantes :

Différences de syntaxe

Modèle traditionnel Modèle utilisateur de base de données autonome
Si une connexion est établie à la base de données MASTER :

CREATE LOGIN login_name WITH PASSWORD = 'strong_password';

Ensuite, si une connexion est établie à une base de données utilisateur :

CREATE USER 'user_name' FOR LOGIN 'login_name';
Si une connexion est établie à une base de données utilisateur :

CREATE USER user_name WITH PASSWORD = 'strong_password';
Modèle traditionnel Modèle utilisateur de base de données autonome
Pour modifier un mot de passe dans le contexte d'une base de données MASTER :

ALTER LOGIN login_name WITH PASSWORD = 'strong_password';
Pour modifier un mot de passe dans le contexte d'une base de données utilisateur :

ALTER USER user_name WITH PASSWORD = 'strong_password';

Instance gérée

Azure SQL Managed Instance se comporte comme SQL Server localement dans le contexte des bases de données autonomes. Veillez à changer le contexte de votre base de données, de base de données Master en base de données utilisateur, lors de la création de l’utilisateur de base de données autonome. De plus, il ne doit y avoir aucune connexion active à la base de données utilisateur lors de la définition de l’option d’autonomie.

Par exemple :

Avertissement

Avant d’exécuter le script suivant, vérifiez qu’aucune autre connexion n’est active sur votre base de données Managed Instance. Le script peut perturber les autres processus en cours d’exécution sur la base de données.

Use MASTER;
GO 

ALTER DATABASE Test
SET RESTRICTED_USER
WITH ROLLBACK IMMEDIATE;

ALTER DATABASE Test
SET containment=partial;

ALTER DATABASE Test
SET MULTI_USER;

USE Test;  
GO 

CREATE USER Carlo  
WITH PASSWORD='Enterpwdhere*'  

SELECT containment_desc FROM sys.databases
WHERE name='Test'

Notes

  • Dans SQL Server, les utilisateurs de base de données autonome doivent être activés pour l'instance de SQL Server. Pour plus d’informations, consultez contained database authentication (option de configuration de serveur).
  • Les connexions et les utilisateurs de base de données autonome sans chevauchement de noms peuvent coexister dans vos applications.
  • S’il existe une connexion dans la base de données MASTER avec le nom nom1 et que vous créez un utilisateur de base de données autonome nommé nom1, lorsqu'un nom de base de données est fourni dans la chaîne de connexion, le contexte de l'utilisateur de base de données est choisi à la place du contexte de connexion lors de la connexion à la base de données. Autrement dit, les utilisateurs de base de données autonome sont prioritaires sur les connexions portant le même nom.
  • Dans SQL Database, le nom de l'utilisateur de base de données autonome ne peut pas être le même que celui du compte d'administrateur du serveur.
  • Le compte d'administrateur du serveur SQL Database ne peut jamais être un utilisateur de base de données autonome. L'administrateur du serveur dispose d'autorisations suffisantes pour créer et gérer les utilisateurs de base de données autonome. L'administrateur du serveur peut accorder des autorisations aux utilisateurs de base de données autonome sur les bases de données utilisateur.
  • Étant donné que les utilisateurs de base de données autonome sont des principaux au niveau de la base de données, vous devez créer ces utilisateurs dans chaque base de données où vous souhaitez les utiliser. L'identité est limitée à la base de données. En ce sens, elle est indépendante en tous points de l'identité d'un utilisateur possédant un nom et un mot de passe identiques dans une autre base de données située sur le même serveur.
  • Définissez des mots de passe avec un niveau de force semblable à celui des mots de passe utilisés normalement pour les connexions.

Voir aussi

Bases de données autonomes
Meilleures pratiques de sécurité recommandées avec les bases de données autonomes
CRÉER UN UTILISATEUR (Transact-SQL)
Connexion à SQL Database avec l’authentification Azure Active Directory