BEJELENTKEZÉS LÉTREHOZÁSA (Transact-SQL)

SQL Server

Szintaxis

-- Syntax for SQL Server
CREATE LOGIN login_name { WITH <option_list1> | FROM <sources> }

<option_list1> ::=
    PASSWORD = { 'password' | hashed_password HASHED } [ MUST_CHANGE ]
    [ , <option_list2> [ ,... ] ]

<option_list2> ::=
    SID = sid
    | DEFAULT_DATABASE = database
    | DEFAULT_LANGUAGE = language
    | CHECK_EXPIRATION = { ON | OFF}
    | CHECK_POLICY = { ON | OFF}
    | CREDENTIAL = credential_name

<sources> ::=
    WINDOWS [ WITH <windows_options>[ ,... ] ]
    | EXTERNAL PROVIDER [WITH OBJECT_ID = 'objectid'] 
    | CERTIFICATE certname
    | ASYMMETRIC KEY asym_key_name

<windows_options> ::=
    DEFAULT_DATABASE = database
    | DEFAULT_LANGUAGE = language

Érvek

login_name

Megadja a létrehozott bejelentkezés nevét. Ötféle bejelentkezés létezik: SQL Server-bejelentkezések, Windows-bejelentkezések, Microsoft Entra-bejelentkezések, tanúsítványleképezett bejelentkezések és aszimmetrikus kulcsleképezett bejelentkezések.

Windows-tartományfiókból leképezett bejelentkezések létrehozásakor a bejelentkezési nevet [<domainName>\<login_name>] formátumban kell használnia. UpN nem használható login_name@DomainName formátumban. Példa: E példa a jelen cikk későbbi részében. A hitelesítési bejelentkezések sysname típusúak, és meg kell felelniük azonosítók szabályainak, és nem tartalmazhatnak fordított perjelet (). A Windows-bejelentkezések tartalmazhatnak egy "\". Az Active Directory-felhasználókon alapuló bejelentkezések legfeljebb 21 karakter hosszúságúak lehetnek.

Az FROM EXTERNAL PROVIDER záradék használatakor a bejelentkezési névnek meg kell egyeznie egy meglévő Microsoft Entra-tag megjelenítendő nevével ugyanabban a bérlőben, amelyben az SQL-példány Arc-kompatibilis. A Microsoft Entra felhasználói, csoportjai és alkalmazásai bejelentkezések létrehozásához használhatók.

PASSWORD ='jelszó'

Csak az SQL Server-bejelentkezésekre vonatkozik. Megadja a létrehozott bejelentkezés jelszavát. Használjon erős jelszót. További információ: Erős jelszavak és Jelszóházirend.

Az SQL Server 2012 -től (11.x) kezdődően az SQL Server és az Azure SQL DB sha-512 kivonatot használt egy 32 bites véletlenszerű és egyedi sóval kombinálva. Ez a módszer statisztikailag kiszámíthatatlanná tette, hogy a támadók jelszavakat következtethessenek.

Az SQL Server 2025 (17.x) iterált kivonatoló algoritmust vezet be, RFC2898, más néven jelszóalapú kulcs származtatási függvényt (PBKDF). Ez az algoritmus továbbra is SHA-512-t használ, de többször is kivonatosítja a jelszót (100 000 iteráció), jelentősen lelassítva a találgatásos támadásokat. Ez a módosítás javítja a jelszóvédelmet a változó biztonsági fenyegetésekre válaszul, és segít az ügyfeleknek megfelelni az NIST SP 800-63b irányelveinek. Ez a biztonsági fejlesztés erősebb kivonatolási algoritmust használ, amely kis mértékben növelheti az SQL Authentication-bejelentkezések bejelentkezési idejét. A hatás általában alacsonyabb a kapcsolatkészletezéssel rendelkező környezetekben, de a készletezés nélküli helyzetekben vagy a bejelentkezési késést szorosan figyelik.

A jelszavak megkülönböztetik a kis- és nagybetűket. A jelszavaknak mindig legalább nyolc karakter hosszúnak kell lenniük, és nem haladhatja meg a 128 karaktert. A jelszavak tartalmazhatnak a-z, A-Z, 0-9 és legtöbb nonalphanumerikus karaktert. A jelszavak nem tartalmazhatnak egyetlen idézőjelet vagy login_name.

JELSZÓ = hashed_password

Csak a KIVONATOLT kulcsszóra vonatkozik. Megadja a létrehozott bejelentkezéshez tartozó jelszó kivonatolt értékét.

KIVONAT

Csak az SQL Server-bejelentkezésekre vonatkozik. Azt adja meg, hogy a JELSZÓ argumentum kivonata után megadott jelszó már szerepel-e a kivonatban. Ha ez a beállítás nincs kiválasztva, a jelszóként megadott sztring kivonatolt lesz, mielőtt az adatbázisban tárolva lenne. Ez a beállítás csak az adatbázisok egyik kiszolgálóról a másikra való migrálásához használható. Ne használja a KIVONATOLT lehetőséget új bejelentkezések létrehozásához. A KIVONATOLT beállítás nem használható az SQL 7 vagy korábbi által létrehozott kivonatokkal.

MUST_CHANGE

Csak az SQL Server-bejelentkezésekre vonatkozik. Ha ez a lehetőség is szerepel, az SQL Server új jelszót kér a felhasználótól az új bejelentkezés első használatakor.

HITELESÍTŐ ADATOK =credential_name

Az új SQL Server-bejelentkezéshez leképezendő hitelesítő adatok neve. A hitelesítő adatoknak már létezniük kell a kiszolgálón. Ez a beállítás jelenleg csak egy bejelentkezéshez kapcsolja a hitelesítő adatokat. A hitelesítő adatok nem rendelhetők le a rendszergazdai (sa) bejelentkezéshez.

SID = sid

A bejelentkezés újbóli létrehozásához használatos. Csak az SQL Server-hitelesítési bejelentkezésekre vonatkozik, a Windows-hitelesítéses bejelentkezésekre nem. Az új SQL Server-hitelesítési bejelentkezés SID-azonosítóját adja meg. Ha ezt a beállítást nem használja, az SQL Server automatikusan hozzárendel egy SID-et. A SID-struktúra az SQL Server verziójától függ. SQL Server bejelentkezési sid: egy 16 bájtos (bináris(16)) literális érték guid alapján. Például SID = 0x14585E90117152449347750164BA00A7.

DEFAULT_DATABASE =adatbázis-

Megadja a bejelentkezéshez hozzárendelni kívánt alapértelmezett adatbázist. Ha ez a beállítás nem szerepel, az alapértelmezett adatbázis értéke master.

DEFAULT_LANGUAGE =nyelvi

Megadja a bejelentkezéshez hozzárendelni kívánt alapértelmezett nyelvet. Ha ez a beállítás nem szerepel a beállításban, az alapértelmezett nyelv a kiszolgáló aktuális alapértelmezett nyelvére van állítva. Ha a kiszolgáló alapértelmezett nyelve később módosul, a bejelentkezés alapértelmezett nyelve változatlan marad.

CHECK_EXPIRATION = { ON | KI }

Csak az SQL Server-bejelentkezésekre vonatkozik. Megadja, hogy a jelszó lejárati házirendje kényszerítve legyen-e ezen a bejelentkezésen. Az alapértelmezett érték ki van kapcsolva.

CHECK_POLICY = { ON | KI }

Csak az SQL Server-bejelentkezésekre vonatkozik. Megadja, hogy a bejelentkezéskor kikényszeríteni kell annak a számítógépnek a Windows jelszószabályzatait, amelyen az SQL Server fut. Az alapértelmezett érték be van kapcsolva.

Ha a Windows-szabályzat erős jelszavakat igényel, a jelszavaknak az alábbi négy jellemző közül legalább háromat tartalmazniuk kell:

Nagybetűs karakter (A-Z).
Kisbetűs karakter (a-z).
Egy számjegy (0-9).
Az egyik nonalphanumerikus karakter, például szóköz, _, @, *, ^, %, !, $, #vagy &.

WINDOWS

Megadja, hogy a bejelentkezés windowsos bejelentkezéshez legyen leképezve.

KÜLSŐ SZOLGÁLTATÓTÓL

Megadja, hogy a bejelentkezés egy Microsoft Entra-taghoz van rendelve. Ez a lehetőség az Arc-kompatibilis SQL Server 2022-es és újabb verzióiban érhető el. További információ: Microsoft Entra-hitelesítés SQL Server-

WITH OBJECT_ID = "objectid"

Érvényes: SQL Server 2025 (17.x) és újabb verziókra

A Microsoft Entra objektumazonosítóját adja meg. A WITH OBJECT_ID beállítással kapcsolatos további információkért lásd Microsoft Entra-bejelentkezéseket és a nem névvel rendelkező felhasználókat.

TANÚSÍTVÁNY tanúsítványnév

Megadja a bejelentkezéshez társítandó tanúsítvány nevét. Ennek a tanúsítványnak már meg kell történnie a master adatbázisban.

ASZIMMETRIKUS KULCS ASYM_KEY_NAME

Megadja a bejelentkezéshez társítandó aszimmetrikus kulcs nevét. Ennek a kulcsnak már meg kell történnie az master adatbázisban.

Megjegyzések

A jelszavak megkülönböztetik a kis- és nagybetűket.
A jelszavak előmosása csak SQL Server-bejelentkezések létrehozásakor támogatott.
Ha MUST_CHANGE van megadva, CHECK_EXPIRATION és CHECK_POLICY ONkell beállítani. Ellenkező esetben az utasítás sikertelen lesz.
A CHECK_POLICY = OFF és a CHECK_EXPIRATION = ON kombinációja nem támogatott.
Ha a CHECK_POLICY OFFértékre van állítva , a lockout_time alaphelyzetbe áll, CHECK_EXPIRATION pedig OFF.

Fontos

CHECK_EXPIRATION és CHECK_POLICY csak a Windows Server 2003 és újabb verziókban lesznek kényszerítve. További információ: Jelszóházirend.

A tanúsítványokból vagy aszimmetrikus kulcsokból létrehozott bejelentkezések csak kódaláíráshoz használhatók. Nem használhatók az SQL Serverhez való csatlakozáshoz. Tanúsítványból vagy aszimmetrikus kulcsból csak akkor hozhat létre bejelentkezést, ha a tanúsítvány vagy az aszimmetrikus kulcs már létezik master.
A bejelentkezések átvitelére szolgáló szkripteket az SQL Server 2005 és az SQL Server 2008 példányai közötti.
A bejelentkezés automatikusan lehetővé teszi az új bejelentkezést, és megadja a kiszolgálói szintű CONNECT SQL engedélyt.
A kiszolgáló hitelesítési módjának meg kell egyeznie a bejelentkezés típusával a hozzáférés engedélyezéséhez.
Az engedélyrendszer kialakításáról további információt az Az adatbázismotor engedélyeinek használatának első lépéseicímű témakörben talál.

Engedélyek

Csak azok a felhasználók hozhatnak létre bejelentkezést, , engedéllyel rendelkező felhasználók a kiszolgálón vagy a securityadmin rögzített kiszolgálói szerepkör tagságában. További információ: Server-Level Szerepkörök és ALTER SERVER ROLE.
Ha a CREDENTIAL beállítást használja, A hitelesítő adatok módosítása engedélyre is szükség van a kiszolgálón.

Engedélyek az SQL Server 2022-hez és újabb verziókhoz

CREATE LOGIN engedélyt igényel a kiszolgálón vagy a ##MS_LoginManager## rögzített kiszolgálói szerepkörben.

Bejelentkezés létrehozása után a bejelentkezés csatlakozhat az SQL Serverhez, de csak a nyilvános szerepkörhöz kapott engedélyekkel rendelkezik. Fontolja meg az alábbi tevékenységek némelyikének elvégzését.

Adatbázishoz való csatlakozáshoz hozzon létre egy adatbázis-felhasználót a bejelentkezéshez. További információ: CREATE USER.
Hozzon létre egy felhasználó által definiált kiszolgálói szerepkört CREATE SERVER ROLEhasználatával. A ALTER SERVER ROLE ... ADD MEMBER használatával adja hozzá az új bejelentkezést a felhasználó által definiált kiszolgálói szerepkörhöz. További információ: CREATE SERVER ROLE és ALTER SERVER ROLE.
A sp_addsrvrolemember használatával adja hozzá a bejelentkezést egy rögzített kiszolgálói szerepkörhöz. További információ: Server-Level Szerepkörök és sp_addsrvrolemember.
A GRANT utasítással kiszolgálószintű engedélyeket adhat az új bejelentkezéshez vagy a bejelentkezést tartalmazó szerepkörhöz. További információ: GRANT.

Példák

Az alábbi példa létrehoz egy bejelentkezést egy adott felhasználó számára, és jelszót rendel hozzá.

CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>';
GO

Az alábbi példa létrehoz egy bejelentkezést egy adott felhasználó számára, és jelszót rendel hozzá. A MUST_CHANGE beállításhoz a felhasználóknak módosítaniuk kell ezt a jelszót, amikor először csatlakoznak a kiszolgálóhoz.

A: SQL Server 2008 (10.0.x) és újabb verziókra vonatkozik.

CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>'
    MUST_CHANGE, CHECK_EXPIRATION = ON;
GO

Jegyzet

A MUST_CHANGE beállítás nem használható, ha CHECK_EXPIRATION ki van kapcsolva.

Az alábbi példa egy adott felhasználó bejelentkezését hozza létre a felhasználó használatával. Ez a bejelentkezés a hitelesítő adatokra van leképezve.

A: SQL Server 2008 (10.0.x) és újabb verziókra vonatkozik.

CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>',
    CREDENTIAL = <credentialName>;
GO

Az alábbi példa egy adott felhasználó bejelentkezését hozza létre egy tanúsítványból a master.

A: SQL Server 2008 (10.0.x) és újabb verziókra vonatkozik.

USE MASTER;
CREATE CERTIFICATE <certificateName>
    WITH SUBJECT = '<login_name> certificate in master database',
    EXPIRY_DATE = '12/05/2025';
GO
CREATE LOGIN <login_name> FROM CERTIFICATE <certificateName>;
GO

Az alábbi példa egy Windows-tartományi fiókból hoz létre bejelentkezést.

A: SQL Server 2008 (10.0.x) és újabb verziókra vonatkozik.

CREATE LOGIN [<domainName>\<login_name>] FROM WINDOWS;
GO

Az alábbi példa először létrehoz egy SQL Server-hitelesítési bejelentkezést, és meghatározza a bejelentkezés SID-azonosítóját.

CREATE LOGIN TestLogin WITH PASSWORD = 'SuperSecret52&&';
SELECT name, sid FROM sys.sql_logins WHERE name = 'TestLogin';
GO

A lekérdezés biztonsági azonosítóként 0x241C11948AEEB749B0D22646DB1A19F2 ad vissza. A lekérdezés egy másik értéket ad vissza. Az alábbi utasítások törlik a bejelentkezést, majd újból létrehozza a bejelentkezést. Használja az előző lekérdezés biztonsági azonosítóját.

DROP LOGIN TestLogin;
GO

CREATE LOGIN TestLogin
WITH PASSWORD = 'SuperSecret52&&', SID = 0x241C11948AEEB749B0D22646DB1A19F2;

SELECT * FROM sys.sql_logins WHERE name = 'TestLogin';
GO

Az alábbi példa bemutatja, hogyan sztringelhet több argumentumot vesszővel az egyes argumentumok között. Cserélje le a <password> érvényes jelszóra.

CREATE LOGIN [MyUser]
WITH PASSWORD = '<password>',
DEFAULT_DATABASE = MyDatabase,
CHECK_POLICY = OFF,
CHECK_EXPIRATION = OFF ;

Az alábbi példa bemutatja, hogyan hozhat létre SQL-bejelentkezéseket ugyanazzal a jelszóval, mint a meglévő bejelentkezések a migrálási forgatókönyvben. Az első lépés a jelszókivonat lekérése a forrásadatbázis-kiszolgálón meglévő bejelentkezésekből. Ezután ugyanazzal a kivonatkal hozza létre a bejelentkezést egy új adatbázis-kiszolgálón. Ezzel az új bejelentkezés ugyanazzal a jelszóval fog rendelkezni, mint a régi kiszolgálón.

-- run this to retrieve the password hash for an individual Login:
SELECT LOGINPROPERTY('Andreas','PASSWORDHASH') AS password_hash;
-- as an alternative, the catalog view sys.sql_logins can be used to retrieve the password hashes for multiple accounts at once. (This could be used to create a dynamic sql statement from the result set
SELECT name, password_hash
FROM sys.sql_logins
  WHERE
    principal_id > 1    -- excluding sa
    AND
    name NOT LIKE '##MS_%##' -- excluding special MS system accounts
-- create the new SQL Login on the new database server using the hash of the source server
CREATE LOGIN Andreas
  WITH PASSWORD = 0x02000A1A89CD6C6E4C8B30A282354C8EA0860719D5D3AD05E0CAE1952A1C6107A4ED26BEBA2A13B12FAB5093B3CC2A1055910CC0F4B9686A358604E99BB9933C75B4EA48FDEA HASHED;

Az alábbi példa létrehoz egy bejelentkezést a Microsoft Entra-fiókhoz joe@contoso.onmicrosoft.com, amely contosonevű Microsoft Entra-bérlőben található.

CREATE LOGIN [joe@contoso.onmicrosoft.com] FROM EXTERNAL PROVIDER

GO

Az alábbi példa létrehoz egy bejelentkezést egy összevont Microsoft Entra-fiókhoz bob@contoso.com, amely egy contosonevű bérlőben található. A felhasználói bob vendégfelhasználó is lehet.

CREATE LOGIN [bob@contoso.com] FROM EXTERNAL PROVIDER
GO

Az alábbi példa létrehoz egy bejelentkezést a Microsoft Entra-csoport számára, a contoso.

CREATE LOGIN [mygroup] FROM EXTERNAL PROVIDER
GO

Az alábbi példa létrehoz egy bejelentkezést a Microsoft Entra alkalmazáshoz, acontoso.

CREATE LOGIN [myapp] FROM EXTERNAL PROVIDER

* Azure SQL Database *

SQL adatbázis

További információ az Azure SQL Database-hez való csatlakozásról és engedélyezésről:

Szintaxis

-- Syntax for Azure SQL Database
CREATE LOGIN login_name
  { 
    FROM EXTERNAL PROVIDER [WITH OBJECT_ID = 'objectid'] 
    | WITH <option_list> [,..] 
  }

<option_list> ::=
    PASSWORD = { 'password' }
    [ , SID = sid ]

Érvek

login_name

Jegyzet

Microsoft Entra-kiszolgálónevek (bejelentkezések) jelenleg nyilvános előzetes verzióban érhetők el az Azure SQL Database-hez.

A külső szolgáltatótól származó záradék használatakor a bejelentkezés megadja a Microsoft Entra-tagot, amely egy Microsoft Entra-felhasználó, -csoport vagy -alkalmazás. Ellenkező esetben a bejelentkezés a létrehozott SQL-bejelentkezés nevét jelöli.

A 2048-nál több Microsoft Entra biztonsági csoport tagjaiként működő Microsoft Entra-felhasználók és szolgáltatásnevek nem támogatottak az SQL Database, a felügyelt SQL-példány vagy az Azure Synapse adatbázisába való bejelentkezéshez.

KÜLSŐ SZOLGÁLTATÓTÓL

Megadja, hogy a bejelentkezés a Microsoft Entra-hitelesítéshez szükséges.

WITH OBJECT_ID = "objectid"

A Microsoft Entra objektumazonosítóját adja meg. Ha a OBJECT_ID meg van adva, a login_name nem kell megegyeznie a Microsoft Entra megjelenítendő nevével. A login_name egyedi névnek kell lennie a sys.server_principals nézetben, és be kell tartania az összes többi sysname korlátozást. A WITH OBJECT_ID beállítással kapcsolatos további információkért lásd Microsoft Entra-bejelentkezéseket és a nem névvel rendelkező felhasználókat.

Jegyzet

Ha a szolgáltatásnév megjelenítendő neve nem duplikált, akkor az alapértelmezett CREATE LOGIN vagy CREATE USER utasítást kell használni. A WITH OBJECT_ID bővítmény egy hibaelhárítási javítóelem, amelyet nemunique szolgáltatásnévvel való használatra implementáltak. Nem ajánlott egyedi szolgáltatásnévvel használni. A szolgáltatásnév WITH OBJECT_ID bővítményének utótag hozzáadása nélkül történő használata sikeresen lefut, de nem lesz egyértelmű, hogy melyik szolgáltatásnévhez lett létrehozva a bejelentkezés vagy a felhasználó. Javasoljuk, hogy hozzon létre egy aliast egy utótag használatával a szolgáltatásnév egyedi azonosításához. Az SQL Server nem támogatja a WITH OBJECT_ID bővítményt.

JELSZÓ ='password'

Megadja a létrehozott SQL-bejelentkezés jelszavát. Használjon erős jelszót. További információ: Erős jelszavak és Jelszóházirend. Az SQL Server 2012-től (11.x) kezdődően a tárolt jelszóadatok kiszámítása a sózott jelszó SHA-512-jével történik.

SID = sid

A bejelentkezés újbóli létrehozásához használatos. Csak az SQL Server-hitelesítési bejelentkezésekre vonatkozik, a Windows-hitelesítéses bejelentkezésekre nem. Az új SQL Server-hitelesítési bejelentkezés SID-azonosítóját adja meg. Ha ezt a beállítást nem használja, az SQL Server automatikusan hozzárendel egy SID-et. A SID-struktúra az SQL Server verziójától függ. Az SQL Database esetében ez egy 32 bájtos (bináris(32)) literál, amely 0x01060000000000640000000000000000 és 16 bájtos GUID-t jelent. Például SID = 0x0106000000000064000000000000000014585E90117152449347750164BA00A7.

Megjegyzések

A jelszavak megkülönböztetik a kis- és nagybetűket.
A bejelentkezés automatikusan lehetővé teszi az új bejelentkezést, és megadja a kiszolgálói szintű CONNECT SQL engedélyt.

Fontos

A bejelentkezések és a felhasználók Azure SQL Database-ben való kezelésével kapcsolatos információkért lásd: Bejelentkezések kezelése az Azure SQL Database-ben.

SQL Database-bejelentkezések

A CREATE LOGIN utasításnak kell lennie egy köteg egyetlen utasításának.

Az SQL Database-hez való csatlakozás egyes módszereiben, például sqlcmd, hozzá kell fűznie az SQL Database-kiszolgáló nevét a kapcsolati sztringben szereplő bejelentkezési névhez a <bejelentkezési>@<kiszolgáló> jelölésével. Ha például a bejelentkezés login1, és az SQL Database-kiszolgáló teljes neve servername.database.windows.net, a kapcsolati sztring felhasználónév paraméterének login1@servernamekell lennie. Mivel a felhasználónév paraméter teljes hossza 128 karakter, a login_name legfeljebb 127 karakter hosszúságú lehet, a kiszolgálónév hosszával csökkentve. A példában login_name csak 117 karakter hosszú lehet, mert servername 10 karakter hosszúságú.

Az SQL Database-ben a bejelentkezés létrehozásához megfelelő engedélyekkel kell csatlakoznia a master adatbázishoz. További információ: További bejelentkezések és rendszergazdai engedélyekkel rendelkező felhasználók létrehozása.

Az SQL Server-szabályok lehetővé teszik sql serveres hitelesítési bejelentkezés létrehozását <bejelentkezési név>@<kiszolgálónév>formátumban. Ha az SQL Database-kiszolgáló myazureserver, és a bejelentkezés myemail@contoso.com, akkor a bejelentkezést myemail@contoso.com@myazureserverkell megadnia.

Az SQL Database-ben a kapcsolat és a kiszolgálószintű tűzfalszabályok hitelesítéséhez szükséges bejelentkezési adatok ideiglenesen gyorsítótárazva lesznek az egyes adatbázisokban. A gyorsítótár rendszeres időközönként frissül. A hitelesítési gyorsítótár frissítésének kényszerítéséhez és annak biztosításához, hogy az adatbázis a bejelentkezési tábla legújabb verziójával rendelkezik, hajtsa végre DBCC FLUSHAUTHCACHE.

Engedélyek

Csak a kiszolgálószintű egyszerű bejelentkezés (a kiépítési folyamat által létrehozott) vagy a loginmanager adatbázis-szerepkör tagjai hozhatnak létre új bejelentkezéseket az master adatbázisban. További információ: További bejelentkezések és rendszergazdai engedélyekkel rendelkező felhasználók létrehozása.

Példák

Az alábbi példa létrehoz egy bejelentkezést egy adott felhasználó számára, és jelszót rendel hozzá. Csatlakozzon az master adatbázisokhoz, majd használja az alábbi kódmintát.

CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>';
GO

Az alábbi példa először létrehoz egy SQL Server-hitelesítési bejelentkezést, és meghatározza a bejelentkezés SID-azonosítóját. Csatlakozzon az master adatbázisokhoz, majd használja az alábbi kódmintát.

CREATE LOGIN TestLogin WITH PASSWORD = 'SuperSecret52&&';

SELECT name, sid FROM sys.sql_logins WHERE name = 'TestLogin';
GO

DROP LOGIN TestLogin;
GO

CREATE LOGIN TestLogin
WITH PASSWORD = 'SuperSecret52&&', SID = 0x241C11948AEEB749B0D22646DB1A19F2;

SELECT * FROM sys.sql_logins WHERE name = 'TestLogin';
GO

Ez a példa egy olyan felhasználói bob@contoso.com hitelesítő adataival hoz létre bejelentkezést az Azure SQL logikai kiszolgálón, amely az contosonevű Microsoft Entra tartományban található. Csatlakozzon az master adatbázisokhoz, majd használja az alábbi kódmintát.

CREATE LOGIN [bob@contoso.com] FROM EXTERNAL PROVIDER;
GO

A login_name aliasát a Microsoft Entra szolgáltatásnév vagy -csoport objektumazonosítójának megadásával hozhatja létre. Csatlakozzon az master adatbázisokhoz, majd használja az alábbi kódmintát.

CREATE LOGIN [myapp4466e] FROM EXTERNAL PROVIDER 
  WITH OBJECT_ID='aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb';

A szolgáltatásnév objektumazonosítójának beszerzéséről további információt szolgáltatásnév-objektumok Microsoft Entra-azonosítócímű cikkben talál.

* Azure SQL
Felügyelt példány *

Azure SQL Managed Instance

Szintaxis

-- Syntax for Azure SQL Managed Instance
CREATE LOGIN login_name [FROM EXTERNAL PROVIDER [WITH OBJECT_ID = 'objectid'] ] { WITH <option_list> [,..]}

<option_list> ::=
    PASSWORD = {'password'}
    | SID = sid
    | DEFAULT_DATABASE = database
    | DEFAULT_LANGUAGE = language

Érvek

login_name

A 2048-nál több Microsoft Entra biztonsági csoport tagjait és szolgáltatásneveit nem támogatja az Azure SQL Database, az Azure SQL Managed Instance vagy az Azure Synapse adatbázisaiba való bejelentkezés.

KÜLSŐ SZOLGÁLTATÓTÓL származó

Megadja, hogy a bejelentkezés a Microsoft Entra-hitelesítéshez szükséges.

WITH OBJECT_ID = "objectid"

A Microsoft Entra objektumazonosítóját adja meg. Ha a OBJECT_ID meg van adva, a login_name lehet egy felhasználó által definiált alias, amely az eredeti egyszerű megjelenítendő névből, hozzáfűzve van hozzáfűzve. A login_name egyedi névnek kell lennie a sys.server_principals nézetben, és be kell tartania az összes többi sysname korlátozást. A WITH OBJECT_ID beállítással kapcsolatos további információkért lásd Microsoft Entra-bejelentkezéseket és a nem névvel rendelkező felhasználókat.

Jegyzet

Ha a szolgáltatásnév megjelenítendő neve nem duplikált, akkor az alapértelmezett CREATE LOGIN vagy CREATE USER utasítást kell használni. A WITH OBJECT_ID bővítmény nyilvános előzetes verziójúérhető el, és hibaelhárítási javítóelem, amelyet nemunique szolgáltatásnevekhez használnak. Nem szükséges egyedi szolgáltatásnévvel használni. A szolgáltatásnév WITH OBJECT_ID bővítményének utótag hozzáadása nélkül történő használata sikeresen lefut, de nem lesz egyértelmű, hogy melyik szolgáltatásnévhez lett létrehozva a bejelentkezés vagy a felhasználó. Javasoljuk, hogy hozzon létre egy aliast egy utótag használatával a szolgáltatásnév egyedi azonosításához. Az SQL Server nem támogatja a WITH OBJECT_ID bővítményt.

PASSWORD = 'jelszó'

A jelszavak megkülönböztetik a kis- és nagybetűket. A jelszavaknak mindig legalább 10 karakter hosszúnak kell lenniük, és nem haladhatja meg a 128 karaktert. A jelszavak tartalmazhatnak a-z, A-Z, 0-9 és legtöbb nonalphanumerikus karaktert. A jelszavak nem tartalmazhatnak egyetlen idézőjelet vagy login_name.

SID = sid

A bejelentkezés újbóli létrehozásához használatos. Csak az SQL Server hitelesítési bejelentkezésekre vonatkozik. Az új SQL Server-hitelesítési bejelentkezés SID-azonosítóját adja meg. Ha ezt a beállítást nem használja, az SQL Server automatikusan hozzárendel egy SID-et. A SID-struktúra az SQL Server verziójától függ. Az SQL Database esetében ez egy 32 bájtos (bináris(32)) literál, amely 0x01060000000000640000000000000000 és 16 bájtos GUID-t jelent. Például SID = 0x0106000000000064000000000000000014585E90117152449347750164BA00A7.

Megjegyzések

A FROM EXTERNAL PROVIDER szintaxis a Microsoft Entra-fiókokhoz hozzárendelt kiszolgálószintű tagokat hoz létre
Ha FROM EXTERNAL PROVIDER van megadva:
- A login_name egy meglévő Microsoft Entra-fiókot (felhasználót, csoportot vagy alkalmazást) kell képviselnie, amely az aktuális Felügyelt Azure SQL-példány által elérhető Microsoft Entra-azonosítóban érhető el. Microsoft Entra-tagok esetén a CREATE LOGIN szintaxisa a következőt igényli:
  - A Microsoft Entra-objektum UserPrincipalName neve a Microsoft Entra-felhasználók számára.
  - A Microsoft Entra objektum DisplayName tulajdonsága Microsoft Entra-csoportokhoz és alkalmazásokhoz.
- A JELSZÓ beállítás nem használható.
Alapértelmezés szerint a FROM EXTERNAL PROVIDER záradék kihagyásakor létrejön egy rendszeres SQL-bejelentkezés.
A Microsoft Entra-bejelentkezések sys.server_principalsláthatók, a típusoszlop értéke E, a type_desc pedig a Microsoft Entra-felhasználókhoz hozzárendelt bejelentkezések EXTERNAL_LOGIN értékre van állítva, vagy a Microsoft Entra-csoportokhoz hozzárendelt bejelentkezésekhez X és type_desc érték EXTERNAL_GROUP értékre van állítva.
A bejelentkezések átvitelére szolgáló szkripteket az SQL Server 2005 és az SQL Server 2008 példányai közötti.
A bejelentkezés automatikusan lehetővé teszi az új bejelentkezést, és megadja a kiszolgálói szintű CONNECT SQL engedélyt.

Fontos

A bejelentkezések és a felhasználók Azure SQL Database-ben való kezelésével kapcsolatos információkért lásd: Bejelentkezések kezelése az Azure SQL Database-ben.

Bejelentkezések és engedélyek

Csak a kiszolgálószintű egyszerű bejelentkezés (a kiépítési folyamat által létrehozott) vagy a securityadmin vagy sysadmin adatbázis-szerepkör tagjai hozhatnak létre új bejelentkezéseket az master-adatbázisban. További információ: Server-Level Szerepkörök és ALTER SERVER ROLE.

Alapértelmezés szerint az újonnan létrehozott Microsoft Entra-bejelentkezéshez megadott standard engedély master a következő: CONNECT SQL és BÁRMELY ADATBÁZIS megtekintése.

Felügyelt SQL-példány bejelentkezései

A kiszolgálón -jogosultsággal vagy a rögzített kiszolgálói szerepkörök securityadmin vagy sysadmintagságával kell rendelkeznie. A létrehozási parancsot csak olyan Microsoft Entra-fiók hajthatja végre, amely MÓDOSÍT MINDEN BEJELENTKEZÉSI engedéllyel a kiszolgálón, vagy az egyik szerepkör tagsága.
Ha a bejelentkezés EGY SQL-tag, csak a sysadmin szerepkörhöz tartozó bejelentkezések hozhatnak létre bejelentkezéseket Microsoft Entra-fiókhoz a létrehozási paranccsal.
A Felügyelt Azure SQL-példánysal megegyező Microsoft Entra-bérlőnek kell lennie.

Bejelentkezés létrehozása után a bejelentkezés csatlakozhat egy felügyelt példányhoz, de csak a nyilvános szerepkörhöz kapott engedélyekkel rendelkezik. Fontolja meg az alábbi tevékenységek némelyikének elvégzését.

Ha Microsoft Entra-bejelentkezésből szeretne létrehozni egy felhasználót, olvassa el CREATE USERcímű témakört.
Ha engedélyeket szeretne adni egy felhasználónak egy adatbázisban, az ALTER SERVER ROLE ... ADD MEMBER utasítással adja hozzá a felhasználót az egyik beépített adatbázis-szerepkörhöz vagy egyéni szerepkörhöz, vagy adjon engedélyt a felhasználónak közvetlenül a GRANT utasítás használatával. További információ: Nem rendszergazdai szerepkörök, További kiszolgálószintű felügyeleti szerepkörök, ALTER SERVER ROLEés GRANT utasítás.
A kiszolgálószintű engedélyek megadásához hozzon létre egy adatbázis-felhasználót a master adatbázisban, és a ALTER SERVER ROLE ... ADD MEMBER utasítással adja hozzá a felhasználót az egyik felügyeleti kiszolgálói szerepkörhöz. További információ: Server-Level Szerepkörök és ALTER SERVER ROLE, valamint kiszolgálói szerepkörök.
- A következő paranccsal adja hozzá a sysadmin szerepkört egy Microsoft Entra-bejelentkezéshez: ALTER SERVER ROLE sysadmin ADD MEMBER [MS_Entra_login]
A GRANT utasítással kiszolgálószintű engedélyeket adhat az új bejelentkezéshez vagy a bejelentkezést tartalmazó szerepkörhöz. További információ: GRANT.

Korlátozások

A Microsoft Entra-csoportra leképezett Microsoft Entra-bejelentkezés beállítása az adatbázis tulajdonosaként nem támogatott.
A Microsoft Entra-bejelentkezések más Microsoft Entra-tagok használatával történő megszemélyesítése támogatott, például az EXECUTE AS záradék.
Csak a sysadmin szerepkör részét képező kiszolgálónevek (bejelentkezések) hajthatják végre a Következő műveleteket a Microsoft Entra-tagokra:
- VÉGREHAJTÁS FELHASZNÁLÓKÉNT
- VÉGREHAJTÁS BEJELENTKEZÉSKÉNT
Egy másik Microsoft Entra-címtárból importált külső (vendég) felhasználók nem konfigurálhatók közvetlenül Microsoft Entra-rendszergazdaként felügyelt SQL-példányhoz az Azure Portal használatával. Ehelyett csatlakozzon külső felhasználóhoz egy szerepkörhöz hozzárendelhető csoporthoz, és konfigurálja a csoportot példányadminisztrátorként. A PowerShell vagy az Azure CLI használatával egyéni vendégfelhasználók állíthatók be példányadminisztrátorként.
A rendszer nem replikálja a bejelentkezéseket a feladatátvételi csoport másodlagos példányára. A bejelentkezések a master adatbázisba kerülnek, amely egy rendszeradatbázis, és így nem lesznek georeplikáltak. Ennek megoldásához a bejelentkezéseket ugyanazzal a SID-vel kell létrehozni a másodlagos példányon.

-- Code to create login on the secondary instance
CREATE LOGIN foo WITH PASSWORD = '<enterStrongPasswordHere>', SID = <login_sid>;

Példák

Az alábbi példa létrehoz egy bejelentkezést egy adott felhasználó számára, és jelszót rendel hozzá.

CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>';
GO

Az alábbi példa először létrehoz egy SQL Server-hitelesítési bejelentkezést, és meghatározza a bejelentkezés SID-azonosítóját.

CREATE LOGIN TestLogin WITH PASSWORD = 'SuperSecret52&&';

SELECT name, sid FROM sys.sql_logins WHERE name = 'TestLogin';
GO

DROP LOGIN TestLogin;
GO

CREATE LOGIN TestLogin
WITH PASSWORD = 'SuperSecret52&&', SID = 0x241C11948AEEB749B0D22646DB1A19F2;

SELECT * FROM sys.sql_logins WHERE name = 'TestLogin';
GO

Az alábbi példa létrehoz egy bejelentkezést a Microsoft Entra-fiókhoz joe@contoso.onmicrosoft.com, amely a contosonevű bérlőben található.

CREATE LOGIN [joe@contoso.onmicrosoft.com] FROM EXTERNAL PROVIDER

GO

CREATE LOGIN [bob@contoso.com] FROM EXTERNAL PROVIDER
GO

Az alábbi példa létrehoz egy bejelentkezést a Microsoft Entra-csoport számára, a contoso.

CREATE LOGIN [mygroup] FROM EXTERNAL PROVIDER
GO

Az alábbi példa létrehoz egy bejelentkezést a Microsoft Entra alkalmazáshoz, acontoso.

CREATE LOGIN [myapp] FROM EXTERNAL PROVIDER

G. Újonnan hozzáadott bejelentkezések ellenőrzése

Az újonnan hozzáadott bejelentkezés ellenőrzéséhez hajtsa végre a következő T-SQL-parancsot:

SELECT *
FROM sys.server_principals;
GO

* Azure Synapse
Elemzés *

Azure Synapse Analytics

Szintaxis

-- Syntax for Azure Synapse Analytics
CREATE LOGIN login_name
  { 
    FROM EXTERNAL PROVIDER
    | WITH <option_list> [,..] 
  }

<option_list> ::=
    PASSWORD = { 'password' }
    [ , SID = sid ]

Érvek

Jegyzet

Microsoft Entra-kiszolgálónevek (bejelentkezések) jelenleg előzetes verzióban érhetők el.

A 2048-nál több Microsoft Entra biztonsági csoport tagjaiként működő Microsoft-felhasználók és szolgáltatásnevek (Microsoft Entra-alkalmazások) nem támogatottak az SQL Database, a felügyelt SQL-példány vagy az Azure Synapse adatbázisába való bejelentkezéshez.

KÜLSŐ SZOLGÁLTATÓTÓL

Megadja, hogy a bejelentkezés a Microsoft Entra-hitelesítéshez szükséges.

login_name

Megadja a létrehozott bejelentkezés nevét. Az Azure Synapse-ben az SQL Analytics csak az SQL-bejelentkezéseket támogatja. A Microsoft Entra-felhasználók fiókjainak létrehozásához használja a CREATE USER utasítást.

JELSZÓ ='password'

SID = sid

A bejelentkezés újbóli létrehozásához használatos. Csak az SQL Server-hitelesítési bejelentkezésekre vonatkozik, a Windows-hitelesítéses bejelentkezésekre nem. Az új SQL Server-hitelesítési bejelentkezés SID-azonosítóját adja meg. Ha ezt a beállítást nem használja, az SQL Server automatikusan hozzárendel egy SID-et. A SID-struktúra az SQL Server verziójától függ. Az SQL Analytics esetében ez egy 32 bájtos (bináris(32)) literál, amely 0x01060000000000640000000000000000 és 16 bájtos GUID-t jelent. Például SID = 0x0106000000000064000000000000000014585E90117152449347750164BA00A7.

Megjegyzések

A jelszavak megkülönböztetik a kis- és nagybetűket.
A bejelentkezések átvitelére szolgáló szkripteket az SQL Server 2005 és az SQL Server 2008 példányai közötti.
A bejelentkezés automatikusan lehetővé teszi az új bejelentkezést, és megadja a kiszolgálói szintű CONNECT SQL engedélyt.
A kiszolgáló hitelesítési módjának meg kell egyeznie a bejelentkezés típusával a hozzáférés engedélyezéséhez.
Az engedélyrendszer kialakításáról további információt az Az adatbázismotor engedélyeinek használatának első lépéseicímű témakörben talál.

Logika

A CREATE LOGIN utasításnak kell lennie egy köteg egyetlen utasításának.

Amikor az Azure Synapse-hez olyan eszközökkel csatlakozik, mint például sqlcmd, hozzá kell fűznie az SQL Analytics-kiszolgáló nevét a kapcsolati sztring bejelentkezési nevéhez a <bejelentkezési>@<kiszolgáló> jelöléssel. Ha például a bejelentkezés login1, és az SQL Analytics-kiszolgáló teljes neve servername.database.windows.net, a kapcsolati sztring felhasználónév paraméterének login1@servernamekell lennie. Mivel a felhasználónév paraméter teljes hossza 128 karakter, a login_name legfeljebb 127 karakter hosszúságú lehet, a kiszolgálónév hosszával csökkentve. A példában login_name csak 117 karakter hosszú lehet, mert servername 10 karakter hosszúságú.

Bejelentkezés létrehozásához csatlakoznia kell a master adatbázishoz.

A kapcsolat hitelesítéséhez szükséges bejelentkezési adatok és a kiszolgálószintű tűzfalszabályok ideiglenesen gyorsítótárazva lesznek az egyes adatbázisokban. A gyorsítótár rendszeres időközönként frissül. A hitelesítési gyorsítótár frissítésének kényszerítéséhez és annak biztosításához, hogy az adatbázis a bejelentkezési tábla legújabb verziójával rendelkezik, hajtsa végre DBCC FLUSHAUTHCACHE.

További információ a bejelentkezésekről: Adatbázisok és bejelentkezések kezelése.

Engedélyek

Bejelentkezés létrehozása után a bejelentkezés csatlakozhat az Azure Synapse-hez, de csak a nyilvános szerepkörhöz kapott engedélyekkel rendelkezik. Fontolja meg az alábbi tevékenységek némelyikének elvégzését.

Adatbázishoz való csatlakozáshoz hozzon létre egy adatbázis-felhasználót a bejelentkezéshez. További információ: CREATE USER.
Ha engedélyeket szeretne adni egy felhasználónak egy adatbázisban, az ALTER SERVER ROLE ... ADD MEMBER utasítással adja hozzá a felhasználót az egyik beépített adatbázis-szerepkörhöz vagy egyéni szerepkörhöz, vagy adjon engedélyt a felhasználónak közvetlenül a GRANT utasítás használatával. További információ: Nem rendszergazdai szerepkörök, További kiszolgálószintű felügyeleti szerepkörök, ALTER SERVER ROLEés GRANT utasítás.
A kiszolgálószintű engedélyek megadásához hozzon létre egy adatbázis-felhasználót a master adatbázisban, és a ALTER SERVER ROLE ... ADD MEMBER utasítással adja hozzá a felhasználót az egyik felügyeleti kiszolgálói szerepkörhöz. További információ: Server-Level Szerepkörök és ALTER SERVER ROLE, valamint kiszolgálói szerepkörök.
A GRANT utasítással kiszolgálószintű engedélyeket adhat az új bejelentkezéshez vagy a bejelentkezést tartalmazó szerepkörhöz. További információ: GRANT.

Példák

Az alábbi példa létrehoz egy bejelentkezést egy adott felhasználó számára, és jelszót rendel hozzá.

CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>';
GO

Az alábbi példa először létrehoz egy SQL Server-hitelesítési bejelentkezést, és meghatározza a bejelentkezés SID-azonosítóját.

CREATE LOGIN TestLogin WITH PASSWORD = 'SuperSecret52&&';

SELECT name, sid FROM sys.sql_logins WHERE name = 'TestLogin';
GO

DROP LOGIN TestLogin;
GO

CREATE LOGIN TestLogin
WITH PASSWORD = 'SuperSecret52&&', SID = 0x241C11948AEEB749B0D22646DB1A19F2;

SELECT * FROM sys.sql_logins WHERE name = 'TestLogin';
GO