Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Berlaku untuk:
SQL ServerAzure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsAnalytics Platform System (PDW)
Artikel ini menjelaskan cara membuat login di SQL Server atau Azure SQL Database dengan menggunakan SQL Server Management Studio (SSMS) atau Transact-SQL. Login adalah identitas orang atau proses yang terhubung ke instans SQL Server.
Catatan
ID Microsoft Entra sebelumnya dikenal sebagai Azure Active Directory (Azure AD).
Latar belakang
Login adalah prinsip keamanan, atau entitas yang dapat diautentikasi oleh sistem yang aman. Pengguna memerlukan login untuk menyambungkan ke SQL Server. Anda dapat membuat login berdasarkan prinsipal Windows (seperti pengguna domain atau grup domain Windows) atau Anda dapat membuat login yang tidak didasarkan pada prinsipal Windows (seperti login SQL Server).
Dimulai dengan SQL Server 2012 (11.x), SQL Server dan Azure SQL DB menggunakan hash SHA-512 yang dikombinasikan dengan garam acak dan unik 32-bit. Metode ini membuatnya tidak layak secara statistik bagi penyerang untuk menyimpulkan kata sandi.
SQL Server 2025 (17.x) memperkenalkan algoritma hash iterasi, RFC2898, juga dikenal sebagai fungsi derivasi kunci berbasis kata sandi (PBKDF). Algoritma ini masih menggunakan SHA-512 tetapi hash kata sandi beberapa kali (100.000 iterasi), secara signifikan memperlambat serangan brute-force. Perubahan ini meningkatkan perlindungan kata sandi sebagai respons terhadap ancaman keamanan yang berkembang dan membantu pelanggan mematuhi pedoman NIST SP 800-63b. Peningkatan keamanan ini menggunakan algoritma hashing yang lebih kuat, yang dapat sedikit meningkatkan waktu masuk untuk login Autentikasi SQL. Dampaknya umumnya lebih rendah di lingkungan dengan pooling koneksi, tetapi mungkin lebih terlihat dalam skenario tanpa pooling atau di mana latensi login dipantau dengan cermat.
Catatan
Untuk menggunakan Autentikasi SQL Server, Mesin Database harus menggunakan autentikasi mode campuran. Untuk informasi selengkapnya, lihat Pilih mode autentikasi.
Azure SQL telah memperkenalkan prinsipal server Microsoft Entra (login) yang akan digunakan untuk mengautentikasi ke Azure SQL Database, Azure SQL Managed Instance, dan Azure Synapse Analytics (hanya kumpulan SQL khusus).
SQL Server 2022 juga memperkenalkan autentikasi Microsoft Entra untuk SQL Server.
Sebagai perwakilan keamanan, izin dapat diberikan untuk masuk. Cakupan login adalah seluruh Mesin Database. Untuk menyambungkan ke database tertentu pada instans SQL Server, login harus dipetakan ke pengguna database. Izin di dalam database diberikan dan ditolak untuk pengguna database, bukan login. Izin yang memiliki cakupan seluruh instans SQL Server (misalnya, izin CREATE ENDPOINT ) dapat diberikan ke login.
Catatan
Saat login tersambung ke SQL Server, identitas divalidasi di master database. Gunakan pengguna database mandiri untuk mengautentikasi koneksi SQL Server dan SQL Database di tingkat database. Saat menggunakan pengguna database terkendali, log masuk tidak diperlukan. Database terisolir adalah database yang diisolasi dari database lain dan dari instans SQL Server atau SQL Database (dan master database) yang menampung database tersebut. SQL Server mendukung pengguna database mandiri untuk autentikasi Windows dan SQL Server. Saat menggunakan SQL Database, kombinasikan pengguna database terisolasi dengan aturan firewall tingkat database. Untuk informasi selengkapnya, lihat Membuat database Anda portabel dengan menggunakan database mandiri.
Perizinan
SQL Server memerlukan izin UBAH LOGIN ATAU UBAH LOGIN APA PUN di server, atau peran server tetap ##MS_LoginManager## (SQL Server 2022 dan yang lebih baru).
SQL Database memerlukan keanggotaan dalam peran loginmanager atau peran server tetap, ##MS_LoginManager##.
Membuat login menggunakan SSMS untuk SQL Server
Di Object Explorer, perluas folder instans server tempat Anda ingin membuat login baru.
Klik kanan folder Keamanan, arahkan ke Baru, dan pilih Masuk....
Dalam kotak dialog Masuk - Baru , pada halaman Umum , masukkan nama pengguna di kotak Nama masuk. Secara bergantian, pilih Cari... untuk membuka kotak dialog Pilih Pengguna atau Grup .
Catatan
Port tertentu harus diizinkan berkomunikasi dengan pengendali domain jika Anda mencari perwakilan Windows. Jika Anda mengalami masalah saat mendapatkan hasil untuk pencarian, lihat Gambaran umum layanan dan persyaratan port jaringan untuk Windows.
Jika Anda memilih Cari...:
Di bawah Pilih jenis objek ini, pilih Tipe Objek... untuk membuka kotak dialog Tipe Objek dan pilih salah satu atau semua hal berikut ini: Prinsip keamanan bawaan, Grup, dan Pengguna. Prinsip keamanan bawaan dan Pengguna dipilih secara default. Setelah selesai, pilih OK.
Di bawah Dari lokasi ini, pilih Lokasi... untuk membuka kotak dialog Lokasi dan pilih salah satu lokasi server yang tersedia. Setelah selesai, pilih OK.
Di bawah Masukkan nama objek untuk memilih (contoh), masukkan nama pengguna atau grup yang ingin Anda temukan. Untuk informasi selengkapnya, lihat Kotak Dialog Pilih Pengguna, Komputer, atau Grup.
Pilih Tingkat Lanjut... untuk opsi pencarian tingkat lanjut lainnya. Untuk informasi selengkapnya, lihat Pilih Kotak Dialog Pengguna, Komputer, atau Grup - Halaman Tingkat Lanjut.
Pilih OK.
Untuk membuat login berdasarkan prinsipal Windows, pilih autentikasi Windows. Ini adalah pilihan default.
Untuk membuat login yang disimpan di database SQL Server, pilih Autentikasi SQL Server.
Dalam kotak Kata Sandi , masukkan kata sandi untuk pengguna baru. Masukkan kata sandi itu lagi ke dalam kotak Konfirmasi Kata Sandi .
Saat mengubah kata sandi yang sudah ada, pilih Tentukan kata sandi lama, lalu ketik kata sandi lama di kotak Kata sandi lama.
Untuk menerapkan opsi kebijakan kata sandi untuk kompleksitas dan penerapan, pilih Terapkan kebijakan kata sandi. Untuk informasi selengkapnya, lihat Kebijakan Kata Sandi. Ini adalah opsi default ketika autentikasi SQL Server dipilih.
Untuk menerapkan opsi kebijakan kata sandi untuk kedaluwarsa, pilih Penegakan kedaluwarsa kata sandi. Berlakukan kebijakan kata sandi harus dipilih untuk mengaktifkan kotak centang ini. Ini adalah opsi default ketika autentikasi SQL Server dipilih.
Untuk memaksa pengguna membuat kata sandi baru setelah pertama kali masuk digunakan, pilih Pengguna harus mengubah kata sandi pada login berikutnya. Pengaturan kedaluwarsa kata sandi harus dipilih untuk mengaktifkan kotak centang ini. Ini adalah opsi default ketika autentikasi SQL Server dipilih.
Untuk mengaitkan login dengan sertifikat keamanan yang berdiri sendiri, pilih Dipetakan ke sertifikat lalu pilih nama sertifikat yang ada dari daftar.
Untuk mengaitkan login dengan kunci asimetris yang berdiri sendiri, pilih Dipetakan ke kunci asimetris, lalu pilih nama kunci yang ada dari daftar.
Untuk mengaitkan masuk dengan kredensial keamanan, pilih kotak centang Dipetakan ke Kredensial , lalu pilih kredensial yang sudah ada dari daftar atau pilih Tambahkan untuk membuat kredensial baru. Untuk menghapus pemetaan ke kredensial keamanan dari login, pilih kredensial dari Kredensial yang Dipetakan dan pilih Hapus. Untuk informasi selengkapnya tentang kredensial secara umum, lihat Kredensial (Mesin Database).
Dari daftar Database default, pilih database default untuk masuk.
masteradalah default untuk opsi ini.Dari daftar Bahasa default, pilih bahasa default untuk masuk.
Pilih OK.
Opsi tambahan
Kotak dialog Masuk - Baru juga menawarkan opsi di empat halaman lain: Peran Server, Pemetaan Pengguna, Dapat Diamankan, dan Status.
Peran server
Catatan
Peran server ini tidak tersedia untuk SQL Database. Ada peran tingkat server tetap yang tersedia untuk SQL Database. Untuk informasi selengkapnya, lihat Peran server Azure SQL Database untuk manajemen izin.
Halaman Peran Server mencantumkan semua kemungkinan peran yang dapat ditetapkan ke login baru. Pilihan berikut tersedia:
Kotak centang bulkadmin
Anggota peran tetap server bulkadmin dapat menjalankan perintah BULK INSERT.
kotak centang pembuat basis data
Anggota peran server tetap dbcreator dapat membuat, mengubah, menghilangkan, dan memulihkan database apa pun.
kotak centang diskadmin
Anggota peran server tetap diskadmin dapat mengelola file disk.
kotak centang processadmin
Anggota peran server tetap 'processadmin' dapat mengakhiri proses yang berjalan pada instans Mesin Database.
kotak centang publik
Semua pengguna, grup, dan peran SQL Server termasuk dalam peran server tetap publik secara default.
kotak centang securityadmin
Anggota peran server tetap securityadmin mengelola login dan propertinya. Mereka dapat MEMBERIKAN, MENOLAK, dan MENCABUT izin tingkat server. Mereka juga dapat MEMBERIKAN, MENOLAK, dan MENCABUT izin tingkat database. Selain itu, mereka dapat mengatur ulang kata sandi untuk login SQL Server.
kotak centang administrasi server
Anggota peran server tetap serveradmin dapat mengubah opsi konfigurasi di seluruh server dan mematikan server.
kotak centang setupadmin
Anggota peran server tetap setupadmin dapat menambahkan dan menghapus server tertaut, dan mereka dapat menjalankan beberapa prosedur tersimpan sistem.
kotak centang sysadmin
Anggota peran tetap server sysadmin dapat melakukan aktivitas apa pun di Mesin Database.
Pemetaan pengguna
Halaman Pemetaan Pengguna mencantumkan semua database yang tersedia dan keanggotaan peran database pada setiap database yang dapat diterapkan pada login. Database yang dipilih menentukan keanggotaan peran yang tersedia untuk masuk. Opsi berikut ini tersedia di halaman ini:
Pengguna dipetakan ke login ini
Pilih database yang dapat diakses oleh login ini. Saat Anda memilih database, peran database yang valid ditampilkan di panel Keanggotaan peran database untuk:database_name .
Peta
Izinkan masuk untuk mengakses database yang tercantum di bawah ini.
Basis data
Mencantumkan database yang tersedia di server.
Pengguna
Tentukan pengguna database yang akan dipetakan ke login. Secara default, pengguna database memiliki nama yang sama dengan login.
Skema Default
Menentukan skema default pengguna. Saat pengguna pertama kali dibuat, skema defaultnya adalah dbo. Anda dapat menentukan skema default yang belum ada. Anda tidak dapat menentukan skema default untuk pengguna yang dipetakan ke grup Windows, sertifikat, atau kunci asimetris.
Akun tamu diaktifkan untuk:database_name
Atribut baca-saja yang menunjukkan apakah akun Tamu diaktifkan pada database yang dipilih. Gunakan halaman Status dari kotak dialog Properti Masuk dari akun Tamu untuk mengaktifkan atau menonaktifkan akun Tamu.
Keanggotaan peran database untuk:database_name
Pilih peran untuk pengguna dalam database yang ditentukan. Semua pengguna adalah anggota peran publik di setiap database dan tidak dapat dihapus. Untuk informasi selengkapnya tentang peran database, lihat Peran tingkat database.
Elemen yang dapat diamankan
Halaman Securables mencantumkan semua kemungkinan securables dan izin pada securables yang dapat diberikan kepada pengguna yang melakukan login. Opsi berikut ini tersedia di halaman ini:
Grid Atas
Berisi satu atau beberapa item yang izinnya bisa disetel. Kolom yang ditampilkan di kisi atas bervariasi tergantung pada prinsipal atau objek yang dapat diamankan.
Untuk menambahkan item ke kisi atas:
Pilih Cari.
Dalam kotak dialog Tambahkan Objek , pilih salah satu opsi berikut: Objek tertentu..., Semua objek tipe..., atau Serverserver_name. Pilih OK.
Catatan
Memilih Serverserver_name secara otomatis mengisi tabel atas dengan semua objek yang berhubungan dengan keamanan dari server tersebut.
Jika Anda memilih Objek tertentu...:
Dalam kotak dialog Pilih Objek , di bawah Pilih jenis objek ini, pilih Jenis Objek....
Dalam kotak dialog Pilih Jenis Objek, pilih salah satu atau semua jenis objek berikut: Titik Akhir, Masuk, Server, Grup Ketersediaan, dan peran Server. Pilih OK.
Di bawah Masukkan nama objek untuk memilih (contoh), pilih Telusuri....
Dalam kotak dialog Telusuri Objek , pilih salah satu objek yang tersedia dari tipe yang Anda pilih dalam kotak dialog Pilih Tipe Objek, lalu pilih OK.
Dalam kotak dialog Pilih Objek , pilih OK.
Jika Anda memilih Semua objek tipe... dalam kotak dialog Pilih Jenis Objek, pilih salah satu atau semua jenis objek berikut: Endpoint, Log Masuk, Server, Grup Ketersediaan, dan Peran Server. Pilih OK.
Nama
Nama setiap prinsipal atau objek yang dapat diamankan yang ditambahkan ke dalam tabel.
Jenis
Menjelaskan jenis setiap item.
Tab Eksplisit
Mencantumkan kemungkinan izin untuk objek yang dapat diamankan yang dipilih di jaringan atas. Tidak semua opsi tersedia untuk semua izin eksplisit.
Izin
Nama izin.
Pemberi
Kepala sekolah yang memberikan izin.
Hibah
Pilih untuk memberikan izin ini kepada proses login. Hapus untuk mencabut izin ini.
Dengan Grant
Mencerminkan status opsi WITH GRANT untuk izin yang tercantum. Kotak ini hanya dapat dibaca. Untuk menerapkan izin ini, gunakan pernyataan GRANT .
Tolak
Pilih untuk menolak izin ini ke login. Hapus untuk mencabut izin ini.
Kedudukan
Halaman Status mencantumkan beberapa opsi autentikasi dan otorisasi yang dapat dikonfigurasi pada login SQL Server yang dipilih.
Opsi berikut ini tersedia di halaman ini:
Izin untuk menyambungkan ke mesin database
Ketika Anda bekerja dengan pengaturan ini, Anda harus menganggap login yang dipilih sebagai entitas utama yang dapat diberikan atau ditolak izin pada objek yang dapat diamankan.
Pilih Berikan untuk memberikan izin CONNECT SQL ke login. Pilih Tolak untuk menolak CONNECT SQL ke login.
Masuk
Saat Anda bekerja dengan pengaturan ini, Anda harus menganggap login yang dipilih sebagai rekaman dalam tabel. Perubahan pada nilai yang tercantum di sini akan diterapkan ke rekaman.
Login yang telah dinonaktifkan terus ada sebagai catatan. Tetapi jika mencoba menyambungkan ke SQL Server, login tidak akan diautentikasi.
Pilih opsi ini untuk mengaktifkan atau menonaktifkan login ini. Opsi ini menggunakan ALTER LOGIN pernyataan dengan opsi AKTIFKAN atau NONAKTIFKAN.
Autentikasi SQL Server
Kotak centang Masuk dikunci hanya tersedia jika login yang dipilih tersambung menggunakan autentikasi SQL Server dan login telah dikunci. Pengaturan ini bersifat baca-saja. Untuk membuka kunci login yang dikunci, jalankan ALTER LOGIN dengan opsi UNLOCK.
Membuat login menggunakan autentikasi Windows dengan T-SQL
Di Object Explorer, sambungkan ke instans Mesin Database.
Pada bilah Standar, pilih Kueri Baru.
Salin dan tempel contoh berikut ke dalam jendela kueri dan pilih Jalankan.
-- Create a login for SQL Server by specifying a server name and a Windows domain account name. CREATE LOGIN [<domainName>\<loginName>] FROM WINDOWS; GO
Membuat login menggunakan autentikasi SQL Server dengan T-SQL
Di Object Explorer, sambungkan ke instans Mesin Database.
Pada bilah Standar, pilih Kueri Baru.
Salin dan tempel contoh berikut ke dalam jendela kueri dan pilih Jalankan.
-- Creates the user "shcooper" for SQL Server using the security credential "RestrictedFaculty" -- The user login starts with the password "Baz1nga," but that password must be changed after the first login. CREATE LOGIN shcooper WITH PASSWORD = 'Baz1nga' MUST_CHANGE, CREDENTIAL = RestrictedFaculty; GO
Untuk informasi selengkapnya, lihat MEMBUAT LOGIN.
Tindak lanjut: Langkah-langkah yang harus diambil setelah Anda membuat login
Login dapat tersambung ke SQL Server setelah membuat login, tetapi belum tentu memiliki izin yang memadai untuk melakukan tugas yang berguna. Daftar berikut menyediakan tautan ke aksi masuk yang umum.
Untuk membuat login bergabung dengan peran, lihat Bergabung dengan Peran.
Untuk mengotorisasi login untuk menggunakan database, lihat Membuat pengguna database.
Untuk memberikan izin ke login, lihat Memberikan Izin kepada Prinsipal.
Catatan
Saat Anda tersambung ke SQL Server melalui grup Windows atau Active Directory (AD), operasi tertentu dapat membuat login implisit untuk keanggotaan grup Anda tanpa menjalankan pernyataan CREATE LOGIN. Pembuatan login implisit ini mempertahankan integritas referensial metadata sistem dalam SQL Server. Login implisit tidak memiliki izin sambungkan eksplisit ke database, jadi jika Anda dihapus dari grup, login tersebut tidak dapat tersambung dengan sendirinya.
Login implisit dibuat secara otomatis ketika Anda melakukan operasi tertentu sebagai anggota grup Windows, seperti menjalankan sp_defaultdb atau sp_defaultlanguage.
Pengguna yang merupakan anggota grup juga dapat membuat login mereka sendiri secara manual di database dengan menjalankan pernyataan CREATE LOGIN.
Perilaku ini dirancang dan tidak direncanakan untuk berubah. Jika Anda memerlukan pemantauan tambahan, Anda dapat menerapkan pemicu untuk mendeteksi upaya pembuatan login.