CREATE LOGIN (Transact-SQL)

Membuat login untuk database SQL Server, Azure SQL Database, Azure SQL Managed Instance, Azure Synapse Analytics, atau Analytics Platform System. Pilih salah satu tab berikut untuk sintaks, argumen, keterangan, izin, dan contoh untuk versi tertentu.

CREATE LOGIN berpartisipasi dalam transaksi. Jika CREATE LOGIN dijalankan dalam transaksi dan transaksi digulung balik, pembuatan login akan digulung balik. Jika dijalankan dalam transaksi, login yang dibuat tidak dapat digunakan hingga transaksi dilakukan.

Catatan

ID Microsoft Entra sebelumnya dikenal sebagai Azure Active Directory (Azure AD).

Untuk informasi selengkapnya tentang konvensi sintaks, lihat Konvensi sintaks transact-SQL.

Pilih produk

Di baris berikut, pilih nama produk yang Anda minati, dan hanya informasi produk yang ditampilkan.

* SQL Server *  

Azure SQL Database

Azure SQL
Instans Terkelola

Azure Synapse
Analytics

Platform Analitik
Sistem (PDW)

 

SQL Server

Sintaks

-- Syntax for SQL Server
CREATE LOGIN login_name { WITH <option_list1> | FROM <sources> }

<option_list1> ::=
    PASSWORD = { 'password' | hashed_password HASHED } [ MUST_CHANGE ]
    [ , <option_list2> [ ,... ] ]

<option_list2> ::=
    SID = sid
    | DEFAULT_DATABASE = database
    | DEFAULT_LANGUAGE = language
    | CHECK_EXPIRATION = { ON | OFF}
    | CHECK_POLICY = { ON | OFF}
    | CREDENTIAL = credential_name

<sources> ::=
    WINDOWS [ WITH <windows_options>[ ,... ] ]
    | EXTERNAL PROVIDER
    | CERTIFICATE certname
    | ASYMMETRIC KEY asym_key_name

<windows_options> ::=
    DEFAULT_DATABASE = database
    | DEFAULT_LANGUAGE = language

Argumen

login_name

Menentukan nama login yang dibuat. Ada lima jenis login: login SQL Server, login Windows, login Microsoft Entra, login yang dipetakan sertifikat, dan login yang dipetakan kunci asimetris.

Saat membuat login yang dipetakan dari akun domain Windows, Anda harus menggunakan nama masuk dalam format [<domainName>\<login_name>]. Anda tidak dapat menggunakan UPN dalam format login_name@DomainName. Misalnya, lihat contoh E nanti di artikel ini. Login autentikasi adalah jenis sysname dan harus sesuai dengan aturan untuk Pengidentifikasi dan tidak boleh berisi garis miring terbelakang (). Log masuk Windows dapat berisi '\'. Login berdasarkan pengguna Direktori Aktif terbatas pada nama kurang dari 21 karakter.

Saat menggunakan klausul FROM EXTERNAL PROVIDER , nama login harus cocok dengan nama tampilan perwakilan Microsoft Entra yang ada di penyewa yang sama dengan instans SQL yang diaktifkan Arc. Pengguna, grup, dan aplikasi Microsoft Entra dapat digunakan untuk membuat login.

PASSWORD ='password'

Hanya berlaku untuk login SQL Server. Menentukan kata sandi untuk login yang sedang dibuat. Gunakan kata sandi yang kuat. Untuk informasi selengkapnya, lihat Kata Sandi Kuat dan Kebijakan Kata Sandi. Dimulai dengan SQL Server 2012 (11.x), informasi kata sandi tersimpan dihitung menggunakan SHA-512 dari kata sandi asin.

Kata sandi peka huruf besar/kecil. Kata sandi harus selalu memiliki panjang setidaknya delapan karakter, dan tidak boleh melebihi 128 karakter. Kata sandi boleh berisi a-z, A-Z, 0-9, dan sebagian besar karakter nonalfanumerik. Kata sandi tidak boleh berisi tanda kutip tunggal, atau login_name.

PASSWORD = hashed_password

Hanya berlaku untuk kata kunci HASHED. Menentukan nilai hash kata sandi untuk login yang sedang dibuat.

HASHED

Hanya berlaku untuk login SQL Server. Menentukan bahwa kata sandi yang dimasukkan setelah argumen PASSWORD sudah di-hash. Jika opsi ini tidak dipilih, string yang dimasukkan sebagai kata sandi di-hash sebelum disimpan dalam database. Opsi ini hanya boleh digunakan untuk memigrasikan database dari satu server ke server lain. Jangan gunakan opsi HASHED untuk membuat login baru. Opsi HASHED tidak dapat digunakan dengan hash yang dibuat oleh SQL 7 atau yang lebih lama.

MUST_CHANGE

Hanya berlaku untuk login SQL Server. Jika opsi ini disertakan, SQL Server meminta kata sandi baru kepada pengguna saat pertama kali masuk baru digunakan.

KREDENSIAL =credential_name

Nama kredensial yang akan dipetakan ke login SQL Server baru. Kredensial harus sudah ada di server. Saat ini opsi ini hanya menautkan kredensial ke login. Kredensial tidak dapat dipetakan ke login Administrator Sistem (sa).

SID = sid

Digunakan untuk membuat ulang login. Hanya berlaku untuk login autentikasi SQL Server, bukan login autentikasi Windows. Menentukan SID dari login autentikasi SQL Server baru. Jika opsi ini tidak digunakan, SQL Server secara otomatis menetapkan SID. Struktur SID tergantung pada versi SQL Server. SID masuk SQL Server: nilai harfiah 16 byte (biner(16)) berdasarkan GUID. Contohnya,SID = 0x14585E90117152449347750164BA00A7.

DEFAULT_DATABASE =database

Menentukan database default yang akan ditetapkan ke login. Jika opsi ini tidak disertakan, database default diatur ke master.

DEFAULT_LANGUAGE =language

Menentukan bahasa default yang akan ditetapkan ke login. Jika opsi ini tidak disertakan, bahasa default diatur ke bahasa default server saat ini. Jika bahasa default server kemudian diubah, bahasa default login tetap tidak berubah.

CHECK_EXPIRATION = { AKTIF | NONAKTIF }

Hanya berlaku untuk login SQL Server. Menentukan apakah kebijakan kedaluwarsa kata sandi harus diberlakukan pada login ini. Nilai defaultnya adalah NONAKTIF.

CHECK_POLICY = { AKTIF | NONAKTIF }

Hanya berlaku untuk login SQL Server. Menentukan bahwa kebijakan kata sandi Windows komputer tempat SQL Server berjalan harus diberlakukan pada login ini. Nilai defaultnya adalah AKTIF.

Jika kebijakan Windows memerlukan kata sandi yang kuat, kata sandi harus berisi setidaknya tiga dari empat karakteristik berikut:

• Karakter huruf besar (A-Z).
• Karakter huruf kecil (a-z).
• Digit (0-9).
• Salah satu karakter nonalphanumeric, seperti spasi, _, @, *, ^, %, !, $, #, atau &.

WINDOWS

Menentukan bahwa login dipetakan ke login Windows.

DARI PENYEDIA EKSTERNAL

Menentukan bahwa login dipetakan ke perwakilan Microsoft Entra. Opsi ini tersedia untuk SQL Server 2022 dengan dukungan Arc dan versi yang lebih baru. Untuk informasi selengkapnya, lihat Autentikasi Microsoft Entra untuk SQL Server

Sertifikat certname

Menentukan nama sertifikat yang akan dikaitkan dengan login ini. Sertifikat ini harus sudah terjadi dalam master database.

ASYM_KEY_NAME KUNCI ASIMETRIS

Menentukan nama kunci asimetris yang akan dikaitkan dengan login ini. Kunci ini harus sudah terjadi dalam master database.

Keterangan

• Kata sandi peka huruf besar/kecil.
• Prehashing kata sandi hanya didukung saat Anda membuat login SQL Server.
• Jika MUST_CHANGE ditentukan, CHECK_EXPIRATION dan CHECK_POLICY harus diatur ke ON. Jika tidak, pernyataan akan gagal.
• Kombinasi dan CHECK_POLICY = OFFCHECK_EXPIRATION = ON tidak didukung.
• Saat CHECK_POLICY diatur ke OFF, lockout_time diatur ulang dan CHECK_EXPIRATION diatur ke OFF.

Penting

CHECK_EXPIRATION dan CHECK_POLICY hanya diberlakukan pada Windows Server 2003 dan versi yang lebih baru. Untuk informasi selengkapnya, lihat Kebijakan Kata Sandi.

• Login yang dibuat dari sertifikat atau kunci asimetris hanya digunakan untuk penandatanganan kode. Mereka tidak dapat digunakan untuk menyambungkan ke SQL Server. Anda dapat membuat login dari sertifikat atau kunci asimetris hanya ketika sertifikat atau kunci asimetris sudah ada di master.
• Untuk skrip untuk mentransfer login, lihat Cara mentransfer login dan kata sandi antara instans SQL Server 2005 dan SQL Server 2008.
• Membuat login secara otomatis memungkinkan masuk baru dan memberikan izin SAMBUNGKAN SQL tingkat server.
• Mode autentikasi server harus cocok dengan jenis login untuk mengizinkan akses.
• Untuk informasi tentang mendesain sistem izin, lihat Mulai menggunakan Izin Mesin Database.

Izin

• Hanya pengguna dengan izin UBAH LOGIN APA PUN di server atau keanggotaan dalam peran server tetap securityadmin yang dapat membuat login. Untuk informasi selengkapnya, lihat Peran Tingkat Server dan MENGUBAH PERAN SERVER.
• Jika opsi KREDENSIAL digunakan, juga memerlukan izin UBAH INFO MASUK APA PUN di server.

Izin untuk SQL Server 2022 dan yang lebih baru

Memerlukan izin CREATE LOGIN di server atau keanggotaan dalam peran server tetap ##MS_LoginManager## .

Setelah membuat login

Setelah membuat login, login dapat tersambung ke SQL Server, tetapi hanya memiliki izin yang diberikan ke peran publik . Pertimbangkan untuk melakukan beberapa aktivitas berikut.

• Untuk menyambungkan ke database, buat pengguna database untuk masuk. Untuk informasi selengkapnya, lihat MEMBUAT PENGGUNA.
• Buat peran server yang ditentukan pengguna dengan menggunakan CREATE SERVER ROLE. Gunakan ALTER SERVER ROLE ... ADD MEMBER untuk menambahkan login baru ke peran server yang ditentukan pengguna. Untuk informasi selengkapnya, lihat MEMBUAT PERAN SERVER dan MENGUBAH PERAN SERVER.
• Gunakan sp_addsrvrolemember untuk menambahkan login ke peran server tetap. Untuk informasi selengkapnya, lihat Peran Tingkat Server dan sp_addsrvrolemember.
• Gunakan pernyataan GRANT, untuk memberikan izin tingkat server ke login baru atau ke peran yang berisi login. Untuk informasi selengkapnya, lihat GRANT.

Contoh

J. Membuat login dengan kata sandi

Contoh berikut membuat login untuk pengguna tertentu dan menetapkan kata sandi.

CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>';
GO

B. Membuat login dengan kata sandi yang harus diubah

Contoh berikut membuat login untuk pengguna tertentu dan menetapkan kata sandi. Opsi ini MUST_CHANGE mengharuskan pengguna untuk mengubah kata sandi ini saat pertama kali mereka tersambung ke server.

Berlaku untuk: SQL Server 2008 (10.0.x) dan versi yang lebih baru.

CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>'
    MUST_CHANGE, CHECK_EXPIRATION = ON;
GO

Catatan

Opsi MUST_CHANGE tidak dapat digunakan saat CHECK_EXPIRATION NONAKTIF.

C. Membuat login yang dipetakan ke kredensial

Contoh berikut membuat login untuk pengguna tertentu, menggunakan pengguna. Login ini dipetakan ke kredensial.

Berlaku untuk: SQL Server 2008 (10.0.x) dan versi yang lebih baru.

CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>',
    CREDENTIAL = <credentialName>;
GO

D. Membuat login dari sertifikat

Contoh berikut membuat login untuk pengguna tertentu dari sertifikat di master.

Berlaku untuk: SQL Server 2008 (10.0.x) dan versi yang lebih baru.

USE MASTER;
CREATE CERTIFICATE <certificateName>
    WITH SUBJECT = '<login_name> certificate in master database',
    EXPIRY_DATE = '12/05/2025';
GO
CREATE LOGIN <login_name> FROM CERTIFICATE <certificateName>;
GO

E. Membuat login dari akun domain Windows

Contoh berikut membuat login dari akun domain Windows.

Berlaku untuk: SQL Server 2008 (10.0.x) dan versi yang lebih baru.

CREATE LOGIN [<domainName>\<login_name>] FROM WINDOWS;
GO

F. Membuat login dari SID

Contoh berikut pertama-tama membuat login autentikasi SQL Server dan menentukan SID login.

CREATE LOGIN TestLogin WITH PASSWORD = 'SuperSecret52&&';
SELECT name, sid FROM sys.sql_logins WHERE name = 'TestLogin';
GO

Kueri saya mengembalikan 0x241C11948AEEB749B0D22646DB1A19F2 sebagai SID. Kueri Anda akan mengembalikan nilai yang berbeda. Pernyataan berikut menghapus login, lalu membuat ulang login. Gunakan SID dari kueri Anda sebelumnya.

DROP LOGIN TestLogin;
GO

CREATE LOGIN TestLogin
WITH PASSWORD = 'SuperSecret52&&', SID = 0x241C11948AEEB749B0D22646DB1A19F2;

SELECT * FROM sys.sql_logins WHERE name = 'TestLogin';
GO

G. Membuat login dengan beberapa argumen

Contoh berikut menunjukkan cara meringkas beberapa argumen bersama-sama menggunakan koma di antara setiap argumen.

CREATE LOGIN [MyUser]
WITH PASSWORD = 'MyPassword',
DEFAULT_DATABASE = MyDatabase,
CHECK_POLICY = OFF,
CHECK_EXPIRATION = OFF ;

H. Membuat login SQL dengan kata sandi yang di-hash

Contoh berikut menunjukkan cara membuat Login SQL dengan kata sandi yang sama dengan Login yang ada seperti yang dilakukan dalam skenario migrasi. Langkah pertama adalah mengambil hash kata sandi dari Login yang ada di server database sumber. Kemudian hash yang sama akan digunakan untuk membuat Login di server database baru. Dengan melakukan ini, Login baru akan memiliki kata sandi yang sama seperti di server lama.

-- run this to retrieve the password hash for an individual Login:
SELECT LOGINPROPERTY('Andreas','PASSWORDHASH') AS password_hash;
-- as an alternative, the catalog view sys.sql_logins can be used to retrieve the password hashes for multiple accounts at once. (This could be used to create a dynamic sql statemnt from the result set)
SELECT name, password_hash
FROM sys.sql_logins
  WHERE
    principal_id > 1    -- excluding sa
    AND
    name NOT LIKE '##MS_%##' -- excluding special MS system accounts
-- create the new SQL Login on the new database server using the hash of the source server
CREATE LOGIN Andreas
  WITH PASSWORD = 0x02000A1A89CD6C6E4C8B30A282354C8EA0860719D5D3AD05E0CAE1952A1C6107A4ED26BEBA2A13B12FAB5093B3CC2A1055910CC0F4B9686A358604E99BB9933C75B4EA48FDEA HASHED;

I. Membuat login untuk pengguna Microsoft Entra

Contoh berikut membuat login untuk akun joe@contoso.onmicrosoft.com Microsoft Entra yang ada di penyewa Microsoft Entra bernama contoso.

CREATE LOGIN [joe@contoso.onmicrosoft.com] FROM EXTERNAL PROVIDER

GO

j. Membuat login untuk akun Microsoft Entra federasi

Contoh berikut membuat login untuk akun bob@contoso.com Microsoft Entra federasi yang ada di penyewa yang disebut contoso. Bob pengguna juga dapat menjadi pengguna tamu.

CREATE LOGIN [bob@contoso.com] FROM EXTERNAL PROVIDER
GO

K. Membuat login untuk grup Microsoft Entra

Contoh berikut membuat login untuk grup Microsoft Entra mygroup yang ada di contoso penyewa.

CREATE LOGIN [mygroup] FROM EXTERNAL PROVIDER
GO

L. Membuat login untuk aplikasi Microsoft Entra

Contoh berikut membuat login untuk aplikasi Microsoft Entra myapp yang ada di contoso penyewa.

CREATE LOGIN [myapp] FROM EXTERNAL PROVIDER

Konten terkait

• Mulai menggunakan Izin Mesin Database
• Kepala sekolah
• Kebijakan Kata Sandi
• ALTER LOGIN
• DROP LOGIN
• EVENTDATA
• Membuat Login