CREATE LOGIN (Transact-SQL)

SQL Server

Sintaks

-- Syntax for SQL Server
CREATE LOGIN login_name { WITH <option_list1> | FROM <sources> }

<option_list1> ::=
    PASSWORD = { 'password' | hashed_password HASHED } [ MUST_CHANGE ]
    [ , <option_list2> [ ,... ] ]

<option_list2> ::=
    SID = sid
    | DEFAULT_DATABASE = database
    | DEFAULT_LANGUAGE = language
    | CHECK_EXPIRATION = { ON | OFF}
    | CHECK_POLICY = { ON | OFF}
    | CREDENTIAL = credential_name

<sources> ::=
    WINDOWS [ WITH <windows_options>[ ,... ] ]
    | EXTERNAL PROVIDER
    | CERTIFICATE certname
    | ASYMMETRIC KEY asym_key_name

<windows_options> ::=
    DEFAULT_DATABASE = database
    | DEFAULT_LANGUAGE = language

Argumen

login_name

Menentukan nama login yang dibuat. Ada lima jenis login: login SQL Server, login Windows, login Microsoft Entra, login yang dipetakan sertifikat, dan login yang dipetakan kunci asimetris.

Saat membuat login yang dipetakan dari akun domain Windows, Anda harus menggunakan nama masuk dalam format [<domainName>\<login_name>]. Anda tidak dapat menggunakan UPN dalam format login_name@DomainName. Misalnya, lihat contoh E nanti di artikel ini. Login autentikasi adalah jenis sysname dan harus sesuai dengan aturan untuk Pengidentifikasi dan tidak boleh berisi garis miring terbelakang (). Log masuk Windows dapat berisi '\'. Login berdasarkan pengguna Direktori Aktif terbatas pada nama kurang dari 21 karakter.

Saat menggunakan klausul FROM EXTERNAL PROVIDER , nama login harus cocok dengan nama tampilan perwakilan Microsoft Entra yang ada di penyewa yang sama dengan instans SQL yang diaktifkan Arc. Pengguna, grup, dan aplikasi Microsoft Entra dapat digunakan untuk membuat login.

PASSWORD ='password'

Hanya berlaku untuk login SQL Server. Menentukan kata sandi untuk login yang sedang dibuat. Gunakan kata sandi yang kuat. Untuk informasi selengkapnya, lihat Kata Sandi Kuat dan Kebijakan Kata Sandi. Dimulai dengan SQL Server 2012 (11.x), informasi kata sandi tersimpan dihitung menggunakan SHA-512 dari kata sandi asin.

Kata sandi peka huruf besar/kecil. Kata sandi harus selalu memiliki panjang setidaknya delapan karakter, dan tidak boleh melebihi 128 karakter. Kata sandi boleh berisi a-z, A-Z, 0-9, dan sebagian besar karakter nonalfanumerik. Kata sandi tidak boleh berisi tanda kutip tunggal, atau login_name.

PASSWORD = hashed_password

Hanya berlaku untuk kata kunci HASHED. Menentukan nilai hash kata sandi untuk login yang sedang dibuat.

HASHED

Hanya berlaku untuk login SQL Server. Menentukan bahwa kata sandi yang dimasukkan setelah argumen PASSWORD sudah di-hash. Jika opsi ini tidak dipilih, string yang dimasukkan sebagai kata sandi di-hash sebelum disimpan dalam database. Opsi ini hanya boleh digunakan untuk memigrasikan database dari satu server ke server lain. Jangan gunakan opsi HASHED untuk membuat login baru. Opsi HASHED tidak dapat digunakan dengan hash yang dibuat oleh SQL 7 atau yang lebih lama.

MUST_CHANGE

Hanya berlaku untuk login SQL Server. Jika opsi ini disertakan, SQL Server meminta kata sandi baru kepada pengguna saat pertama kali masuk baru digunakan.

KREDENSIAL =credential_name

Nama kredensial yang akan dipetakan ke login SQL Server baru. Kredensial harus sudah ada di server. Saat ini opsi ini hanya menautkan kredensial ke login. Kredensial tidak dapat dipetakan ke login Administrator Sistem (sa).

SID = sid

Digunakan untuk membuat ulang login. Hanya berlaku untuk login autentikasi SQL Server, bukan login autentikasi Windows. Menentukan SID dari login autentikasi SQL Server baru. Jika opsi ini tidak digunakan, SQL Server secara otomatis menetapkan SID. Struktur SID tergantung pada versi SQL Server. SID masuk SQL Server: nilai harfiah 16 byte (biner(16)) berdasarkan GUID. Contohnya,SID = 0x14585E90117152449347750164BA00A7.

DEFAULT_DATABASE =database

Menentukan database default yang akan ditetapkan ke login. Jika opsi ini tidak disertakan, database default diatur ke master.

DEFAULT_LANGUAGE =language

Menentukan bahasa default yang akan ditetapkan ke login. Jika opsi ini tidak disertakan, bahasa default diatur ke bahasa default server saat ini. Jika bahasa default server kemudian diubah, bahasa default login tetap tidak berubah.

CHECK_EXPIRATION = { AKTIF | NONAKTIF }

Hanya berlaku untuk login SQL Server. Menentukan apakah kebijakan kedaluwarsa kata sandi harus diberlakukan pada login ini. Nilai defaultnya adalah NONAKTIF.

CHECK_POLICY = { AKTIF | NONAKTIF }

Hanya berlaku untuk login SQL Server. Menentukan bahwa kebijakan kata sandi Windows komputer tempat SQL Server berjalan harus diberlakukan pada login ini. Nilai defaultnya adalah AKTIF.

Jika kebijakan Windows memerlukan kata sandi yang kuat, kata sandi harus berisi setidaknya tiga dari empat karakteristik berikut:

Karakter huruf besar (A-Z).
Karakter huruf kecil (a-z).
Digit (0-9).
Salah satu karakter nonalphanumeric, seperti spasi, _, @, *, ^, %, !, $, #, atau &.

WINDOWS

Menentukan bahwa login dipetakan ke login Windows.

DARI PENYEDIA EKSTERNAL

Menentukan bahwa login dipetakan ke perwakilan Microsoft Entra. Opsi ini tersedia untuk SQL Server 2022 dengan dukungan Arc dan versi yang lebih baru. Untuk informasi selengkapnya, lihat Autentikasi Microsoft Entra untuk SQL Server

Sertifikat certname

Menentukan nama sertifikat yang akan dikaitkan dengan login ini. Sertifikat ini harus sudah terjadi dalam master database.

ASYM_KEY_NAME KUNCI ASIMETRIS

Menentukan nama kunci asimetris yang akan dikaitkan dengan login ini. Kunci ini harus sudah terjadi dalam master database.

Keterangan

Kata sandi peka huruf besar/kecil.
Prehashing kata sandi hanya didukung saat Anda membuat login SQL Server.
Jika MUST_CHANGE ditentukan, CHECK_EXPIRATION dan CHECK_POLICY harus diatur ke ON. Jika tidak, pernyataan akan gagal.
Kombinasi dan CHECK_POLICY = OFFCHECK_EXPIRATION = ON tidak didukung.
Saat CHECK_POLICY diatur ke OFF, lockout_time diatur ulang dan CHECK_EXPIRATION diatur ke OFF.

Penting

CHECK_EXPIRATION dan CHECK_POLICY hanya diberlakukan pada Windows Server 2003 dan versi yang lebih baru. Untuk informasi selengkapnya, lihat Kebijakan Kata Sandi.

Login yang dibuat dari sertifikat atau kunci asimetris hanya digunakan untuk penandatanganan kode. Mereka tidak dapat digunakan untuk menyambungkan ke SQL Server. Anda dapat membuat login dari sertifikat atau kunci asimetris hanya ketika sertifikat atau kunci asimetris sudah ada di master.
Untuk skrip untuk mentransfer login, lihat Cara mentransfer login dan kata sandi antara instans SQL Server 2005 dan SQL Server 2008.
Membuat login secara otomatis memungkinkan masuk baru dan memberikan izin SAMBUNGKAN SQL tingkat server.
Mode autentikasi server harus cocok dengan jenis login untuk mengizinkan akses.
Untuk informasi tentang mendesain sistem izin, lihat Mulai menggunakan Izin Mesin Database.

Izin

Hanya pengguna dengan izin UBAH LOGIN APA PUN di server atau keanggotaan dalam peran server tetap securityadmin yang dapat membuat login. Untuk informasi selengkapnya, lihat Peran Tingkat Server dan MENGUBAH PERAN SERVER.
Jika opsi KREDENSIAL digunakan, juga memerlukan izin UBAH INFO MASUK APA PUN di server.

Izin untuk SQL Server 2022 dan yang lebih baru

Memerlukan izin CREATE LOGIN di server atau keanggotaan dalam peran server tetap ##MS_LoginManager## .

Setelah membuat login, login dapat tersambung ke SQL Server, tetapi hanya memiliki izin yang diberikan ke peran publik . Pertimbangkan untuk melakukan beberapa aktivitas berikut.

Untuk menyambungkan ke database, buat pengguna database untuk masuk. Untuk informasi selengkapnya, lihat MEMBUAT PENGGUNA.
Buat peran server yang ditentukan pengguna dengan menggunakan CREATE SERVER ROLE. Gunakan ALTER SERVER ROLE ... ADD MEMBER untuk menambahkan login baru ke peran server yang ditentukan pengguna. Untuk informasi selengkapnya, lihat MEMBUAT PERAN SERVER dan MENGUBAH PERAN SERVER.
Gunakan sp_addsrvrolemember untuk menambahkan login ke peran server tetap. Untuk informasi selengkapnya, lihat Peran Tingkat Server dan sp_addsrvrolemember.
Gunakan pernyataan GRANT, untuk memberikan izin tingkat server ke login baru atau ke peran yang berisi login. Untuk informasi selengkapnya, lihat GRANT.

Contoh

Contoh berikut membuat login untuk pengguna tertentu dan menetapkan kata sandi.

CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>';
GO

Contoh berikut membuat login untuk pengguna tertentu dan menetapkan kata sandi. Opsi ini MUST_CHANGE mengharuskan pengguna untuk mengubah kata sandi ini saat pertama kali mereka tersambung ke server.

Berlaku untuk: SQL Server 2008 (10.0.x) dan versi yang lebih baru.

CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>'
    MUST_CHANGE, CHECK_EXPIRATION = ON;
GO

Catatan

Opsi MUST_CHANGE tidak dapat digunakan saat CHECK_EXPIRATION NONAKTIF.

Contoh berikut membuat login untuk pengguna tertentu, menggunakan pengguna. Login ini dipetakan ke kredensial.

Berlaku untuk: SQL Server 2008 (10.0.x) dan versi yang lebih baru.

CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>',
    CREDENTIAL = <credentialName>;
GO

Contoh berikut membuat login untuk pengguna tertentu dari sertifikat di master.

Berlaku untuk: SQL Server 2008 (10.0.x) dan versi yang lebih baru.

USE MASTER;
CREATE CERTIFICATE <certificateName>
    WITH SUBJECT = '<login_name> certificate in master database',
    EXPIRY_DATE = '12/05/2025';
GO
CREATE LOGIN <login_name> FROM CERTIFICATE <certificateName>;
GO

Contoh berikut membuat login dari akun domain Windows.

Berlaku untuk: SQL Server 2008 (10.0.x) dan versi yang lebih baru.

CREATE LOGIN [<domainName>\<login_name>] FROM WINDOWS;
GO

Contoh berikut pertama-tama membuat login autentikasi SQL Server dan menentukan SID login.

CREATE LOGIN TestLogin WITH PASSWORD = 'SuperSecret52&&';
SELECT name, sid FROM sys.sql_logins WHERE name = 'TestLogin';
GO

Kueri saya mengembalikan 0x241C11948AEEB749B0D22646DB1A19F2 sebagai SID. Kueri Anda akan mengembalikan nilai yang berbeda. Pernyataan berikut menghapus login, lalu membuat ulang login. Gunakan SID dari kueri Anda sebelumnya.

DROP LOGIN TestLogin;
GO

CREATE LOGIN TestLogin
WITH PASSWORD = 'SuperSecret52&&', SID = 0x241C11948AEEB749B0D22646DB1A19F2;

SELECT * FROM sys.sql_logins WHERE name = 'TestLogin';
GO

Contoh berikut menunjukkan cara meringkas beberapa argumen bersama-sama menggunakan koma di antara setiap argumen.

CREATE LOGIN [MyUser]
WITH PASSWORD = 'MyPassword',
DEFAULT_DATABASE = MyDatabase,
CHECK_POLICY = OFF,
CHECK_EXPIRATION = OFF ;

Contoh berikut menunjukkan cara membuat Login SQL dengan kata sandi yang sama dengan Login yang ada seperti yang dilakukan dalam skenario migrasi. Langkah pertama adalah mengambil hash kata sandi dari Login yang ada di server database sumber. Kemudian hash yang sama akan digunakan untuk membuat Login di server database baru. Dengan melakukan ini, Login baru akan memiliki kata sandi yang sama seperti di server lama.

-- run this to retrieve the password hash for an individual Login:
SELECT LOGINPROPERTY('Andreas','PASSWORDHASH') AS password_hash;
-- as an alternative, the catalog view sys.sql_logins can be used to retrieve the password hashes for multiple accounts at once. (This could be used to create a dynamic sql statemnt from the result set)
SELECT name, password_hash
FROM sys.sql_logins
  WHERE
    principal_id > 1    -- excluding sa
    AND
    name NOT LIKE '##MS_%##' -- excluding special MS system accounts
-- create the new SQL Login on the new database server using the hash of the source server
CREATE LOGIN Andreas
  WITH PASSWORD = 0x02000A1A89CD6C6E4C8B30A282354C8EA0860719D5D3AD05E0CAE1952A1C6107A4ED26BEBA2A13B12FAB5093B3CC2A1055910CC0F4B9686A358604E99BB9933C75B4EA48FDEA HASHED;

Contoh berikut membuat login untuk akun joe@contoso.onmicrosoft.com Microsoft Entra yang ada di penyewa Microsoft Entra bernama contoso.

CREATE LOGIN [joe@contoso.onmicrosoft.com] FROM EXTERNAL PROVIDER

GO

Contoh berikut membuat login untuk akun bob@contoso.com Microsoft Entra federasi yang ada di penyewa yang disebut contoso. Bob pengguna juga dapat menjadi pengguna tamu.

CREATE LOGIN [bob@contoso.com] FROM EXTERNAL PROVIDER
GO

Contoh berikut membuat login untuk grup Microsoft Entra mygroup yang ada di contoso penyewa.

CREATE LOGIN [mygroup] FROM EXTERNAL PROVIDER
GO

Contoh berikut membuat login untuk aplikasi Microsoft Entra myapp yang ada di contoso penyewa.

CREATE LOGIN [myapp] FROM EXTERNAL PROVIDER

* Azure SQL Database *

SQL Database

Untuk informasi selengkapnya tentang konektivitas dan otorisasi ke Azure SQL Database, lihat:

Sintaks

-- Syntax for Azure SQL Database
CREATE LOGIN login_name
  { 
    FROM EXTERNAL PROVIDER [WITH OBJECT_ID = 'objectid'] 
    | WITH <option_list> [,..] 
  }

<option_list> ::=
    PASSWORD = { 'password' }
    [ , SID = sid ]

Argumen

login_name

Catatan

Prinsipal server Microsoft Entra (login) saat ini berada dalam pratinjau publik untuk Azure SQL Database.

Saat digunakan dengan klausul FROM EXTERNAL PROVIDER , login menentukan perwakilan Microsoft Entra, yang merupakan pengguna, grup, atau aplikasi Microsoft Entra. Jika tidak, login mewakili nama login SQL yang dibuat.

Pengguna Microsoft Entra dan perwakilan layanan yang merupakan anggota lebih dari 2048 grup keamanan Microsoft Entra tidak didukung untuk masuk ke database di SQL Database, SQL Managed Instance, atau Azure Synapse.

DARI PENYEDIA EKSTERNAL

Menentukan bahwa login adalah untuk autentikasi Microsoft Entra.

WITH OBJECT_ID = 'objectid'

Menentukan ID Objek Microsoft Entra. OBJECT_ID Jika ditentukan, login_name tidak diperlukan untuk mencocokkan nama tampilan Microsoft Entra. login_name harus berupa nama unik dalam sys.server_principals tampilan dan mematuhi semua batasan lainnya sysname . Untuk informasi selengkapnya tentang menggunakan WITH OBJECT_ID opsi ini, lihat Login Microsoft Entra dan pengguna dengan nama tampilan nonunique.

Catatan

Jika nama tampilan perwakilan layanan bukan duplikat, default CREATE LOGIN atau CREATE USER pernyataan harus digunakan. WITH OBJECT_ID Ekstensi berada dalam pratinjau publik, dan merupakan item perbaikan pemecahan masalah yang diterapkan untuk digunakan dengan perwakilan layanan nonunique. Menggunakannya dengan perwakilan layanan unik tidak disarankan. WITH OBJECT_ID Menggunakan ekstensi untuk perwakilan layanan tanpa menambahkan akhiran akan berjalan dengan sukses, tetapi tidak akan jelas perwakilan layanan mana yang dibuat oleh login atau pengguna. Disarankan untuk membuat alias menggunakan akhiran untuk mengidentifikasi perwakilan layanan secara unik. WITH OBJECT_ID Ekstensi tidak didukung untuk SQL Server.

PASSWORD ='password'

Menentukan kata sandi untuk login SQL yang sedang dibuat. Gunakan kata sandi yang kuat. Untuk informasi selengkapnya, lihat Kata Sandi Kuat dan Kebijakan Kata Sandi. Dimulai dengan SQL Server 2012 (11.x), informasi kata sandi tersimpan dihitung menggunakan SHA-512 dari kata sandi asin.

SID = sid

Digunakan untuk membuat ulang login. Hanya berlaku untuk login autentikasi SQL Server, bukan login autentikasi Windows. Menentukan SID dari login autentikasi SQL Server baru. Jika opsi ini tidak digunakan, SQL Server secara otomatis menetapkan SID. Struktur SID tergantung pada versi SQL Server. Untuk SQL Database, ini adalah literal 32 byte (biner(32)) yang terdiri dari 0x01060000000000640000000000000000 plus 16 byte yang mewakili GUID. Contohnya,SID = 0x0106000000000064000000000000000014585E90117152449347750164BA00A7.

Keterangan

Kata sandi peka huruf besar/kecil.
Membuat login secara otomatis memungkinkan masuk baru dan memberikan izin SAMBUNGKAN SQL tingkat server.

Penting

Lihat Mengelola Login di Azure SQL Database untuk informasi tentang bekerja dengan login dan pengguna di Azure SQL Database.

Login SQL Database

Pernyataan CREATE LOGIN harus menjadi satu-satunya pernyataan dalam batch.

Dalam beberapa metode menyambungkan ke SQL Database, seperti sqlcmd, Anda harus menambahkan nama server SQL Database ke nama login di string koneksi dengan menggunakan <notasi server> masuk<>@. Misalnya, jika login Anda adalah login1 dan nama server SQL Database yang sepenuhnya memenuhi syarat adalah servername.database.windows.net, parameter nama pengguna string koneksi harus login1@servername. Karena panjang total parameter nama pengguna adalah 128 karakter, login_name dibatasi hingga 127 karakter dikurangi panjang nama server. Dalam contoh, login_name panjang hanya boleh 117 karakter karena servername 10 karakter.

Di SQL Database, Anda harus tersambung ke master database dengan izin yang sesuai untuk membuat login. Untuk informasi selengkapnya, lihat Membuat login tambahan dan pengguna yang memiliki izin administratif.

Aturan SQL Server memungkinkan Anda membuat login autentikasi SQL Server dalam format <loginname>@<servername>. Jika server SQL Database Anda adalah myazureserver dan login Anda adalah myemail@contoso.com, maka Anda harus menyediakan login Anda sebagai myemail@contoso.com@myazureserver.

Di SQL Database, data masuk yang diperlukan untuk mengautentikasi koneksi dan aturan firewall tingkat server untuk sementara di-cache di setiap database. Cache ini disegarkan secara berkala. Untuk memaksa refresh cache autentikasi dan memastikan bahwa database memiliki versi terbaru tabel login, jalankan DBCC FLUSHAUTHCACHE.

Izin

Hanya login utama tingkat server (dibuat oleh proses provisi) atau anggota loginmanager peran database dalam database yang master dapat membuat login baru. Untuk informasi selengkapnya, lihat Membuat login tambahan dan pengguna yang memiliki izin administratif.

Contoh

Contoh berikut membuat login untuk pengguna tertentu dan menetapkan kata sandi. Koneksi ke master database, lalu gunakan sampel kode berikut.

CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>';
GO

Contoh berikut pertama-tama membuat login autentikasi SQL Server dan menentukan SID login. Koneksi ke master database, lalu gunakan sampel kode berikut.

CREATE LOGIN TestLogin WITH PASSWORD = 'SuperSecret52&&';

SELECT name, sid FROM sys.sql_logins WHERE name = 'TestLogin';
GO

DROP LOGIN TestLogin;
GO

CREATE LOGIN TestLogin
WITH PASSWORD = 'SuperSecret52&&', SID = 0x241C11948AEEB749B0D22646DB1A19F2;

SELECT * FROM sys.sql_logins WHERE name = 'TestLogin';
GO

Contoh ini membuat login di server logis Azure SQL menggunakan kredensial pengguna bob@contoso.com yang ada di domain Microsoft Entra yang disebut contoso. Koneksi ke master database, lalu gunakan sampel kode berikut.

CREATE LOGIN [bob@contoso.com] FROM EXTERNAL PROVIDER;
GO

Anda dapat membuat alias untuk login_name Anda dengan menentukan ID Objek dari perwakilan atau grup layanan Microsoft Entra. Koneksi ke master database, lalu gunakan sampel kode berikut.

CREATE LOGIN [myapp4466e] FROM EXTERNAL PROVIDER 
  WITH OBJECT_ID='4466e2f8-0fea-4c61-a470-xxxxxxxxxxxx';

Untuk informasi selengkapnya tentang mendapatkan ID Objek dari perwakilan layanan, lihat objek perwakilan layanan di ID Microsoft Entra.

* Azure SQL
Instans Terkelola *

Instans Terkelola Azure SQL

Sintaks

-- Syntax for Azure SQL Managed Instance
CREATE LOGIN login_name [FROM EXTERNAL PROVIDER [WITH OBJECT_ID = 'objectid'] ] { WITH <option_list> [,..]}

<option_list> ::=
    PASSWORD = {'password'}
    | SID = sid
    | DEFAULT_DATABASE = database
    | DEFAULT_LANGUAGE = language

Argumen

login_name

Pengguna Microsoft Entra dan perwakilan layanan yang merupakan anggota lebih dari 2048 grup keamanan Microsoft Entra tidak didukung untuk masuk ke database di Azure SQL Database, Azure SQL Managed Instance, atau Azure Synapse.

DARI PENYEDIA EKSTERNAL

Menentukan bahwa login adalah untuk autentikasi Microsoft Entra.

WITH OBJECT_ID = 'objectid'

Menentukan ID Objek Microsoft Entra. OBJECT_ID Jika ditentukan, login_name dapat menjadi alias yang ditentukan pengguna yang dibentuk dari nama tampilan utama asli dengan akhiran ditambahkan. login_name harus berupa nama unik dalam sys.server_principals tampilan dan mematuhi semua batasan lainnya sysname . Untuk informasi selengkapnya tentang menggunakan WITH OBJECT_ID opsi ini, lihat Login Microsoft Entra dan pengguna dengan nama tampilan nonunique.

Catatan

Jika nama tampilan perwakilan layanan bukan duplikat, default CREATE LOGIN atau CREATE USER pernyataan harus digunakan. WITH OBJECT_ID Ekstensi berada dalam pratinjau publik, dan merupakan item perbaikan pemecahan masalah yang diterapkan untuk digunakan dengan perwakilan layanan nonunique. Menggunakannya dengan perwakilan layanan unik tidak diperlukan. WITH OBJECT_ID Menggunakan ekstensi untuk perwakilan layanan tanpa menambahkan akhiran akan berjalan dengan sukses, tetapi tidak akan jelas perwakilan layanan mana yang dibuat oleh login atau pengguna. Disarankan untuk membuat alias menggunakan akhiran untuk mengidentifikasi perwakilan layanan secara unik. WITH OBJECT_ID Ekstensi tidak didukung untuk SQL Server.

PASSWORD = 'password'

Kata sandi peka huruf besar/kecil. Panjang kata sandi harus selalu minimal 10 karakter, dan tidak boleh melebihi 128 karakter. Kata sandi boleh berisi a-z, A-Z, 0-9, dan sebagian besar karakter nonalfanumerik. Kata sandi tidak boleh berisi tanda kutip tunggal, atau login_name.

SID = sid

Digunakan untuk membuat ulang login. Hanya berlaku untuk login autentikasi SQL Server. Menentukan SID dari login autentikasi SQL Server baru. Jika opsi ini tidak digunakan, SQL Server secara otomatis menetapkan SID. Struktur SID tergantung pada versi SQL Server. Untuk SQL Database, ini adalah literal 32 byte (biner(32)) yang terdiri dari 0x01060000000000640000000000000000 plus 16 byte yang mewakili GUID. Contohnya,SID = 0x0106000000000064000000000000000014585E90117152449347750164BA00A7.

Keterangan

Sintaks membuat FROM EXTERNAL PROVIDER prinsipal tingkat server yang dipetakan ke akun Microsoft Entra
Kapan FROM EXTERNAL PROVIDER ditentukan:
- login_name harus mewakili akun Microsoft Entra yang ada (pengguna, grup, atau aplikasi) yang dapat diakses di ID Microsoft Entra oleh Azure SQL Managed Instance saat ini. Untuk perwakilan Microsoft Entra, sintaksIS CREATE LOGIN memerlukan:
  - UserPrincipalName dari objek Microsoft Entra untuk pengguna Microsoft Entra.
  - DisplayName objek Microsoft Entra untuk grup dan aplikasi Microsoft Entra.
- Opsi KATA SANDI tidak dapat digunakan.
Secara default, ketika klausul dihilangkan FROM EXTERNAL PROVIDER , login SQL reguler dibuat.
Login Microsoft Entra terlihat di , dengan nilai kolom jenis diatur ke dan type_desc diatur ke E EXTERNAL_LOGIN untuk masuk yang dipetakan sys.server_principalske pengguna Microsoft Entra, atau ketik nilai kolom yang diatur ke dan type_desc nilai diatur ke XEXTERNAL_GROUP untuk masuk yang dipetakan ke grup Microsoft Entra.
Untuk skrip untuk mentransfer login, lihat Cara mentransfer login dan kata sandi antara instans SQL Server 2005 dan SQL Server 2008.
Membuat login secara otomatis memungkinkan masuk baru dan memberikan izin SAMBUNGKAN SQL tingkat server.

Penting

Lihat Mengelola Login di Azure SQL Database untuk informasi tentang bekerja dengan login dan pengguna di Azure SQL Database.

Masuk dan Izin

Hanya login utama tingkat server (dibuat oleh proses provisi) atau anggota securityadmin peran atau sysadmin database dalam database yang master dapat membuat login baru. Untuk informasi selengkapnya, lihat Peran Tingkat Server dan MENGUBAH PERAN SERVER.

Secara default, izin standar yang diberikan ke login master Microsoft Entra yang baru dibuat adalah: CONNECT SQL dan VIEW ANY DATABASE.

Login SQL Managed Instance

Harus memiliki izin UBAH LOGIN APA PUN di server atau keanggotaan di salah satu peran securityadmin server tetap atau sysadmin. Hanya akun Microsoft Entra dengan izin UBAH LOGIN APA PUN di server atau keanggotaan dalam salah satu peran tersebut yang dapat menjalankan perintah buat.
Jika login adalah prinsipal SQL, hanya login yang merupakan bagian sysadmin dari peran yang dapat menggunakan perintah buat untuk membuat login untuk akun Microsoft Entra.
Harus menjadi anggota penyewa Microsoft Entra yang sama dengan Azure SQL Managed Instance.

Setelah membuat login, login dapat terhubung ke instans terkelola, tetapi hanya memiliki izin yang diberikan ke peran publik . Pertimbangkan untuk melakukan beberapa aktivitas berikut.

Untuk membuat pengguna dari login Microsoft Entra, lihat MEMBUAT PENGGUNA.
Untuk memberikan izin kepada pengguna dalam database, gunakan ALTER SERVER ROLE ... ADD MEMBER pernyataan untuk menambahkan pengguna ke salah satu peran database bawaan atau peran kustom, atau berikan izin kepada pengguna secara langsung menggunakan pernyataan GRANT . Untuk informasi selengkapnya, lihat Peran Non-administrator, Peran administratif tingkat server tambahan, ALTER SERVER ROLE, dan pernyataan GRANT.
Untuk memberikan izin di seluruh server, buat pengguna database di master database dan gunakan ALTER SERVER ROLE ... ADD MEMBER pernyataan untuk menambahkan pengguna ke salah satu peran server administratif. Untuk informasi selengkapnya, lihat Peran Tingkat Server dan PERAN ALTER SERVER, dan Peran server.
- Gunakan perintah berikut untuk menambahkan peran ke sysadmin login Microsoft Entra: ALTER SERVER ROLE sysadmin ADD MEMBER [MS_Entra_login]
Gunakan pernyataan GRANT, untuk memberikan izin tingkat server ke login baru atau ke peran yang berisi login. Untuk informasi selengkapnya, lihat GRANT.

Batasan

Mengatur login Microsoft Entra yang dipetakan ke grup Microsoft Entra karena pemilik database tidak didukung.
Peniruan masuk Microsoft Entra menggunakan prinsipal Microsoft Entra lainnya didukung, seperti klausul EXECUTE AS .
Hanya prinsipal server (login) yang merupakan bagian sysadmin dari peran yang dapat menjalankan operasi berikut yang menargetkan perwakilan Microsoft Entra:
- EXECUTE AS USER
- EXECUTE AS LOGIN
Pengguna eksternal (tamu) yang diimpor dari direktori Microsoft Entra lain tidak dapat langsung dikonfigurasi sebagai admin Microsoft Entra untuk SQL Managed Instance menggunakan portal Azure. Sebagai gantinya, gabungkan pengguna eksternal ke grup yang dapat ditetapkan peran dan konfigurasikan grup sebagai administrator instans. Anda dapat menggunakan PowerShell atau Azure CLI untuk mengatur pengguna tamu individual sebagai administrator instans.
Login tidak direplikasi ke instans sekunder dalam grup failover. Login disimpan dalam master database, yang merupakan database sistem, dan karenanya tidak direplikasi secara geografis. Untuk mengatasinya, login harus dibuat dengan SID yang sama pada instans sekunder.

-- Code to create login on the secondary instance
CREATE LOGIN foo WITH PASSWORD = '<enterStrongPasswordHere>', SID = <login_sid>;

Contoh

Contoh berikut membuat login untuk pengguna tertentu dan menetapkan kata sandi.

CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>';
GO

Contoh berikut pertama-tama membuat login autentikasi SQL Server dan menentukan SID login.

CREATE LOGIN TestLogin WITH PASSWORD = 'SuperSecret52&&';

SELECT name, sid FROM sys.sql_logins WHERE name = 'TestLogin';
GO

DROP LOGIN TestLogin;
GO

CREATE LOGIN TestLogin
WITH PASSWORD = 'SuperSecret52&&', SID = 0x241C11948AEEB749B0D22646DB1A19F2;

SELECT * FROM sys.sql_logins WHERE name = 'TestLogin';
GO

Contoh berikut membuat login untuk akun joe@contoso.onmicrosoft.com Microsoft Entra yang ada di penyewa bernama contoso.

CREATE LOGIN [joe@contoso.onmicrosoft.com] FROM EXTERNAL PROVIDER

GO

Contoh berikut membuat login untuk akun bob@contoso.com Microsoft Entra federasi yang ada di penyewa yang disebut contoso. Bob pengguna juga dapat menjadi pengguna tamu.

CREATE LOGIN [bob@contoso.com] FROM EXTERNAL PROVIDER
GO

Contoh berikut membuat login untuk grup Microsoft Entra mygroup yang ada di contoso penyewa.

CREATE LOGIN [mygroup] FROM EXTERNAL PROVIDER
GO

Contoh berikut membuat login untuk aplikasi Microsoft Entra myapp yang ada di contoso penyewa.

CREATE LOGIN [myapp] FROM EXTERNAL PROVIDER

G. Periksa login yang baru ditambahkan

Untuk memeriksa login yang baru ditambahkan, jalankan perintah T-SQL berikut:

SELECT *
FROM sys.server_principals;
GO

* Azure Synapse
Analytics*

Azure Synapse Analytics

Sintaks

-- Syntax for Azure Synapse Analytics
CREATE LOGIN login_name
  { 
    FROM EXTERNAL PROVIDER
    | WITH <option_list> [,..] 
  }

<option_list> ::=
    PASSWORD = { 'password' }
    [ , SID = sid ]

Argumen

Catatan

Perwakilan server Microsoft Entra (login) saat ini dalam pratinjau.

Pengguna Microsoft dan perwakilan layanan (aplikasi Microsoft Entra) yang merupakan anggota lebih dari 2048 grup keamanan Microsoft Entra tidak didukung untuk masuk ke database di SQL Database, SQL Managed Instance, atau Azure Synapse.

DARI PENYEDIA EKSTERNAL

Menentukan bahwa login adalah untuk autentikasi Microsoft Entra.

login_name

Menentukan nama login yang dibuat. SQL Analytics di Azure Synapse hanya mendukung login SQL. Untuk membuat akun untuk pengguna Microsoft Entra, gunakan pernyataan CREATE USER .

PASSWORD ='password'

SID = sid

Digunakan untuk membuat ulang login. Hanya berlaku untuk login autentikasi SQL Server, bukan login autentikasi Windows. Menentukan SID dari login autentikasi SQL Server baru. Jika opsi ini tidak digunakan, SQL Server secara otomatis menetapkan SID. Struktur SID tergantung pada versi SQL Server. Untuk SQL Analytics, ini adalah literal 32 byte (biner(32)) yang terdiri dari 0x01060000000000640000000000000000 plus 16 byte yang mewakili GUID. Contohnya,SID = 0x0106000000000064000000000000000014585E90117152449347750164BA00A7.

Keterangan

Kata sandi peka huruf besar/kecil.
Untuk skrip untuk mentransfer login, lihat Cara mentransfer login dan kata sandi antara instans SQL Server 2005 dan SQL Server 2008.
Membuat login secara otomatis memungkinkan masuk baru dan memberikan izin SAMBUNGKAN SQL tingkat server.
Mode autentikasi server harus cocok dengan jenis login untuk mengizinkan akses.
Untuk informasi tentang mendesain sistem izin, lihat Mulai menggunakan Izin Mesin Database.

Masuk

Pernyataan CREATE LOGIN harus menjadi satu-satunya pernyataan dalam batch.

Saat menyambungkan ke Azure Synapse menggunakan alat seperti sqlcmd, Anda harus menambahkan nama server SQL Analytics ke nama login di string koneksi dengan menggunakan <notasi server> masuk<>@. Misalnya, jika login Anda adalah login1 dan nama server SQL Analytics yang sepenuhnya memenuhi syarat adalah servername.database.windows.net, parameter nama pengguna string koneksi harus login1@servername. Karena panjang total parameter nama pengguna adalah 128 karakter, login_name dibatasi hingga 127 karakter dikurangi panjang nama server. Dalam contoh, login_name panjang hanya boleh 117 karakter karena servername 10 karakter.

Untuk membuat login, Anda harus tersambung ke master database.

Data masuk yang diperlukan untuk mengautentikasi koneksi dan aturan firewall tingkat server untuk sementara di-cache di setiap database. Cache ini disegarkan secara berkala. Untuk memaksa refresh cache autentikasi dan memastikan bahwa database memiliki versi terbaru tabel login, jalankan DBCC FLUSHAUTHCACHE.

Untuk informasi selengkapnya tentang login, lihat Mengelola Database dan Masuk.

Izin

Setelah membuat login, login dapat tersambung ke Azure Synapse tetapi hanya memiliki izin yang diberikan ke peran publik . Pertimbangkan untuk melakukan beberapa aktivitas berikut.

Untuk menyambungkan ke database, buat pengguna database untuk masuk. Untuk informasi selengkapnya, lihat MEMBUAT PENGGUNA.
Untuk memberikan izin kepada pengguna dalam database, gunakan ALTER SERVER ROLE ... ADD MEMBER pernyataan untuk menambahkan pengguna ke salah satu peran database bawaan atau peran kustom, atau berikan izin kepada pengguna secara langsung menggunakan pernyataan GRANT . Untuk informasi selengkapnya, lihat Peran Non-administrator, Peran administratif tingkat server tambahan, ALTER SERVER ROLE, dan pernyataan GRANT.
Untuk memberikan izin di seluruh server, buat pengguna database di master database dan gunakan ALTER SERVER ROLE ... ADD MEMBER pernyataan untuk menambahkan pengguna ke salah satu peran server administratif. Untuk informasi selengkapnya, lihat Peran Tingkat Server dan PERAN ALTER SERVER, dan Peran server.
Gunakan pernyataan GRANT, untuk memberikan izin tingkat server ke login baru atau ke peran yang berisi login. Untuk informasi selengkapnya, lihat GRANT.

Contoh

Contoh berikut membuat login untuk pengguna tertentu dan menetapkan kata sandi.

CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>';
GO

Contoh berikut pertama-tama membuat login autentikasi SQL Server dan menentukan SID login.

CREATE LOGIN TestLogin WITH PASSWORD = 'SuperSecret52&&';

SELECT name, sid FROM sys.sql_logins WHERE name = 'TestLogin';
GO

DROP LOGIN TestLogin;
GO

CREATE LOGIN TestLogin
WITH PASSWORD = 'SuperSecret52&&', SID = 0x241C11948AEEB749B0D22646DB1A19F2;

SELECT * FROM sys.sql_logins WHERE name = 'TestLogin';
GO