Eventi
31 mar, 23 - 2 apr, 23
Il più grande evento di apprendimento di SQL, Infrastruttura e Power BI. 31 marzo - 2 aprile. Usare il codice FABINSIDER per salvare $400.
Registrati oggiCrea un accesso
Si applica a:
SQL ServerDatabase SQL di AzureIstanza gestita di SQL di AzureAzure Synapse AnalyticsPiattaforma di strumenti analitici (PDW)
Questo articolo descrive come creare un accesso a SQL Server o al database SQL di Azure usando SQL Server Management Studio (SSMS) o Transact-SQL. L'accesso è l'identità della persona o del processo che si collega a un'istanza di SQL Server.
Nota
Microsoft Entra ID era precedentemente conosciuto come Azure Active Directory (Azure AD).
Un login è un principale di sicurezza o un'entità che può essere autenticata da un sistema sicuro. Per connettersi a SQL Server, gli utenti necessitano di un account di accesso. È possibile creare un login basato su un'entità di sicurezza di Windows (quale un utente del dominio o un gruppo del dominio Windows) oppure è possibile creare un login che non è basato su un'entità di sicurezza di Windows (ad esempio, un accesso di SQL Server).
Nota
Per utilizzare l'autenticazione di SQL Server, il motore di database deve usare l'autenticazione a modalità mista. Per altre informazioni, vedere Scegliere una modalità di autenticazione.
Azure SQL ha introdotto i "principali del server" di Microsoft Entra (logins) per autenticarne l'accesso a Database SQL di Azure, a un'istanza gestita di SQL di Azure e a Azure Synapse Analytics (solo pool SQL dedicati).
SQL Server 2022 introduce anche l'autenticazione Microsoft Entra per SQL Server.
È possibile concedere autorizzazioni agli account di accesso, in quanto principale di sicurezza. L'ambito di un accesso è l'intero motore di database. Affinché un login possa connettersi a un database specifico nell'istanza di SQL Server, deve essere associato a un utente del database. Le autorizzazioni all'interno del database vengono concesse e negate all'utente del database, non all'account di accesso. È possibile concedere a un account di accesso le autorizzazioni il cui ambito è l'intera istanza di SQL Server (ad esempio, l'autorizzazione CREATE ENDPOINT).
Nota
Quando un account di accesso si connette a SQL Server, l'identità viene convalidata nel database master. Usare gli utenti contenuti del database per autenticare le connessioni a SQL Server e a SQL Database a livello di database. Quando si usano gli utenti del database contenuti, non è necessario un login. Un database indipendente è un database isolato dagli altri database e dall'istanza di SQL Server o del database SQL (e dal database master) che ospita il database. SQL Server supporta gli utenti di database contenuti sia per l'autenticazione di Windows che di SQL Server. Quando si utilizza il database SQL, combinare gli utenti del database contenuto con le regole del firewall a livello di database. Per altre informazioni, vedere Utenti di database indipendente: rendere portabile un database.
SQL Server richiede l'autorizzazione ALTER ANY LOGIN o ALTER LOGIN per il server oppure il ruolo predefinito del server ##MS_LoginManager## (SQL Server 2022 e versioni successive).
Database SQL richiede l'adesione al ruolo loginmanager o al ruolo predefinito del server ##MS_LoginManager##.
In Esplora oggetti, espandere la cartella dell'istanza del server in cui si desidera creare il nuovo login.
Fare clic con il pulsante destro del mouse sulla cartella Sicurezza, scegliere Nuovo e selezionare Account di accesso....
Nella pagina Generale della finestra di dialogo Account di accesso - Nuovo immettere il nome di un utente nella casella Nome account di accesso. In alternativa, selezionare Cerca... per aprire la finestra di dialogo Seleziona un utente o un gruppo.
Nota
Se si cerca un'entità di Windows, alcune porte devono essere abilitate alla comunicazione con il controller di dominio. Se si verificano problemi durante la ricerca, consultare Panoramica del servizio e requisiti delle porte di rete per Windows.
Se si seleziona Cerca...:
In Selezionare questo tipo di oggetto, fare clic su Tipi di oggetti... per aprire la finestra di dialogo Tipi di oggetto e selezionare alcune o tutte le opzioni seguenti: Entità di sicurezza predefinite, Gruppi e Utenti. Le opzioniEntità di sicurezza predefinite e Utenti sono selezionate per impostazione predefinita. Al termine selezionare OK.
In Da questa posizione, fare clic su Percorsi... per aprire la finestra di dialogo Percorsi e selezionare uno dei percorsi server disponibili. Al termine selezionare OK.
In Immettere il nome dell'oggetto da selezionare (esempi), immettere il nome dell'utente o del gruppo che si desidera trovare. Per ulteriori informazioni, vedere Finestra di dialogo Seleziona utenti, computer o gruppi.
Selezionare Avanzate... per opzioni di ricerca più avanzate. Per altre informazioni, vedere Finestra di dialogo Seleziona utenti, computer o gruppi - Pagina Avanzate.
Seleziona OK.
Per creare un login basato su un principale di Windows, selezionare Autenticazione di Windows. Si tratta della selezione predefinita.
Per creare un account di accesso salvato in un database di SQL Server, selezionare Autenticazione di SQL Server.
Nella casella Password digitare una password per il nuovo utente. Digitare di nuovo la password nella casella Conferma password .
In caso di modifica di una password esistente, selezionare Specifica vecchia passworde quindi digitare la password precedente nella casella Vecchia password .
Per applicare i criteri della password riguardanti complessità e applicazione, selezionare Applicare criteri password. Per ulteriori informazioni, vedere Password Policy. È un'opzione predefinita quando si seleziona Autenticazione di SQL Server .
Per applicare le opzioni dei criteri password per la scadenza, selezionare Imponi scadenza password. Imporre la politica delle password deve essere selezionato per abilitare questa casella di controllo. È un'opzione predefinita quando si seleziona Autenticazione di SQL Server .
Per forzare l'utente a creare una nuova password dopo la prima volta che l'account di accesso viene utilizzato, selezionare Richiedi modifica della password all'accesso successivo. Per abilitare questa casella di controllo, è necessario selezionareImponi scadenza password . È un'opzione predefinita quando si seleziona Autenticazione di SQL Server .
Per associare il login a un certificato di sicurezza autonomo, selezionare Mappato su certificato e quindi selezionare il nome di un certificato esistente dall'elenco.
Per associare l'accesso a una chiave asimmetrica autonoma, selezionare Mappato a chiave asimmetrica, quindi selezionare il nome di una chiave esistente dall'elenco.
Per associare l'accesso con credenziali di sicurezza, selezionare la casella di controllo Mappato a Credenziale, quindi selezionare credenziali esistenti dall'elenco o selezionare Aggiungi per creare una nuova credenziale. Per rimuovere un mapping a credenziali di sicurezza dall'account di accesso, selezionare le credenziali da Credenziali con mapping e fare clic su Rimuovi. Per ulteriori informazioni sulle credenziali in generale, vedere Credenziali (motore di database).
Selezionare dall'elenco Database predefinito un database predefinito per l'account di accesso.
masterè l'impostazione predefinita per questa opzione.Selezionare dall'elenco Lingua predefinita una lingua predefinita per l'account di accesso.
Seleziona OK.
La finestra di dialogo Accesso - Nuovo offre anche opzioni su altre quattro pagine: Ruoli del server, Mappatura utente, Entità a protezione diretta e Stato.
Nota
Questi ruoli del server non sono disponibili per Database SQL. Sono disponibili ruoli predefiniti a livello di server per Database SQL. Per ulteriori informazioni, vedere Ruoli del server di database SQL di Azure per la gestione delle autorizzazioni.
Nella pagina Ruoli del server sono elencati tutti i possibili ruoli che possono essere assegnati al nuovo account accesso. Sono disponibili le seguenti opzioni:
Casella di controllobulkadmin
I membri del ruolo predefinito del server bulkadmin sono autorizzati a eseguire l'istruzione BULK INSERT.
Casella di controllo dbcreator
I membri del ruolo predefinito del server dbcreator sono autorizzati a creare, modificare, eliminare e ripristinare qualsiasi database.
Casella di controllodiskadmin
I membri del ruolo predefinito del server diskadmin sono autorizzati a gestire file su disco.
Casella di controlloprocessadmin
I membri del ruolo predefinito del server processadmin sono autorizzati a terminare i processi in esecuzione in un'istanza del motore di database.
Casella di controllopublic
Tutti gli utenti, gruppi e ruoli di SQL Server appartengono al ruolo predefinito del server public per impostazione predefinita.
Casella di controllo securityadmin
I membri del ruolo predefinito del server securityadmin gestiscono gli account di accesso e le relative proprietà. Possono concedere, negare e revocare le autorizzazioni a livello di server Possono anche CONCEDERE, NEGARE e REVOCARE autorizzazioni a livello di database. Questi membri sono inoltre autorizzati a ripristinare le password per l'accesso di SQL server.
serveradmin casella di controllo
I membri del ruolo predefinito del server serveradmin sono autorizzati a modificare le opzioni di configurazione a livello di server e ad arrestare il server.
Casella di controllo setupadmin
I membri del ruolo predefinito del server setupadmin possono aggiungere e rimuovere server collegati e inoltre eseguire alcune stored procedure di sistema.
Casella di controllosysadmin
I membri del ruolo predefinito del server sysadmin possono eseguire qualsiasi attività nel motore di database.
Nella pagina Mapping Utenti sono elencati tutti i possibili database e le appartenenze al ruolo dei database che possono essere applicati al login. I database selezionati determinano le appartenenze ai ruoli disponibili per il login. In questa pagina sono disponibili le opzioni seguenti.
Utenti mappati a questo login
Seleziona i database a cui questo accesso può accedere. Quando si seleziona un database, i rispettivi ruoli validi vengono visualizzati nel riquadro Appartenenza a ruoli del database per:database_name.
Mappa
Consenti l'accesso ai database elencati di seguito.
Database
Elenca i database disponibili sul server.
Utente
Specifica un utente del database a cui eseguire il mapping del login. Per impostazione predefinita, il nome dell'utente del database è uguale all'account di accesso.
Schema predefinito
Consente di specificare lo schema predefinito dell'utente. Lo schema predefinito dei nuovi utenti creati è dbo. È possibile specificare uno schema predefinito non ancora creato. Non è possibile specificare uno schema predefinito per un utente del quale è stato eseguito il mapping a un gruppo di Windows, un certificato o una chiave asimmetrica.
Account Guest abilitato per:database_name
Attributo di sola lettura che indica se l'account Guest è abilitato nel database selezionato. Utilizzare la pagina Stato della finestra di dialogo Proprietà account di accesso dell'account Guest per abilitare o disabilitare tale account.
Appartenenza a ruoli del database per:database_name
Consente di selezionare i ruoli per l'utente nel database specificato. Tutti gli utenti sono membri del ruolo public in ogni database e non possono essere rimossi. Per altre informazioni sui ruoli di database, vedere Ruoli a livello di database.
Nella pagina Elementi Proteggibili sono elencati tutti i possibili elementi proteggibili e le autorizzazioni su quegli elementi che possono essere concesse al login. In questa pagina sono disponibili le opzioni seguenti.
Griglia superiore
Contiene uno o più elementi per i quali è possibile impostare le autorizzazioni. Le colonne visualizzate nella griglia superiore variano a seconda del principale o elemento sicuro.
Per aggiungere elementi alla griglia superiore:
Seleziona Cerca.
Nella finestra di dialogo Aggiungi oggetti, selezionare una delle opzioni seguenti: Oggetti specifici…, Tutti gli oggetti di tipo…o Il serverserver_name. Seleziona OK.
Nota
Quando si seleziona Il servernome_server, la griglia superiore viene automaticamente compilata con tutti gli oggetti a protezione diretta di tale server.
Se si seleziona Oggetti specifici...:
Nella finestra di dialogo Seleziona oggetti, in Selezionare i tipi di oggetti seguenti, fare clic su Tipi di oggetti....
Nella casella del finestra di dialogo Seleziona tipi di oggetti e selezionare tutte le seguenti opzioni o solo alcune di esse: Endpoint, Account di accesso, Server, Gruppi di disponibilitàe Ruoli del server. Seleziona OK.
In Immetti i nomi degli oggetti da selezionare (esempi), fare clic su Esplora....
Nella finestra di dialogo Esplora oggetti, selezionare gli oggetti disponibili del tipo selezionato nella finestra di dialogo Seleziona tipi di oggetti, quindi fare clic su Ok.
Nella finestra di dialogo Seleziona oggetti, fare clic su Ok.
Se nella finestra di dialogo Seleziona tipi di oggetti è stata selezionata l'opzione Tutti gli oggetti di tipo..., selezionare alcuni o tutti i tipi di oggetto seguenti: Endpoint, Accessi, Server, Gruppi di disponibilità e Ruoli del server. Seleziona OK.
Nome
Il nome di ciascun principale o elemento securabile che viene aggiunto alla griglia.
Tipo
Descrive il tipo di ogni elemento.
Scheda Esplicita
Elenca le possibili autorizzazioni per gli elementi securabili selezionati nella griglia superiore. Non tutte le opzioni sono disponibili per tutte le autorizzazioni esplicite.
Autorizzazioni
Il nome dell'autorizzazione.
Concedente
Il responsabile che ha concesso l'autorizzazione.
Concedi
Selezionare per concedere questa autorizzazione al login. Rimuovere per revocare questo permesso.
Con Grant
Riflette lo stato dell'opzione WITH GRANT per l'autorizzazione elencata. Questa casella è di sola lettura. Per applicare questa autorizzazione, usare l'istruzione GRANT.
Nega
Seleziona per negare questo permesso all'accesso. Annulla per revocare questa autorizzazione.
Nella pagina Stato sono elencate alcune opzioni di autenticazione e autorizzazione che possono essere configurate nell'accesso di SQL server selezionato.
In questa pagina sono disponibili le opzioni seguenti.
Autorizzazione per la connessione al Motore di database
Quando si utilizza questa impostazione, è consigliabile pensare all'account di accesso selezionato come a un principale a cui è possibile concedere o negare l'autorizzazione su un oggetto proteggibile.
Selezionare Concedi per concedere l'autorizzazione CONNECT SQL all'account di accesso. Seleziona Nega per negare CONNECT SQL al login.
Accesso
Quando si utilizza questa impostazione, è consigliabile pensare all'account di accesso selezionato come a un record in una tabella. Le modifiche ai valori elencati qui verranno applicate al record.
Un accesso che è stato disabilitato continua a esistere come record. Se tuttavia tenta di connettersi a SQL Server, l'account di accesso non viene autenticato.
Selezionare questa opzione per abilitare o disabilitare l'account di accesso. Questa opzione utilizza l'istruzione ALTER LOGIN insieme alle opzioni ENABLE o DISABLE.
Autenticazione di SQL Server
La casella di controllo Accesso bloccato è disponibile solo se l'account di accesso selezionato si connette utilizzando l'autenticazione di SQL Server ed è stato bloccato. Si tratta di un'impostazione di sola lettura. Per sbloccare un account di accesso bloccato, eseguire l'istruzione ALTER LOGIN con l'opzione UNLOCK.
In Esplora oggetti, connettersi a un'istanza del Motore di Database.
Sulla barra Standard selezionare Nuova query.
Copiare e incollare l'esempio seguente nella finestra di query e selezionare Esegui.
SQL-- Create a login for SQL Server by specifying a server name and a Windows domain account name. CREATE LOGIN [<domainName>\<loginName>] FROM WINDOWS; GO
In Esplora oggetti, connettersi a un'istanza del Motore di Database.
Sulla barra Standard selezionare Nuova query.
Copiare e incollare l'esempio seguente nella finestra di query e selezionare Esegui.
SQL-- Creates the user "shcooper" for SQL Server using the security credential "RestrictedFaculty" -- The user login starts with the password "Baz1nga," but that password must be changed after the first login. CREATE LOGIN shcooper WITH PASSWORD = 'Baz1nga' MUST_CHANGE, CREDENTIAL = RestrictedFaculty; GO
Per altre informazioni, vedere CREATE LOGIN (Transact-SQL).
L’account di accesso può connettersi a SQL Server dopo aver creato un accesso, ma potrebbe non disporre delle autorizzazioni necessarie a eseguire operazioni utili. L'elenco seguente fornisce collegamenti alle azioni di accesso comuni.
Per consentire l'aggiunta di un account di accesso a un ruolo, vedere Unirsi a un ruolo.
Per autorizzare un accesso a un database, vedere Creare un utente del database.
Per concedere un permesso a un login, vedere Concedere un'autorizzazione a un Principale.
Risorse aggiuntive
Training
Modulo
Configurare autenticazione e autorizzazione del database - Training
Configurare autenticazione e autorizzazione del database
Certificazione
Microsoft Certified: Identity and Access Administrator Associate - Certifications
Illustrare le funzionalità di Microsoft Entra ID per modernizzare le soluzioni di identità, implementare soluzioni ibride e implementare la governance delle identità.
Documentazione
-
Creare un utente del database - SQL Server
Informazioni su come creare i tipi più comuni di utenti di database usando SQL Server Management Studio o Transact-SQL.
-
Modificare la modalità di autenticazione del server - SQL Server
Informazioni su come modificare la modalità di autenticazione del server in SQL Server. Per questa attività è possibile usare SQL Server Management Studio o Transact-SQL.
-
Connettersi a SQL Server tramite l'autenticazione di Windows con l'adapter SQL - BizTalk Server
Altre informazioni: Connettersi a SQL Server usando l'autenticazione di Windows con l'adattatore SQL