Creare un account di accesso

Si applica a:SQL ServerDatabase SQL di AzureIstanza gestita di SQL di AzureAzure Synapse AnalyticsPiattaforma di sistemi analitici (PDW)

Questo articolo descrive come creare un account di accesso in SQL Server o database SQL di Azure usando SQL Server Management Studio (SSMS) o Transact-SQL. Un account di accesso è l'identità della persona o del processo che si connette a un'istanza di SQL Server.

Nota

Microsoft Entra ID era precedentemente noto come Azure Active Directory (Azure AD).

Background

Un accesso è un'entità di sicurezza o un'entità che può essere autenticata da un sistema sicuro. Gli utenti devono disporre di un account di accesso per connettersi a SQL Server. È possibile creare un account di accesso basato su un'entità di windows ,ad esempio un utente di dominio o un gruppo di dominio Windows, oppure creare un account di accesso non basato su un'entità di windows ,ad esempio un account di accesso di SQL Server.

Nota

Per usare l'autenticazione di SQL Server, il motore di database deve usare l'autenticazione in modalità mista. Per altre informazioni, vedere Scegliere una modalità di autenticazione.

Azure SQL ha introdotto le entità server (account di accesso) di Microsoft Entra per l'autenticazione per database SQL di Azure, Istanza gestita di SQL di Azure e Azure Synapse Analytics (solo pool SQL dedicati).

SQL Server 2022 introduce anche l'autenticazione Microsoft Entra per SQL Server.

È possibile concedere autorizzazioni agli account di accesso, in quanto entità di sicurezza. L'ambito di un account di accesso è l'intero motore di database. Per connettersi a un database specifico nell'istanza di SQL Server, è necessario eseguire il mapping di un account di accesso a un utente del database. Le autorizzazioni all'interno del database vengono concesse e negate all'utente del database, non all'account di accesso. Le autorizzazioni che hanno l'ambito dell'intera istanza di SQL Server , ad esempio l'autorizzazione CREATE ENDPOINT , possono essere concesse a un account di accesso.

Nota

Quando un account di accesso si connette a SQL Server, l'identità viene convalidata nel master database. Usare gli utenti del database indipendente per autenticare SQL Server e database SQL connessioni a livello di database. Quando si usano utenti di database indipendenti, non è necessario un account di accesso. Un database indipendente è un database isolato da altri database e dall'istanza di SQL Server o database SQL (e il master database) che ospita il database. SQL Server supporta gli utenti del database indipendente per l'autenticazione di Windows e SQL Server. Quando si usa database SQL, combinare gli utenti del database indipendente con regole del firewall a livello di database. Per altre informazioni, vedere Utenti di database indipendente: rendere portabile un database.

Autorizzazioni

SQL Server richiede l'autorizzazione ALTER ANY LOGIN o ALTER LOGIN per il server oppure il ruolo predefinito del server ##MS_LoginManager## (SQL Server 2022 e versioni successive).

database SQL richiede l'appartenenza al ruolo loginmanager o al ruolo predefinito del server, ##MS_LoginManager##.

Creare un account di accesso usando SSMS per SQL Server

1. In Esplora oggetti espandere la cartella dell'istanza del server in cui si desidera creare il nuovo account di accesso.

2. Fare clic con il pulsante destro del mouse sulla cartella Sicurezza, scegliere Nuovo e selezionare Account di accesso....

3. Nella pagina Generale della finestra di dialogo Account di accesso - Nuovo immettere il nome di un utente nella casella Nome account di accesso. In alternativa, selezionare Cerca per aprire la finestra di dialogo Seleziona utente o gruppo .

   Se si seleziona Cerca...:

   1. In Seleziona questo tipo di oggetto selezionare Tipi di oggetto per aprire la finestra di dialogo Tipi di oggetto e selezionare una o tutte le entità di sicurezza predefinite, Gruppi e Utenti. Le opzioniEntità di sicurezza predefinite e Utenti sono selezionate per impostazione predefinita. Al termine selezionare OK.

   2. In Da questo percorso selezionare Percorsi... per aprire la finestra di dialogo Percorsi e selezionare una delle posizioni del server disponibili. Al termine selezionare OK.

   3. In Immettere il nome dell'oggetto da selezionare (esempi), immettere il nome dell'utente o del gruppo che si desidera trovare. Per ulteriori informazioni, vedere Finestra di dialogo Seleziona utenti, computer o gruppi.

   4. Selezionare Avanzate per altre opzioni di ricerca avanzate. Per altre informazioni, vedere Finestra di dialogo Seleziona utenti, computer o gruppi - Pagina Avanzate.

   5. Seleziona OK.

4. Per creare un account di accesso basato su un'entità di Windows, selezionare Autenticazione di Windows. Si tratta della selezione predefinita.

5. Per creare un account di accesso salvato in un database di SQL Server, selezionare Autenticazione di SQL Server.

   1. Nella casella Password digitare una password per il nuovo utente. Digitare di nuovo la password nella casella Conferma password .

   2. In caso di modifica di una password esistente, selezionare Specifica vecchia passworde quindi digitare la password precedente nella casella Vecchia password .

   3. Per applicare le opzioni dei criteri password per la complessità e l'applicazione, selezionare Applica criteri password. Per ulteriori informazioni, vedere Password Policy. È un'opzione predefinita quando si seleziona Autenticazione di SQL Server .

   4. Per applicare le opzioni dei criteri password per la scadenza, selezionare Imponi scadenza password. Per abilitare questa casella di controllo, è necessario selezionareApplica criteri password . È un'opzione predefinita quando si seleziona Autenticazione di SQL Server .

   5. Per forzare l'utente a creare una nuova password dopo la prima volta che l'account di accesso viene utilizzato, selezionare Richiedi modifica della password all'accesso successivo. Per abilitare questa casella di controllo, è necessario selezionareImponi scadenza password . È un'opzione predefinita quando si seleziona Autenticazione di SQL Server .

6. Per associare l'account di accesso a un certificato di sicurezza autonomo, selezionare Mapping con certificato , quindi selezionare il nome di un certificato esistente dall'elenco.

7. Per associare l'account di accesso a una chiave asimmetrica autonoma, selezionare Mapping con chiave asimmetrica , quindi selezionare il nome di una chiave esistente dall'elenco.

8. Per associare l'account di accesso a credenziali di sicurezza, selezionare la casella di controllo Mappato alle credenziali e quindi selezionare una credenziale esistente dall'elenco o selezionare Aggiungi per creare una nuova credenziale. Per rimuovere un mapping a una credenziale di sicurezza dall'account di accesso, selezionare le credenziali da Credenziali mappate e selezionare Rimuovi. Per altre informazioni sulle credenziali in generale, vedere Credenziali (motore di database).

9. Selezionare dall'elenco Database predefinito un database predefinito per l'account di accesso. Principale è il valore predefinito per questa opzione.

10. Selezionare dall'elenco Lingua predefinita una lingua predefinita per l'account di accesso.

11. Seleziona OK.

Opzioni aggiuntive

La finestra di dialogo Account di accesso - Nuovo offre anche opzioni in altre quattro pagine: Ruoli del server, Mapping utenti, Entità a protezione diretta e Stato.

Ruoli server

Nota

Questi ruoli del server non sono disponibili per database SQL. Sono disponibili ruoli predefiniti a livello di server per database SQL. Per altre informazioni, vedere database SQL di Azure ruoli del server per la gestione delle autorizzazioni.

Nella pagina Ruoli del server sono elencati tutti i possibili ruoli che possono essere assegnati al nuovo account accesso. Sono disponibili le seguenti opzioni:

Casella di controllobulkadmin
I membri del ruolo predefinito del server bulkadmin sono autorizzati a eseguire l'istruzione BULK INSERT.

Casella di controllodbcreator
I membri del ruolo predefinito del server dbcreator sono autorizzati a creare, modificare, eliminare e ripristinare qualsiasi database.

Casella di controllodiskadmin
I membri del ruolo predefinito del server diskadmin sono autorizzati a gestire file su disco.

Casella di controlloprocessadmin
I membri del ruolo predefinito del server processadmin possono terminare i processi in esecuzione in un'istanza del motore di database.

Casella di controllopublic
Tutti gli utenti, gruppi e ruoli di SQL Server appartengono al ruolo predefinito del server public per impostazione predefinita.

Casella di controllosecurityadmin
I membri del ruolo predefinito del server securityadmin gestiscono gli account di accesso e le relative proprietà. Possono concedere, negare e revocare le autorizzazioni a livello di server e a livello di database. Inoltre, possono reimpostare le password per gli account di accesso di SQL Server.

Casella di controlloserveradmin
I membri del ruolo predefinito del server serveradmin sono autorizzati a modificare le opzioni di configurazione a livello di server e ad arrestare il server.

Casella di controllosetupadmin
I membri del ruolo predefinito del server setupadmin possono aggiungere e rimuovere server collegati e inoltre eseguire alcune stored procedure di sistema.

Casella di controllosysadmin
I membri del ruolo predefinito del server sysadmin possono eseguire qualsiasi attività nel motore di database.

Mapping utenti

Nella pagina Mapping utenti sono elencati tutti i possibili database e le appartenenze al ruolo dei database che possono essere applicati all'account di accesso. I database selezionati determinano le appartenenze al ruolo che sono disponibili per l'account di accesso. In questa pagina sono disponibili le opzioni seguenti.

Utenti di cui è stato eseguito il mapping all'account di accesso seguente
Consente di selezionare i database ai quali può accedere l'account di accesso specificato. Quando si seleziona un database, i rispettivi ruoli validi vengono visualizzati nel riquadro Appartenenza a ruoli del database per:database_name .

Mappa
Consente all'account di accesso di accedere al database sotto indicato.

Database
Elenca i database disponibili sul server.

Utente
Consente di specificare l'utente del database a cui eseguire il mapping dell'account di accesso. Per impostazione predefinita, il nome dell'utente del database è uguale all'account di accesso.

Schema predefinito
Consente di specificare lo schema predefinito dell'utente. Lo schema predefinito dei nuovi utenti creati è dbo. È possibile specificare uno schema predefinito che non esiste ancora. Non è possibile specificare uno schema predefinito per un utente mappato a un gruppo di Windows, a un certificato o a una chiave asimmetrica.

Account Guest abilitato per:database_name
Attributo di sola lettura che indica se l'account Guest è abilitato nel database selezionato. Utilizzare la pagina Stato della finestra di dialogo Proprietà account di accesso dell'account Guest per abilitare o disabilitare tale account.

Appartenenza a ruoli del database per:database_name
Consente di selezionare i ruoli per l'utente nel database specificato. Tutti gli utenti sono membri del ruolo pubblico in ogni database e non possono essere rimossi. Per altre informazioni sui ruoli di database, vedere Ruoli a livello di database.

Entità a protezione diretta

Nella pagina Entità a protezione diretta sono elencate tutte le possibili entità a protezione diretta e le autorizzazioni su quelle entità a protezione diretta che possono essere concesse all'account di accesso. In questa pagina sono disponibili le opzioni seguenti.

Griglia superiore
Contiene uno o più elementi per i quali è possibile impostare le autorizzazioni. Le colonne visualizzate nella griglia superiore variano a seconda del tipo di entità o di entità a sicurezza diretta.

Per aggiungere elementi alla griglia superiore:

1. Seleziona Cerca.

2. Nella finestra di dialogo Aggiungi oggetti selezionare una delle opzioni seguenti: Oggetti specifici, Tutti gli oggetti dei tipi o Il serverserver_name. Seleziona OK.

   Nota

   Quando si seleziona Il servernome_server, la griglia superiore viene automaticamente compilata con tutti gli oggetti a protezione diretta di tale server.

3. Se si seleziona Oggetti specifici...:

   1. Nella finestra di dialogo Seleziona oggetti , in Seleziona questi tipi di oggetto selezionare Tipi di oggetto... .

   2. Nella casella del finestra di dialogo Seleziona tipi di oggetti e selezionare tutte le seguenti opzioni o solo alcune di esse: Endpoint, Account di accesso, Server, Gruppi di disponibilitàe Ruoli del server. Seleziona OK.

   3. In Immettere i nomi degli oggetti da selezionare (esempi) selezionare Sfoglia....

   4. Nella finestra di dialogo Sfoglia oggetti selezionare uno degli oggetti disponibili del tipo selezionato nella finestra di dialogo Seleziona tipi di oggetto e quindi selezionare OK.

   5. Nella finestra di dialogo Seleziona oggetti selezionare OK.

4. Se nella finestra di dialogo Seleziona tipi di oggetti è stata selezionata l'opzione Tutti gli oggetti di tipo..., selezionare alcuni o tutti i tipi di oggetto seguenti: Endpoint, Accessi, Server, Gruppi di disponibilità e Ruoli del server. Seleziona OK.

Nome
Nome di ogni entità o entità a sicurezza diretta aggiunto alla griglia.

Type
Descrive il tipo di ogni elemento.

Scheda Esplicita
Sono elencate le possibili autorizzazioni per l'entità a protezione diretta selezionate nella griglia superiore. Non tutte le opzioni sono disponibili per tutte le autorizzazioni esplicite.

Autorizzazioni
Nome dell'autorizzazione.

Utente che concede le autorizzazioni
Entità che ha concesso l'autorizzazione.

Concedi
Selezionare questa opzione per concedere l'autorizzazione all'account di accesso, deselezionarla per revocare l'autorizzazione.

Con diritto di concessione
Riflette lo stato dell'opzione WITH GRANT relativo all'autorizzazione elencata. Il contenuto di questa casella è di sola lettura. Per applicare questa autorizzazione, utilizzare l'istruzione GRANT .

Nega
Selezionare questa opzione per negare l'autorizzazione all'account di accesso, deselezionarla per revocare l'autorizzazione.

Status

Nella pagina Stato sono elencate alcune delle opzioni di autenticazione e autorizzazione che possono essere configurate nell'account di accesso di SQL Server selezionato.

In questa pagina sono disponibili le opzioni seguenti.

Autorizzazione per la connessione al Motore di database
Quando si utilizza questa impostazione, è consigliabile pensare all'account di accesso selezionato come a un'entità a cui è possibile concedere o negare l'autorizzazione per un'entità a sicurezza diretta.

Selezionare Concedi per concedere l'autorizzazione CONNECT SQL all'account di accesso. Selezionare Nega per negare l'autorizzazione CONNECT SQL all'account di accesso.

Accesso
Quando si utilizza questa impostazione, è consigliabile pensare all'account di accesso selezionato come a un record in una tabella. Le modifiche ai valori elencati qui verranno applicate al record.

Un account di accesso che è stato disabilitato continua a esistere come record. Tuttavia, se tenta di connettersi a SQL Server, l'account di accesso non verrà autenticato.

Selezionare questa opzione per abilitare o disabilitare l'account di accesso. Questa opzione usa l'istruzione ALTER LOGIN con l'opzione ENABLE o DISABLE.

Autenticazione di SQL Server
La casella di controllo Login is locked out is available only if the selected login connects using SQL Server authentication and the login has been locked out. Questa impostazione è di sola lettura. Per sbloccare un account di accesso bloccato, eseguire l'istruzione ALTER LOGIN con l'opzione UNLOCK.

Creare un account di accesso usando autenticazione di Windows con T-SQL

1. In Esplora oggetti connettersi a un'istanza del motore di database.

2. Sulla barra Standard selezionare Nuova query.

3. Copiare e incollare l'esempio seguente nella finestra di query e selezionare Esegui.

   -- Create a login for SQL Server by specifying a server name and a Windows domain account name.  
   
   CREATE LOGIN [<domainName>\<loginName>] FROM WINDOWS;  
   GO
   

Creare un account di accesso usando l'autenticazione di SQL Server con T-SQL

1. In Esplora oggetti connettersi a un'istanza del motore di database.

2. Sulla barra Standard selezionare Nuova query.

3. Copiare e incollare l'esempio seguente nella finestra di query e selezionare Esegui.

   -- Creates the user "shcooper" for SQL Server using the security credential "RestrictedFaculty"   
   -- The user login starts with the password "Baz1nga," but that password must be changed after the first login.  
   
   CREATE LOGIN shcooper   
      WITH PASSWORD = 'Baz1nga' MUST_CHANGE,  
      CREDENTIAL = RestrictedFaculty;  
   GO  
   

Per altre informazioni, vedere CREATE LOGIN (Transact-SQL).

Completamento: Procedura da eseguire dopo la creazione di un account di accesso

Dopo aver creato un account di accesso, l'account di accesso può connettersi a SQL Server, ma non ha necessariamente autorizzazioni sufficienti per eseguire operazioni utili. Nell'elenco seguente vengono indicati alcuni collegamenti alle operazioni più comuni degli account di accesso.

• Per consentire l'aggiunta di un account di accesso a un ruolo database, vedere Aggiungere un ruolo.

• Per autorizzare l'utilizzo di un database da parte di un account di accesso, vedere Creare un utente del database.

• Per concedere un'autorizzazione a un account di accesso, vedere Concedere un'autorizzazione a un'entità.

Vedi anche

• Centro sicurezza per il motore di Database di SQL Server e il Database SQL di Azure
• Entità server Microsoft Entra (account di accesso)
• Esercitazione: Creare e usare account di accesso al server Microsoft Entra