Créer un compte de connexion
S’applique à :
SQL Server (toutes les versions prises en charge) Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics Analytics Platform System (PDW)
Cet article explique comment créer une connexion dans SQL Server ou Azure SQL Database à l’aide de SQL Server Management Studio (SSMS) ou de Transact-SQL. Une connexion est l’identité de la personne ou du processus qui se connecte à une instance de SQL Server.
Contexte
Un compte de connexion est un principal de sécurité, ou une entité qui peut être authentifiée par un système sécurisé. Les utilisateurs ont besoin d’une connexion pour se connecter à SQL Server. Vous pouvez créer une connexion basée sur un principal Windows (par exemple, un utilisateur de domaine ou un groupe de domaines Windows) ou créer une connexion qui n’est pas basée sur un principal Windows (par exemple, une connexion SQL Server).
Notes
Pour utiliser l’authentification SQL Server, le moteur de base de données doit utiliser l’authentification en mode mixte. Pour plus d’informations, consultez Choisir un mode d’authentification.
Azure SQL a introduit des principaux de serveur Azure Active Directory (connexions) à utiliser pour s’authentifier auprès d’Azure SQL Database, d’Azure SQL Managed Instance et d’Azure Synapse Analytics (pools SQL dédiés uniquement).
En tant que principal de sécurité, il est possible d'accorder des autorisations à des comptes de connexion. L’étendue d’une connexion est l’ensemble du moteur de base de données. Pour se connecter à une base de données spécifique sur l'instance de SQL Server, un compte de connexion doit être mappé à un utilisateur de base de données. Les autorisations dans la base de données sont accordées et refusées à l'utilisateur de la base de données, pas au compte de connexion. Les autorisations qui ont l’étendue de l’instance entière de SQL Server (par exemple, l’autorisation CREATE ENDPOINT ) peuvent être accordées à une connexion.
Notes
Lorsqu’une connexion se connecte à SQL Server, l’identité est validée dans la base de données master. Faites appel à des utilisateurs de base de données autonome pour authentifier les connexions SQL Server et SQL Database au niveau de la base de données. Lorsque vous utilisez des utilisateurs de base de données autonome, une connexion n’est pas nécessaire. Une base de données autonome est une base de données isolée d’autres bases de données et de l’instance de SQL Server ou SQL Database (et de la base de données master) qui héberge la base de données. SQL Server prend en charge les utilisateurs de base de données autonome pour Windows et l'authentification SQL Server. Si vous utilisez SQL Database, associez les utilisateurs de base de données autonome à des règles de pare-feu au niveau de la base de données. Pour plus d’informations, voir Utilisateurs de base de données autonome - Rendre votre base de données portable.
Sécurité
SQL Server nécessite l’autorisation ALTER ANY LOGIN ou ALTER LOGIN sur le serveur.
SQL Database nécessite l’appartenance au rôle loginmanager .
Créer une connexion à l’aide de SSMS pour SQL Server
Dans l'Explorateur d'objets, développez le dossier de l'instance du serveur où vous souhaitez créer le compte de connexion.
Cliquez avec le bouton droit sur le dossier Sécurité, pointez sur Nouveau, puis sélectionnez Connexion… .
Dans la boîte de dialogue Nouvelle connexion, dans la page Général, entrez le nom d’un utilisateur dans la zone Nom de la connexion. Vous pouvez également sélectionner Rechercher... pour ouvrir la boîte de dialogue Sélectionner un utilisateur ou un groupe .
Si vous sélectionnez Rechercher...:
Sous Sélectionner ce type d’objet, sélectionnez Types d’objets ... pour ouvrir la boîte de dialogue Types d’objets et sélectionnez l’un ou l’autre des éléments suivants : principaux de sécurité intégrés, groupes et utilisateurs. Les optionsPrincipaux de sécurité intégrés et Utilisateurs sont sélectionnées par défaut. Lorsque vous avez terminé, sélectionnez OK.
Sous À partir de cet emplacement, sélectionnez Emplacements... pour ouvrir la boîte de dialogue Emplacements et sélectionner l’un des emplacements de serveur disponibles. Lorsque vous avez terminé, sélectionnez OK.
Sous Entrez le nom de l’objet à sélectionner (exemples) , entrez l’utilisateur ou le nom de groupe que vous souhaitez rechercher. Pour plus d'informations, consultez Boîte de dialogue Choisir des utilisateurs, des ordinateurs ou des groupes.
Sélectionnez Avancé... pour plus d’options de recherche avancées. Pour plus d’informations, consultez Boîte de dialogue Choisir des utilisateurs, des ordinateurs ou des groupes - Page Avancé.
Sélectionnez OK.
Pour créer un compte de connexion selon un principal Windows, sélectionnez Authentification Windows. Il s'agit de la sélection par défaut.
Pour créer une connexion enregistrée sur une base de données SQL Server, sélectionnez l’authentification SQL Server.
Dans la zone Mot de passe , entrez un mot de passe pour le nouvel utilisateur. Entrez de nouveau ce mot de passe dans la zone Confirmer le mot de passe .
Lorsque vous modifiez un mot de passe existant, sélectionnez Spécifier l'ancien mot de passe, puis tapez l'ancien mot de passe dans la zone Ancien mot de passe .
Pour appliquer des options de stratégie de mot de passe pour la complexité et l'application, sélectionnez Conserver la stratégie de mot de passe. Pour plus d'informations, consultez Password Policy. Il s'agit d'une option par défaut lorsque Authentification SQL Server est sélectionné.
Pour appliquer des options de stratégie de mot de passe pour l'expiration, sélectionnez Conserver l'expiration du mot de passe. L'optionConserver la stratégie de mot de passe doit être sélectionnée pour activer cette case à cocher. Il s'agit d'une option par défaut lorsque Authentification SQL Server est sélectionné.
Pour forcer l'utilisateur à créer un nouveau mot de passe après la première utilisation du compte de connexion, sélectionnez L'utilisateur doit changer de mot de passe à la prochaine connexion. L'optionConserver l'expiration du mot de passe doit être sélectionnée pour activer cette case à cocher. Il s'agit d'une option par défaut lorsque Authentification SQL Server est sélectionné.
Pour associer le compte de connexion à un certificat de sécurité autonome, sélectionnez Mappé au certificat , puis sélectionnez le nom d’un certificat existant dans la liste.
Pour associer le compte de connexion à une clé asymétrique autonome, sélectionnez Mappé à la clé asymétrique , puis sélectionnez le nom d’une clé existante dans la liste.
Pour associer la connexion à des informations d’identification de sécurité, activez la case à cocher Mappé aux informations d’identification , puis sélectionnez une information d’identification existante dans la liste ou sélectionnez Ajouter pour créer une nouvelle information d’identification. Pour supprimer un mappage à des informations d’identification de sécurité de la connexion, sélectionnez les informations d’identification mappées , puis sélectionnez Supprimer. Pour plus d’informations sur les informations d’identification en général, consultez Informations d’identification (moteur de base de données).
Sélectionnez une base de données par défaut pour le compte de connexion dans la liste Base de données par défaut . Master est la valeur par défaut pour cette option.
Dans la liste Langue par défaut , sélectionnez une langue par défaut pour le compte de connexion.
Cliquez sur OK.
Options supplémentaires
La boîte de dialogue Connexion – Nouvelle offre également des options sur quatre pages supplémentaires : Rôles de serveur, Mappage utilisateur, Éléments sécurisables et État.
Rôles du serveur
Notes
Ces rôles serveur ne sont pas disponibles pour SQL Database.
La page Rôles de serveur répertorie tous les rôles possibles qui peuvent être affectés au nouveau compte de connexion. Les options suivantes sont disponibles :
Case à cocherbulkadmin
Les membres du rôle serveur fixe bulkadmin peuvent exécuter l’instruction BULK INSERT.
Case à cocherdbcreator
Les membres du rôle serveur fixe dbcreator peuvent créer, modifier, supprimer et restaurer n’importe quelle base de données.
Case à cocherdiskadmin
Les membres du rôle serveur fixe diskadmin peuvent gérer les fichiers de disque.
Case à cocherprocessadmin
Les membres du rôle serveur fixe processadmin peuvent arrêter les processus en cours d’exécution dans une instance du moteur de base de données.
Case à cocherpublic
Tous les utilisateurs, groupes et rôles SQL Server appartiennent au rôle serveur fixe public par défaut.
Case à cochersecurityadmin
Les membres du rôle serveur fixe securityadmin gèrent les connexions et leurs propriétés. Ils peuvent assigner des autorisations GRANT, DENY et REVOKE au niveau du serveur. Ils peuvent aussi assigner des autorisations GRANT, DENY et REVOKE au niveau de la base de données. En outre, ils peuvent réinitialiser les mots de passe pour les connexions SQL Server .
Case à cocherserveradmin
Les membres du rôle serveur fixe serveradmin peuvent modifier les options de configuration à l’échelle du serveur et arrêter le serveur.
Case à cochersetupadmin
Les membres du rôle serveur fixe setupadmin peuvent ajouter et supprimer des serveurs liés et exécuter certaines procédures stockées du système.
Case à cochersysadmin
Les membres du rôle serveur fixe sysadmin peuvent effectuer n’importe quelle activité dans le moteur de base de données.
Mappage utilisateur
La page Mappage de l'utilisateur répertorie toutes les bases de données possibles et les appartenances de rôle de base de données sur ces bases de données qui peuvent être appliquées à la connexion. Les bases de données sélectionnées déterminent les appartenances aux rôles disponibles pour la connexion. Les options suivantes sont disponibles sur cette page :
Utilisateurs mappés à cette connexion
Sélectionnez les bases de données auxquelles cette connexion peut accéder. Lorsque vous sélectionnez une base de données, ses rôles de base de données valides s’affichent dans le volet Appartenance au rôle de base de données pour :nom_base_de_données .
Map
Autorise la connexion à accéder aux bases de données répertoriées au-dessous.
Sauvegarde de la base de données
Répertorie les bases de données disponibles sur le serveur.
Utilisateur
Spécifiez un utilisateur de la base de données à mapper sur cette connexion. Par défaut, l'utilisateur a le même nom que la connexion.
Schéma par défaut
Spécifie le schéma par défaut de l'utilisateur. Lors de la création d'un utilisateur, son schéma par défaut est dbo. Il est possible de spécifier un schéma par défaut qui n’existe pas encore. Vous ne pouvez pas spécifier un schéma par défaut pour un utilisateur mappé à un groupe Windows, un certificat ou une clé asymétrique.
Compte Invité activé pour :nom_base_de_données
Attribut en lecture seule indiquant si le compte Invité est activé sur la base de données sélectionnée. Utilisez la page État de la boîte de dialogue Propriétés de la connexion du compte Invité pour activer ou désactiver le compte Invité.
Appartenance au rôle de base de données pour :nom_base_de_données
Sélectionnez les rôles pour l'utilisateur dans la base de données spécifiée. Tous les utilisateurs sont membres du rôle public dans chaque base de données et ne peuvent pas être supprimés. Pour plus d’informations sur les rôles de base de données, consultez Rôles au niveau de la base de données.
Éléments sécurisables
La page Éléments sécurisables répertorie tous les éléments sécurisables possibles et les autorisations sur ces éléments sécurisables qui peuvent être accordées à la connexion. Les options suivantes sont disponibles sur cette page :
Grille supérieure
Contient un ou plusieurs éléments pour lesquels des autorisations peuvent être définies. Les colonnes affichées dans la grille supérieure varient selon le principal ou l'élément sécurisable.
Pour ajouter des éléments à la grille supérieure :
Sélectionnez Recherche.
Dans la boîte de dialogue Ajouter des objets, sélectionnez l’une des options suivantes : Objets spécifiques..., Tous les objets des types..., ou Le serveurserver_name. Cliquez sur OK.
NOTE: La sélection du serveurserver_name remplit automatiquement la grille supérieure avec tous les objets sécurisables de ces serveurs.
Si vous sélectionnez Objets spécifiques… :
Dans la boîte de dialogue Sélectionner des objets , sous Sélectionner ces types d’objets, sélectionnez Types d’objets....
Dans la boîte de dialogue Sélectionner les types d’objets, sélectionnez tout ou partie des types d’objets suivants : Points de terminaison, Connexions, Serveurs, Groupes de disponibilité et Rôles serveur. Cliquez sur OK.
Sous Entrer les noms d’objets à sélectionner (exemples),sélectionnez Parcourir....
Dans la boîte de dialogue Rechercher des objets , sélectionnez l’un des objets disponibles du type que vous avez sélectionné dans la boîte de dialogue Sélectionner des types d’objets , puis sélectionnez OK.
Dans la boîte de dialogue Sélectionner des objets , sélectionnez OK.
Si vous sélectionnez Tous les objets des types... , dans la boîte de dialogue Sélectionner les types d’objets, sélectionnez tout ou partie des types d’objets suivants : Points de terminaison, Connexions, Serveurs, Groupes de disponibilité et Rôles serveur. Cliquez sur OK.
Nom
Nom de chaque principal ou élément sécurisable ajouté à la grille.
Type
Décrit le type de chaque élément.
Onglet Autorisations explicites
Énumère les autorisations possibles pour les éléments sécurisables sélectionnés dans la grille supérieure. Toutes les options ne sont pas disponibles pour toutes les autorisations explicites.
autorisations
Nom de l'autorisation.
Fournisseur d'autorisations
Principal ayant accordé l'autorisation.
Octroyer
Sélectionnez cette option pour octroyer cette autorisation à la connexion. Désactivez-la pour révoquer cette autorisation.
Avec autorisation
Reflète l'état de l'option WITH GRANT pour l'autorisation indiquée dans la liste. Cette zone est en lecture seule. Pour appliquer cette autorisation, utilisez l'instruction GRANT .
Deny
Sélectionnez cette option pour refuser cette autorisation à la connexion. Désactivez-la pour révoquer cette autorisation.
Statut
La page État répertorie certaines des options d’authentification et d’autorisation qui peuvent être configurées sur la connexion SQL Server sélectionnée.
Les options suivantes sont disponibles sur cette page :
Autorisation de se connecter au moteur de base de données
Lorsque vous travaillez avec ce paramètre, vous devez considérer la connexion sélectionnée comme un principal auquel une autorisation sur un élément sécurisable peut être accordée ou refusée.
Sélectionnez Octroyer pour accorder l'autorisation CONNECT SQL à la connexion. Sélectionnez Refuser pour refuser l'autorisation CONNECT SQL à la connexion.
Connexion
Lorsque vous travaillez avec ce paramètre, vous devez considérer la connexion sélectionnée comme un enregistrement d'une table. Les modifications apportées aux valeurs répertoriées ici seront appliquées à l'enregistrement.
Une connexion qui a été désactivée continue d'exister en tant qu'enregistrement. Toutefois, si elle tente de se connecter à SQL Server, la connexion ne sera pas authentifiée.
Sélectionnez cette option pour activer ou désactiver cette connexion. Cette option utilise l’instruction ALTER LOGIN avec l’option ENABLE ou DISABLE.
Authentification SQL Server
La case à cocher Connexion est verrouillée uniquement si la connexion sélectionnée se connecte à l’aide de l’authentification SQL Server et que la connexion a été verrouillée. Ce paramètre est en lecture seule. Pour déverrouiller une connexion verrouillée, exécutez ALTER LOGIN avec l'option UNLOCK.
Créer une connexion à l’aide de l’authentification Windows avec T-SQL
Dans l' Explorateur d'objets, connectez-vous à une instance du Moteur de base de données.
Dans la barre d’outils standard, sélectionnez Nouvelle requête.
Copiez et collez l’exemple suivant dans la fenêtre de requête, puis sélectionnez Exécuter.
-- Create a login for SQL Server by specifying a server name and a Windows domain account name. CREATE LOGIN [<domainName>\<loginName>] FROM WINDOWS; GO
Créer une connexion à l’aide de l’authentification SQL Server avec T-SQL
Dans l' Explorateur d'objets, connectez-vous à une instance du Moteur de base de données.
Dans la barre d’outils standard, sélectionnez Nouvelle requête.
Copiez et collez l’exemple suivant dans la fenêtre de requête, puis sélectionnez Exécuter.
-- Creates the user "shcooper" for SQL Server using the security credential "RestrictedFaculty" -- The user login starts with the password "Baz1nga," but that password must be changed after the first login. CREATE LOGIN shcooper WITH PASSWORD = 'Baz1nga' MUST_CHANGE, CREDENTIAL = RestrictedFaculty; GO
Pour plus d'informations, consultez CREATE LOGIN (Transact-SQL).
Suivi : étapes à suivre après avoir créé une connexion
Après avoir créé une connexion, la connexion peut se connecter à SQL Server, mais n’a pas nécessairement l’autorisation suffisante pour effectuer un travail utile. La liste suivante fournit des liens vers des actions de compte de connexion courantes.
Pour effectuer une jointure entre le compte de connexion et un rôle de base de données, consultez Attacher un rôle.
Pour autoriser un compte de connexion à utiliser une base de données, consultez Créer un utilisateur de base de données.
Pour accorder une autorisation à un compte de connexion, consultez Accorder une autorisation à un principal.