CREATE LOGIN (Transact-SQL)

Azure SQL
spravované instance

Azure Synapse
analýzy

SQL Server

Syntax

-- Syntax for SQL Server
CREATE LOGIN login_name { WITH <option_list1> | FROM <sources> }

<option_list1> ::=
    PASSWORD = { 'password' | hashed_password HASHED } [ MUST_CHANGE ]
    [ , <option_list2> [ ,... ] ]

<option_list2> ::=
    SID = sid
    | DEFAULT_DATABASE = database
    | DEFAULT_LANGUAGE = language
    | CHECK_EXPIRATION = { ON | OFF}
    | CHECK_POLICY = { ON | OFF}
    | CREDENTIAL = credential_name

<sources> ::=
    WINDOWS [ WITH <windows_options>[ ,... ] ]
    | EXTERNAL PROVIDER
    | CERTIFICATE certname
    | ASYMMETRIC KEY asym_key_name

<windows_options> ::=
    DEFAULT_DATABASE = database
    | DEFAULT_LANGUAGE = language

Argumenty

login_name

Určuje název vytvořeného přihlášení. Existuje pět typů přihlášení: přihlášení SQL Serveru, přihlášení windows, přihlášení Microsoft Entra, přihlášení mapovaná certifikátem a asymetrická přihlášení mapovaná pomocí klíče.

Při vytváření přihlášení mapovaných z účtu domény systému Windows je nutné použít přihlašovací jméno ve formátu [<název_domény>\<login_name>]. Hlavní název uživatele (UPN) nelze použít ve formátu login_name@DomainName. Příklad najdete v příkladu E dále v tomto článku. Přihlašovací jména ověřování jsou typu sysname a musí odpovídat pravidlům pro identifikátory a nesmí obsahovat zpětné lomítko (). Přihlášení windows můžou obsahovat\. Přihlášení založená na uživatelích služby Active Directory jsou omezena na názvy kratší než 21 znaků.

Při použití klauzule FROM EXTERNAL PROVIDER musí přihlašovací jméno odpovídat zobrazovanýmu názvu existujícího objektu zabezpečení Microsoft Entra ve stejném tenantovi, pro kterého je instance SQL povolena. Uživatelé, skupiny a aplikace Microsoft Entra se dají použít k vytváření přihlášení.

HESLO ='heslo'

Platí jenom pro přihlášení k SQL Serveru. Určuje heslo pro vytvářené přihlášení. Použijte silné heslo. Další informace naleznete v tématu silné hesla a zásady hesel. Od SQL Serveru 2012 (11.x) se uložené informace o hesle počítají pomocí SHA-512 solného hesla.

V heslech se rozlišují malá a velká písmena. Hesla by měla mít vždy délku minimálně osm znaků a nesmí překročit 128 znaků. Hesla můžou obsahovat znaky a-z, A-Z, 0-9 a většinu neosamocených znaků. Hesla nemohou obsahovat jednoduché uvozovky ani login_name.

HESLO = hashed_password

Platí pouze pro klíčové slovo HASHED. Určuje hodnotu hash hesla pro vytvářené přihlášení.

HASHED

Platí jenom pro přihlášení k SQL Serveru. Určuje, že heslo zadané po argumentu PASSWORD je již hashováno. Pokud tato možnost není vybraná, řetězec zadaný jako heslo se před uložením do databáze zatřiďuje. Tato možnost by se měla použít pouze pro migraci databází z jednoho serveru do druhého. Nepoužívejte možnost HASHED k vytváření nových přihlášení. Možnost HASHED se nedá použít s hodnotami hash vytvořenými SQL 7 nebo staršími.

MUST_CHANGE

Platí jenom pro přihlášení k SQL Serveru. Pokud je tato možnost zahrnutá, SQL Server vyzve uživatele k zadání nového hesla při prvním použití nového přihlášení.

CREDENTIAL =credential_name

Název přihlašovacích údajů, které se mají namapovat na nové přihlášení k SQL Serveru. Přihlašovací údaje již musí existovat na serveru. V současné době tato možnost propojí přihlašovací údaje pouze s přihlášením. Přihlašovací údaje nelze namapovat na přihlášení správce systému (sa).

SID = sid

Slouží k opětovnému vytvoření přihlášení. Platí jenom pro přihlášení k ověřování SQL Serveru, ne pro přihlášení k ověřování systému Windows. Určuje identifikátor SID nového přihlášení k ověřování SQL Serveru. Pokud se tato možnost nepoužívá, SQL Server automaticky přiřadí identifikátor SID. Struktura SID závisí na verzi SQL Serveru. SID přihlášení k SQL Serveru: hodnota literálu 16 bajtů (binary(16)) na základě identifikátoru GUID. Například SID = 0x14585E90117152449347750164BA00A7.

DEFAULT_DATABASE = databáze

Určuje výchozí databázi, která se má přiřadit k přihlášení. Pokud tato možnost není zahrnutá, výchozí databáze je nastavená na master.

DEFAULT_LANGUAGE =jazyk

Určuje výchozí jazyk, který se má přiřadit k přihlášení. Pokud tato možnost není zahrnutá, výchozí jazyk je nastavený na aktuální výchozí jazyk serveru. Pokud se později změní výchozí jazyk serveru, výchozí jazyk přihlášení zůstane beze změny.

CHECK_EXPIRATION = { ON | VYPNUTO }

Platí jenom pro přihlášení k SQL Serveru. Určuje, jestli se při tomto přihlášení mají vynucovat zásady vypršení platnosti hesla. Výchozí hodnota je VYPNUTÁ.

CHECK_POLICY = { ON | VYPNUTO }

Platí jenom pro přihlášení k SQL Serveru. Určuje, že pro toto přihlášení by se měly vynutit zásady hesel systému Windows počítače, na kterém běží SQL Server. Výchozí hodnota je ZAPNUTÁ.

Pokud zásady Windows vyžadují silná hesla, hesla musí obsahovat alespoň tři z následujících čtyř charakteristik:

Velké písmeno (A-Z).
Malá písmena (a-z).
Číslice (0–9).
Jeden z neosamocených znaků, například mezera, _, @, *, ^, %, !, $, #, nebo &.

WINDOWS

Určuje, že se přihlášení mapuje na přihlášení k systému Windows.

OD EXTERNÍHO POSKYTOVATELE

Určuje, že přihlášení je namapováno na objekt zabezpečení Microsoft Entra. Tato možnost je dostupná pro SQL Server s podporou arc 2022 a novější verze. Další informace najdete v tématu ověřování Microsoft Entra pro SQL Server

název certifikátu

Určuje název certifikátu, který se má přidružit k tomuto přihlášení. Tento certifikát již musí nastat v databázi master.

ASYMETRICKÉ KLÍČOVÉ asym_key_name

Určuje název asymetrického klíče, který se má přidružit k tomuto přihlášení. Tento klíč již musí nastat v databázi master.

Poznámky

V heslech se rozlišují malá a velká písmena.
Předběžné vytváření hesel se podporuje jenom při vytváření přihlášení k SQL Serveru.
Pokud je zadán MUST_CHANGE, musí být CHECK_EXPIRATION a CHECK_POLICY nastaveny na ON. V opačném případě příkaz selže.
Kombinace CHECK_POLICY = OFF a CHECK_EXPIRATION = ON se nepodporuje.
Pokud je CHECK_POLICY nastavena na OFF, lockout_time je resetována a CHECK_EXPIRATION je nastavena na OFF.

Důležitý

CHECK_EXPIRATION a CHECK_POLICY se vynucují jenom v systémech Windows Server 2003 a novějších verzích. Další informace najdete v tématu zásady hesel.

Přihlášení vytvořená z certifikátů nebo asymetrických klíčů se používají jenom pro podepisování kódu. Nejde je použít k připojení k SQL Serveru. Přihlášení můžete vytvořit z certifikátu nebo asymetrického klíče pouze tehdy, když certifikát nebo asymetrický klíč již v masterexistuje .
Skript pro přenos přihlášení naleznete v tématu Jak přenést přihlášení a hesla mezi instancemi SYSTÉMU SQL Server 2005 a SQL Server 2008.
Vytvoření přihlášení automaticky povolí nové přihlášení a udělí přihlašovací úrovni serveru CONNECT SQL oprávnění.
Režim ověřování serveru musí odpovídat typu přihlášení, aby byl povolen přístup.
Informace o návrhu systému oprávnění naleznete v tématu Začínáme s oprávněními databázového stroje.

Dovolení

Přihlášení můžou vytvářet jenom uživatelé s oprávněním ALTER ANY LOGIN na serveru nebo členství v roli securityadmin pevné role serveru. Další informace naleznete v tématu Server-Level role a ALTER SERVER ROLE.
Pokud se používá možnost PŘIHLAŠOVACÍ ÚDAJE, vyžaduje také ALTER ANY CREDENTIAL oprávnění na serveru.

Oprávnění pro SQL Server 2022 a novější

Vyžaduje oprávnění CREATE LOGIN na serveru nebo členství v ##MS_LoginManager## pevné roli serveru.

Po vytvoření přihlášení se přihlášení může připojit k SQL Serveru, ale má udělená oprávnění pouze veřejné roli. Zvažte provedení některých z následujících aktivit.

Pokud se chcete připojit k databázi, vytvořte uživatele databáze pro přihlášení. Další informace naleznete v tématu CREATE USER.
Vytvořte roli serveru definovanou uživatelem pomocí CREATE SERVER ROLE. Pomocí ALTER SERVER ROLE ... ADD MEMBER přidejte nové přihlášení do role serveru definované uživatelem. Další informace naleznete v tématu CREATE SERVER ROLE a ALTER SERVER ROLE.
Pomocí sp_addsrvrolemember můžete přidat přihlášení k pevné roli serveru. Další informace najdete v tématu Server-Level Role a sp_addsrvrolemember.
Pomocí příkazu GRANT udělte oprávnění na úrovni serveru pro nové přihlášení nebo roli obsahující přihlášení. Další informace naleznete v tématu GRANT.

Příklady

Následující příklad vytvoří přihlášení pro konkrétního uživatele a přiřadí heslo.

CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>';
GO

Následující příklad vytvoří přihlášení pro konkrétního uživatele a přiřadí heslo. Možnost MUST_CHANGE vyžaduje, aby uživatelé toto heslo změnili při prvním připojení k serveru.

platí pro: SQL Server 2008 (10.0.x) a novější verze.

CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>'
    MUST_CHANGE, CHECK_EXPIRATION = ON;
GO

Poznámka

Možnost MUST_CHANGE nelze použít, pokud je CHECK_EXPIRATION vypnutá.

Následující příklad vytvoří přihlášení pro konkrétního uživatele pomocí uživatele. Toto přihlášení se mapuje na přihlašovací údaje.

platí pro: SQL Server 2008 (10.0.x) a novější verze.

CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>',
    CREDENTIAL = <credentialName>;
GO

Následující příklad vytvoří přihlášení pro konkrétního uživatele z certifikátu v master.

platí pro: SQL Server 2008 (10.0.x) a novější verze.

USE MASTER;
CREATE CERTIFICATE <certificateName>
    WITH SUBJECT = '<login_name> certificate in master database',
    EXPIRY_DATE = '12/05/2025';
GO
CREATE LOGIN <login_name> FROM CERTIFICATE <certificateName>;
GO

Následující příklad vytvoří přihlášení z účtu domény Systému Windows.

platí pro: SQL Server 2008 (10.0.x) a novější verze.

CREATE LOGIN [<domainName>\<login_name>] FROM WINDOWS;
GO

Následující příklad nejprve vytvoří přihlášení k ověřování SQL Serveru a určí identifikátor SID přihlášení.

CREATE LOGIN TestLogin WITH PASSWORD = 'SuperSecret52&&';
SELECT name, sid FROM sys.sql_logins WHERE name = 'TestLogin';
GO

Dotaz vrátí 0x241C11948AEEB749B0D22646DB1A19F2 jako identifikátor SID. Dotaz vrátí jinou hodnotu. Následující příkazy odstraní přihlášení a znovu vytvoří přihlášení. Použijte identifikátor SID z předchozího dotazu.

DROP LOGIN TestLogin;
GO

CREATE LOGIN TestLogin
WITH PASSWORD = 'SuperSecret52&&', SID = 0x241C11948AEEB749B0D22646DB1A19F2;

SELECT * FROM sys.sql_logins WHERE name = 'TestLogin';
GO

Následující příklad ukazuje, jak řetězec více argumentů dohromady pomocí čárky mezi jednotlivými argumenty. Nahraďte <password> platným heslem.

CREATE LOGIN [MyUser]
WITH PASSWORD = '<password>',
DEFAULT_DATABASE = MyDatabase,
CHECK_POLICY = OFF,
CHECK_EXPIRATION = OFF ;

Následující příklad ukazuje, jak vytvořit přihlášení SQL se stejným heslem jako existující přihlášení jako při migraci scénáře migrace. Prvním krokem je načtení hodnoty hash hesla z existujících přihlášení na zdrojovém databázovém serveru. Pak se stejná hodnota hash použije k vytvoření přihlášení na novém databázovém serveru. Tímto způsobem bude mít nové přihlášení stejné heslo jako na starém serveru.

-- run this to retrieve the password hash for an individual Login:
SELECT LOGINPROPERTY('Andreas','PASSWORDHASH') AS password_hash;
-- as an alternative, the catalog view sys.sql_logins can be used to retrieve the password hashes for multiple accounts at once. (This could be used to create a dynamic sql statement from the result set
SELECT name, password_hash
FROM sys.sql_logins
  WHERE
    principal_id > 1    -- excluding sa
    AND
    name NOT LIKE '##MS_%##' -- excluding special MS system accounts
-- create the new SQL Login on the new database server using the hash of the source server
CREATE LOGIN Andreas
  WITH PASSWORD = 0x02000A1A89CD6C6E4C8B30A282354C8EA0860719D5D3AD05E0CAE1952A1C6107A4ED26BEBA2A13B12FAB5093B3CC2A1055910CC0F4B9686A358604E99BB9933C75B4EA48FDEA HASHED;

Následující příklad vytvoří přihlášení pro účet Microsoft Entra joe@contoso.onmicrosoft.com, který existuje v tenantovi Microsoft Entra s názvem contoso.

CREATE LOGIN [joe@contoso.onmicrosoft.com] FROM EXTERNAL PROVIDER

GO

Následující příklad vytvoří přihlášení pro federovaný účet Microsoft Entra bob@contoso.com, který existuje v tenantovi s názvem contoso. Uživatel bob může být také uživatelem typu host.

CREATE LOGIN [bob@contoso.com] FROM EXTERNAL PROVIDER
GO

Následující příklad vytvoří přihlášení pro skupinu Microsoft Entra mygroup, která existuje v tenantovi contoso.

CREATE LOGIN [mygroup] FROM EXTERNAL PROVIDER
GO

Následující příklad vytvoří přihlášení pro aplikaci Microsoft Entra myapp, která existuje v tenantovi contoso.

CREATE LOGIN [myapp] FROM EXTERNAL PROVIDER

* Azure SQL Database *

Azure SQL
spravované instance

Azure Synapse
analýzy

SQL Database

Další informace o připojení a autorizaci ke službě Azure SQL Database najdete tady:

nastavení připojení pro službu Azure SQL Database
Autorizace přístupu k databázi ke službě SQL Database

Syntax

-- Syntax for Azure SQL Database
CREATE LOGIN login_name
  { 
    FROM EXTERNAL PROVIDER [WITH OBJECT_ID = 'objectid'] 
    | WITH <option_list> [,..] 
  }

<option_list> ::=
    PASSWORD = { 'password' }
    [ , SID = sid ]

Argumenty

login_name

Poznámka

instanční objekty serveru Microsoft Entra (přihlášení) jsou aktuálně ve verzi Public Preview pro Azure SQL Database.

Při použití s klauzulí FROM EXTERNAL PROVIDER určuje přihlášení instanční objekt Microsoft Entra, což je uživatel, skupina nebo aplikace Microsoft Entra. V opačném případě přihlášení představuje název vytvořeného přihlášení SQL.

Uživatelé a instanční objekty Microsoft Entra, které jsou členy více než 2048 skupin zabezpečení Microsoft Entra, nejsou podporovány pro přihlášení k databázi ve službě SQL Database, SQL Managed Instance nebo Azure Synapse.

OD EXTERNÍHO POSKYTOVATELE

Určuje, že přihlášení je určené pro ověřování Microsoft Entra.

WITH OBJECT_ID = "objectid"

Určuje ID objektu Microsoft Entra. Pokud je zadaný OBJECT_ID, login_name se nevyžaduje, aby odpovídala zobrazovaného názvu Microsoft Entra. Login_name musí být jedinečným názvem v zobrazení sys.server_principals a dodržovat všechna ostatní omezení sysname. Další informace o použití možnosti WITH OBJECT_ID naleznete v tématu Přihlášení a uživatelé Microsoft Entra s neunique zobrazovanými jmény.

Poznámka

Pokud zobrazovaný název instančního objektu není duplicitní, měli byste použít výchozí CREATE LOGIN nebo příkaz CREATE USER. Rozšíření WITH OBJECT_ID je řešení potíží s opravou položky implementované pro použití s neunique instančními objekty. Použití s jedinečným instančním objektem se nedoporučuje. Použití rozšíření WITH OBJECT_ID pro instanční objekt bez přidání přípony se úspěšně spustí, ale nebude zřejmé, pro který instanční objekt se vytvořil přihlášení nebo uživatel. Doporučujeme vytvořit alias pomocí přípony k jednoznačné identifikaci instančního objektu. Rozšíření WITH OBJECT_ID není podporováno pro SQL Server.

PASSWORD ='password'

Určuje heslo pro vytvářené přihlášení SQL. Použijte silné heslo. Další informace naleznete v tématu silné hesla a zásady hesel. Od SQL Serveru 2012 (11.x) se uložené informace o hesle počítají pomocí SHA-512 solného hesla.

SID = sid

Slouží k opětovnému vytvoření přihlášení. Platí jenom pro přihlášení k ověřování SQL Serveru, ne pro přihlášení k ověřování systému Windows. Určuje identifikátor SID nového přihlášení k ověřování SQL Serveru. Pokud se tato možnost nepoužívá, SQL Server automaticky přiřadí identifikátor SID. Struktura SID závisí na verzi SQL Serveru. Pro SQL Database se jedná o literál 32 bajtů (binary(32)) skládající se z 0x01060000000000640000000000000000 plus 16 bajtů představující identifikátor GUID. Například SID = 0x0106000000000064000000000000000014585E90117152449347750164BA00A7.

Poznámky

V heslech se rozlišují malá a velká písmena.
Vytvoření přihlášení automaticky povolí nové přihlášení a udělí přihlašovací úrovni serveru CONNECT SQL oprávnění.

Důležitý

Informace o práci s přihlášeními a uživateli ve službě Azure SQL Database najdete v tématu Správa přihlášení ve službě Azure SQL Database.

Přihlášení ke službě SQL Database

Příkaz CREATE LOGIN musí být jediným příkazem v dávce.

V některých metodách připojení ke službě SQL Database, například sqlcmd, musíte k přihlašovacímu jménu připojit název serveru služby SQL Database v připojovacím řetězci pomocí <přihlašovacího>@<serveru> zápisu. Pokud je například vaše přihlášení login1 a plně kvalifikovaný název serveru SLUŽBY SQL Database je servername.database.windows.net, měl by být parametr uživatelské jméno připojovacího řetězce login1@servername. Vzhledem k tomu, že celková délka parametru uživatelské jméno je 128 znaků, login_name je omezeno na 127 znaků minus délku názvu serveru. V příkladu může login_name mít délku pouze 117 znaků, protože servername je 10 znaků.

Ve službě SQL Database musíte být připojeni k databázi master s příslušnými oprávněními k vytvoření přihlášení. Další informace najdete v tématu Vytvoření dalších přihlášení a uživatelů s oprávněními správce.

Pravidla SQL Serveru umožňují vytvořit přihlášení k ověřování SYSTÉMU SQL Server ve formátu <přihlašovací jméno>@<název serveru>. Pokud je váš server SLUŽBY SQL Database myazureserver a vaše přihlášení je myemail@contoso.com, musíte zadat své přihlášení jako myemail@contoso.com@myazureserver.

V SQL Database se přihlašovací data potřebná k ověření připojení a pravidel brány firewall na úrovni serveru dočasně ukládají do mezipaměti v každé databázi. Tato mezipaměť se pravidelně aktualizuje. Pokud chcete vynutit aktualizaci mezipaměti ověřování a ujistit se, že databáze má nejnovější verzi tabulky přihlášení, spusťte DBCC FLUSHAUTHCACHE.

Dovolení

Nové přihlášení může vytvářet pouze hlavní přihlášení na úrovni serveru (vytvořené procesem zřizování) nebo členy role databáze loginmanager v databázi master. Další informace najdete v tématu Vytvoření dalších přihlášení a uživatelů s oprávněními správce.

Příklady

Následující příklad vytvoří přihlášení pro konkrétního uživatele a přiřadí heslo. Připojte se k databázím master a pak použijte následující ukázku kódu.

CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>';
GO

Následující příklad nejprve vytvoří přihlášení k ověřování SQL Serveru a určí identifikátor SID přihlášení. Připojte se k databázím master a pak použijte následující ukázku kódu.

CREATE LOGIN TestLogin WITH PASSWORD = 'SuperSecret52&&';

SELECT name, sid FROM sys.sql_logins WHERE name = 'TestLogin';
GO

DROP LOGIN TestLogin;
GO

CREATE LOGIN TestLogin
WITH PASSWORD = 'SuperSecret52&&', SID = 0x241C11948AEEB749B0D22646DB1A19F2;

SELECT * FROM sys.sql_logins WHERE name = 'TestLogin';
GO

Tento příklad vytvoří přihlášení na logickém serveru Azure SQL pomocí přihlašovacích údajů uživatele bob@contoso.com, který existuje v doméně Microsoft Entra s názvem contoso. Připojte se k databázím master a pak použijte následující ukázku kódu.

CREATE LOGIN [bob@contoso.com] FROM EXTERNAL PROVIDER;
GO

Alias pro login_name můžete vytvořit zadáním ID objektu instančního objektu nebo skupiny Microsoft Entra. Připojte se k databázím master a pak použijte následující ukázku kódu.

CREATE LOGIN [myapp4466e] FROM EXTERNAL PROVIDER 
  WITH OBJECT_ID='aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb';

Další informace o získání ID objektu instančního objektu naleznete v tématu instanční objekty v microsoft Entra ID.

* Azure SQL
Spravovaná instance *

Azure Synapse
analýzy

Spravovaná instance Azure SQL

Syntax

-- Syntax for Azure SQL Managed Instance
CREATE LOGIN login_name [FROM EXTERNAL PROVIDER [WITH OBJECT_ID = 'objectid'] ] { WITH <option_list> [,..]}

<option_list> ::=
    PASSWORD = {'password'}
    | SID = sid
    | DEFAULT_DATABASE = database
    | DEFAULT_LANGUAGE = language

Argumenty

login_name

Uživatelé a instanční objekty Microsoft Entra, které jsou členy více než 2048 skupin zabezpečení Microsoft Entra, se nepodporují při přihlašování k databázím ve službě Azure SQL Database, Azure SQL Managed Instance nebo Azure Synapse.

OD EXTERNÍho poskytovatele

Určuje, že přihlášení je určené pro ověřování Microsoft Entra.

WITH OBJECT_ID = "objectid"

Určuje ID objektu Microsoft Entra. Pokud je zadaný OBJECT_ID, může být login_name alias definovaný uživatelem vytvořený z původního zobrazovaného názvu objektu zabezpečení s připojenou příponou. Login_name musí být jedinečným názvem v zobrazení sys.server_principals a dodržovat všechna ostatní omezení sysname. Další informace o použití možnosti WITH OBJECT_ID naleznete v tématu Přihlášení a uživatelé Microsoft Entra s neunique zobrazovanými jmény.

Poznámka

Pokud zobrazovaný název instančního objektu není duplicitní, měli byste použít výchozí CREATE LOGIN nebo příkaz CREATE USER. Rozšíření WITH OBJECT_ID je ve verzi verze Public Previewa jedná se o řešení potíží s opravou položek implementovanou pro použití s neunique instančními objekty. Použití s jedinečným instančním objektem není nutné. Použití rozšíření WITH OBJECT_ID pro instanční objekt bez přidání přípony se úspěšně spustí, ale nebude zřejmé, pro který instanční objekt se vytvořil přihlášení nebo uživatel. Doporučujeme vytvořit alias pomocí přípony k jednoznačné identifikaci instančního objektu. Rozšíření WITH OBJECT_ID není podporováno pro SQL Server.

PASSWORD = 'heslo'

V heslech se rozlišují malá a velká písmena. Hesla by měla mít vždy délku minimálně 10 znaků a nesmí překročit 128 znaků. Hesla můžou obsahovat znaky a-z, A-Z, 0-9 a většinu neosamocených znaků. Hesla nemohou obsahovat jednoduché uvozovky ani login_name.

SID = sid

Slouží k opětovnému vytvoření přihlášení. Platí jenom pro přihlášení k ověřování SQL Serveru. Určuje identifikátor SID nového přihlášení k ověřování SQL Serveru. Pokud se tato možnost nepoužívá, SQL Server automaticky přiřadí identifikátor SID. Struktura SID závisí na verzi SQL Serveru. Pro SQL Database se jedná o literál 32 bajtů (binary(32)) skládající se z 0x01060000000000640000000000000000 plus 16 bajtů představující identifikátor GUID. Například SID = 0x0106000000000064000000000000000014585E90117152449347750164BA00A7.

Poznámky

Syntaxe FROM EXTERNAL PROVIDER vytvoří objekty zabezpečení na úrovni serveru mapované na účty Microsoft Entra.
Při zadání FROM EXTERNAL PROVIDER:
- Login_name musí představovat existující účet Microsoft Entra (uživatel, skupina nebo aplikace), který je přístupný v Microsoft Entra ID aktuální spravované instance Azure SQL. Pro objekty zabezpečení Microsoft Entra vyžaduje syntaxe CREATE LOGIN:
  - UserPrincipalName objektu Microsoft Entra pro uživatele Microsoft Entra.
  - DisplayName objektu Microsoft Entra pro skupiny a aplikace Microsoft Entra.
- Možnost HESLO nelze použít.
Ve výchozím nastavení se při vynechání klauzule FROM EXTERNAL PROVIDER vytvoří běžné přihlášení SQL.
Přihlášení Microsoft Entra jsou viditelná v sys.server_principals, s hodnotou typu sloupce nastavenou na E a type_desc nastavena na EXTERNAL_LOGIN pro přihlášení mapovaná na uživatele Microsoft Entra, nebo zadejte hodnotu sloupce nastavenou na X a type_desc hodnotu nastavenou na EXTERNAL_GROUP pro přihlášení mapovaná na skupiny Microsoft Entra.
Skript pro přenos přihlášení naleznete v tématu Jak přenést přihlášení a hesla mezi instancemi SYSTÉMU SQL Server 2005 a SQL Server 2008.
Vytvoření přihlášení automaticky povolí nové přihlášení a udělí přihlašovací úrovni serveru CONNECT SQL oprávnění.

Důležitý

Informace o práci s přihlášeními a uživateli ve službě Azure SQL Database najdete v tématu Správa přihlášení ve službě Azure SQL Database.

Přihlášení a oprávnění

Nové přihlášení může vytvářet pouze hlavní přihlášení na úrovni serveru (vytvořené procesem zřizování) nebo členy securityadmin nebo sysadmin databázové role v databázi master. Další informace naleznete v tématu Server-Level role a ALTER SERVER ROLE.

Ve výchozím nastavení standardní oprávnění udělené nově vytvořenému přihlášení Microsoft Entra v master je: CONNECT SQL a VIEW ANY DATABASE.

Přihlášení ke službě SQL Managed Instance

Musí mít OPRÁVNĚNÍ ALTER ANY LOGIN na serveru nebo členství v některé z pevných rolí serveru securityadmin nebo sysadmin. Příkaz create může spustit pouze účet Microsoft Entra s ALTER ANY LOGIN na serveru nebo členství v některé z těchto rolí.
Pokud je přihlášení objektem zabezpečení SQL, můžou k vytvoření přihlášení pro účet Microsoft Entra použít příkaz create pouze přihlášení, která jsou součástí role sysadmin.
Musí být členem stejného tenanta Microsoft Entra jako spravovaná instance Azure SQL.

Po vytvoření přihlášení se přihlášení může připojit ke spravované instanci, ale má udělená oprávnění pouze veřejné roli. Zvažte provedení některých z následujících aktivit.

Pokud chcete vytvořit uživatele z přihlášení Microsoft Entra, přečtěte si téma CREATE USER.
Pokud chcete udělit oprávnění uživateli v databázi, použijte příkaz ALTER SERVER ROLE ... ADD MEMBER k přidání uživatele do jedné z předdefinovaných databázových rolí nebo vlastní role nebo udělte uživateli oprávnění přímo pomocí příkazu GRANT. Další informace naleznete v tématu Role bez oprávnění správce, Další role správy na úrovni serveru, ALTER SERVER ROLEa GRANT příkaz.
Pokud chcete udělit oprávnění na úrovni serveru, vytvořte v databázi master uživatele a pomocí příkazu ALTER SERVER ROLE ... ADD MEMBER přidejte uživatele do jedné z rolí serveru pro správu. Další informace naleznete v tématu Server-Level Role a ALTER SERVER ROLEa role serveru .
- Pomocí následujícího příkazu přidejte roli sysadmin do přihlášení Microsoft Entra: ALTER SERVER ROLE sysadmin ADD MEMBER [MS_Entra_login]
Pomocí příkazu GRANT udělte oprávnění na úrovni serveru pro nové přihlášení nebo roli obsahující přihlášení. Další informace naleznete v tématu GRANT.

Omezení

Nastavení přihlášení Microsoft Entra namapované na skupinu Microsoft Entra, protože vlastník databáze není podporován.
Zosobnění přihlášení Microsoft Entra pomocí jiných objektů zabezpečení Microsoft Entra je podporováno, například klauzule EXECUTE AS.
Pouze objekty zabezpečení serveru (přihlášení), které jsou součástí role sysadmin, můžou spouštět následující operace, které cílí na objekty zabezpečení Microsoft Entra:
- SPUSTIT JAKO UŽIVATEL
- SPUSTIT JAKO PŘIHLÁŠENÍ
Externí (host) uživatelé importovaní z jiného adresáře Microsoft Entra není možné přímo nakonfigurovat jako správce Microsoft Entra pro službu SQL Managed Instance pomocí webu Azure Portal. Místo toho připojte externího uživatele k skupině s možností přiřazení role a nakonfigurujte skupinu jako správce instance. K nastavení jednotlivých uživatelů typu host jako správce instance můžete použít PowerShell nebo Azure CLI.
Přihlášení se nereplikují do sekundární instance ve skupině převzetí služeb při selhání. Přihlášení se ukládají do master databáze, což je systémová databáze, a proto se geograficky nereplikuje. Aby bylo možné tento problém vyřešit, musí se přihlašovací údaje vytvořit se stejným identifikátorem SID v sekundární instanci.

-- Code to create login on the secondary instance
CREATE LOGIN foo WITH PASSWORD = '<enterStrongPasswordHere>', SID = <login_sid>;

Příklady

Následující příklad vytvoří přihlášení pro konkrétního uživatele a přiřadí heslo.

CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>';
GO

Následující příklad nejprve vytvoří přihlášení k ověřování SQL Serveru a určí identifikátor SID přihlášení.

CREATE LOGIN TestLogin WITH PASSWORD = 'SuperSecret52&&';

SELECT name, sid FROM sys.sql_logins WHERE name = 'TestLogin';
GO

DROP LOGIN TestLogin;
GO

CREATE LOGIN TestLogin
WITH PASSWORD = 'SuperSecret52&&', SID = 0x241C11948AEEB749B0D22646DB1A19F2;

SELECT * FROM sys.sql_logins WHERE name = 'TestLogin';
GO

Následující příklad vytvoří přihlášení pro účet Microsoft Entra joe@contoso.onmicrosoft.com, který existuje v tenantovi s názvem contoso.

CREATE LOGIN [joe@contoso.onmicrosoft.com] FROM EXTERNAL PROVIDER

GO

CREATE LOGIN [bob@contoso.com] FROM EXTERNAL PROVIDER
GO

Následující příklad vytvoří přihlášení pro skupinu Microsoft Entra mygroup, která existuje v tenantovi contoso.

CREATE LOGIN [mygroup] FROM EXTERNAL PROVIDER
GO

Následující příklad vytvoří přihlášení pro aplikaci Microsoft Entra myapp, která existuje v tenantovi contoso.

CREATE LOGIN [myapp] FROM EXTERNAL PROVIDER

G. Kontrola nově přidaných přihlášení

Pokud chcete zkontrolovat nově přidané přihlášení, spusťte následující příkaz T-SQL:

SELECT *
FROM sys.server_principals;
GO

Azure SQL
spravované instance

* Azure Synapse
Analýza *

Azure Synapse Analytics

Syntax

-- Syntax for Azure Synapse Analytics
CREATE LOGIN login_name
  { 
    FROM EXTERNAL PROVIDER
    | WITH <option_list> [,..] 
  }

<option_list> ::=
    PASSWORD = { 'password' }
    [ , SID = sid ]

Argumenty

Poznámka

objekty zabezpečení serveru Microsoft Entra (přihlášení) jsou aktuálně ve verzi Preview.

Uživatelé a instanční objekty Microsoftu (aplikace Microsoft Entra), které jsou členy více než 2048 skupin zabezpečení Microsoft Entra, nejsou podporovány pro přihlášení k databázi ve službě SQL Database, SQL Managed Instance nebo Azure Synapse.

OD EXTERNÍHO POSKYTOVATELE

Určuje, že přihlášení je určené pro ověřování Microsoft Entra.

login_name

Určuje název vytvořeného přihlášení. SQL Analytics v Azure Synapse podporuje pouze přihlášení SQL. Pokud chcete vytvořit účty pro uživatele Microsoft Entra, použijte příkaz CREATE USER.

PASSWORD ='password'

SID = sid

Slouží k opětovnému vytvoření přihlášení. Platí jenom pro přihlášení k ověřování SQL Serveru, ne pro přihlášení k ověřování systému Windows. Určuje identifikátor SID nového přihlášení k ověřování SQL Serveru. Pokud se tato možnost nepoužívá, SQL Server automaticky přiřadí identifikátor SID. Struktura SID závisí na verzi SQL Serveru. Pro SQL Analytics se jedná o literál 32 bajtů (binary(32)) skládající se z 0x01060000000000640000000000000000 plus 16 bajtů představující identifikátor GUID. Například SID = 0x0106000000000064000000000000000014585E90117152449347750164BA00A7.

Poznámky

V heslech se rozlišují malá a velká písmena.
Skript pro přenos přihlášení naleznete v tématu Jak přenést přihlášení a hesla mezi instancemi SYSTÉMU SQL Server 2005 a SQL Server 2008.
Vytvoření přihlášení automaticky povolí nové přihlášení a udělí přihlašovací úrovni serveru CONNECT SQL oprávnění.
Režim ověřování serveru musí odpovídat typu přihlášení, aby byl povolen přístup.
Informace o návrhu systému oprávnění naleznete v tématu Začínáme s oprávněními databázového stroje.

Přihlášení

Příkaz CREATE LOGIN musí být jediným příkazem v dávce.

Při připojování k Azure Synapse pomocí nástrojů, jako je sqlcmd, musíte k přihlašovacímu jménu v připojovacím řetězci připojit název serveru SQL Analytics pomocí <přihlašovacího>@<serveru> zápisu. Pokud je například vaše přihlášení login1 a plně kvalifikovaný název serveru SQL Analytics je servername.database.windows.net, uživatelské jméno parametr připojovacího řetězce by měl být login1@servername. Vzhledem k tomu, že celková délka parametru uživatelské jméno je 128 znaků, login_name je omezeno na 127 znaků minus délku názvu serveru. V příkladu může login_name mít délku pouze 117 znaků, protože servername je 10 znaků.

Pokud chcete vytvořit přihlášení, musíte být připojení k master databázi.

Přihlašovací data potřebná k ověření připojení a pravidel brány firewall na úrovni serveru se dočasně ukládají do mezipaměti v každé databázi. Tato mezipaměť se pravidelně aktualizuje. Pokud chcete vynutit aktualizaci mezipaměti ověřování a ujistit se, že databáze má nejnovější verzi tabulky přihlášení, spusťte DBCC FLUSHAUTHCACHE.

Další informace o přihlášeních najdete v tématu Správa databází a přihlášení.

Dovolení

Nové přihlášení může vytvářet pouze hlavní přihlášení na úrovni serveru (vytvořené procesem zřizování) nebo členy role databáze loginmanager v databázi master. Další informace naleznete v tématu Server-Level role a ALTER SERVER ROLE.

Po vytvoření přihlášení se může přihlášení připojit k Azure Synapse, ale má udělená oprávnění pouze k veřejné roli. Zvažte provedení některých z následujících aktivit.

Pokud se chcete připojit k databázi, vytvořte uživatele databáze pro přihlášení. Další informace naleznete v tématu CREATE USER.
Pokud chcete udělit oprávnění uživateli v databázi, použijte příkaz ALTER SERVER ROLE ... ADD MEMBER k přidání uživatele do jedné z předdefinovaných databázových rolí nebo vlastní role nebo udělte uživateli oprávnění přímo pomocí příkazu GRANT. Další informace naleznete v tématu Role bez oprávnění správce, Další role správy na úrovni serveru, ALTER SERVER ROLEa GRANT příkaz.
Pokud chcete udělit oprávnění na úrovni serveru, vytvořte v databázi master uživatele a pomocí příkazu ALTER SERVER ROLE ... ADD MEMBER přidejte uživatele do jedné z rolí serveru pro správu. Další informace naleznete v tématu Server-Level Role a ALTER SERVER ROLEa role serveru .
Pomocí příkazu GRANT udělte oprávnění na úrovni serveru pro nové přihlášení nebo roli obsahující přihlášení. Další informace naleznete v tématu GRANT.

Příklady

Následující příklad vytvoří přihlášení pro konkrétního uživatele a přiřadí heslo.

CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>';
GO

Následující příklad nejprve vytvoří přihlášení k ověřování SQL Serveru a určí identifikátor SID přihlášení.

CREATE LOGIN TestLogin WITH PASSWORD = 'SuperSecret52&&';

SELECT name, sid FROM sys.sql_logins WHERE name = 'TestLogin';
GO

DROP LOGIN TestLogin;
GO

CREATE LOGIN TestLogin
WITH PASSWORD = 'SuperSecret52&&', SID = 0x241C11948AEEB749B0D22646DB1A19F2;

SELECT * FROM sys.sql_logins WHERE name = 'TestLogin';
GO