Choix d'un mode d'authentification
Pendant l'installation, vous devez sélectionner un mode d'authentification pour le moteur de base de données. Vous avez deux modes à votre disposition : le mode mixte et le mode d'authentification Windows. Le mode d'authentification Windows active l'authentification Windows et désactive l'authentification SQL Server. Le mode mixte active à la fois l'authentification Windows et l'authentification SQL Server. L'authentification Windows est toujours disponible et ne peut pas être désactivée.
Configuration du mode d'authentification
Si vous sélectionnez le mode d'authentification mixte au cours de l'installation, vous devez fournir, puis confirmer, un mot de passe fort pour le compte d'administrateur système SQL Server intégré appelé sa. Le compte sa se connecte à l'aide de l'authentification SQL Server.
Si vous sélectionnez l'authentification Windows au cours de l'installation, le programme d'installation crée le compte sa pour l'authentification SQL Server mais celui-ci est désactivé. Si vous passez ultérieurement en mode d'authentification mixte et que vous souhaitez utiliser le compte sa, vous devez d'abord l'activer. Tout compte Windows ou SQL Server peut être configuré en tant qu'administrateur système. Étant donné que le compte sa est connu et qu'il est souvent la cible d'utilisateurs malveillants, ne l'activez pas à moins que votre application n'en ait besoin. N'attribuez jamais de mot de passe vide ou faible au compte sa. Pour passer du mode d'authentification Windows au mode d'authentification mixte et utiliser l'authentification SQL Server, consultez Procédure : modifier le mode d'authentification du serveur.
Connexion via l'authentification Windows
Quand un utilisateur se connecte par le biais d'un compte d'utilisateur Windows, SQL Server valide le nom et le mot de passe du compte à l'aide du jeton de l'entité de sécurité Windows du système d'exploitation. Autrement dit, l'identité de l'utilisateur est confirmée par Windows. SQL Server ne demande pas le mot de passe et n'effectue pas de validation d'identité. L'authentification Windows, qui est le mode d'authentification par défaut, offre une sécurité très supérieure à l'authentification SQL Server. L'authentification Windows utilise le protocole de sécurité Kerberos, met en œuvre des stratégies de mot de passe portant sur la validation de la complexité des mots de passe forts et prend en charge le verrouillage des comptes et l'expiration des mots de passe. Une connexion établie à l'aide de l'authentification Windows est parfois appelée une connexion approuvée car SQL Server approuve les informations d'identification fournies par Windows.
Remarque relative à la sécurité |
---|
Lorsque c'est possible, utilisez l'authentification Windows. |
Connexion via l'authentification SQL Server
Lors de l'utilisation de l'authentification SQL Server, les connexions créées dans SQL Server ne sont pas basées sur des comptes d'utilisateurs Windows. Le nom d'utilisateur et le mot de passe sont créés à l'aide de SQL Server et stockés dans SQL Server. Les utilisateurs qui recourent à l'authentification SQL Server doivent fournir leurs informations d'identification (nom de connexion et mot de passe) à chaque fois qu'ils se connectent. Lorsque vous utilisez l'authentification SQL Server, vous devez attribuer des mots de passe forts à tous les comptes SQL Server. Pour obtenir des conseils sur les mots de passe forts, consultez Configuration du moteur de base de données – Mise en service de compte.
Trois stratégies de mot de passe facultatives sont disponibles pour les connexions SQL Server.
L'utilisateur doit changer de mot de passe à la prochaine connexion
Oblige l'utilisateur à changer de mot de passe la prochaine fois qu'il se connecte. La possibilité de changer de mot de passe est fournie par SQL Server Management Studio. Les développeurs de logiciels tiers doivent fournir cette fonctionnalité si cette option est utilisée.
Conserver l'expiration du mot de passe
La stratégie relative à la durée de vie maximale des mots de passe de l'ordinateur est appliquée aux connexions SQL Server.
Conserver la stratégie de mot de passe
Les stratégies de mot de passe Windows de l'ordinateur sont appliquées aux connexions SQL Server. Elles prennent notamment en compte la longueur et la complexité des mots de passe. Cette fonctionnalité dépend de l'API NetValidatePasswordPolicy disponible uniquement dans Windows Server 2003 et versions ultérieures.
Pour déterminer les stratégies de mot de passe de l'ordinateur local
Dans le menu Démarrer, cliquez sur Exécuter.
Dans la boîte de dialogue Exécuter, tapez secpol.msc, puis cliquez sur OK.
Dans l'application Paramètres de sécurité locale, développez Paramètres de sécurité, Stratégies de comptes, puis cliquez sur Stratégie de mot de passe.
Les stratégies de mot de passe sont décrites dans le volet de résultats.
Inconvénients de l'authentification SQL Server
Si l'utilisateur possède un compte de domaine Windows avec un nom de connexion et un mot de passe pour Windows, il doit encore fournir un autre nom de connexion et un autre mot de passe (SQL Server) pour se connecter. Pour de nombreux utilisateurs, il est difficile de gérer plusieurs noms et plusieurs mots de passe. Devoir fournir des informations d'identification SQL Server à chaque connexion à la base de données peut s'avérer fastidieux.
L'authentification SQL Server ne peut pas utiliser le protocole de sécurité Kerberos.
Windows offre des stratégies de mot de passe supplémentaires qui ne sont pas disponibles pour les connexions SQL Server.
Avantages de l'authentification SQL Server
Permet à SQL Server de prendre en charge des applications anciennes ou tierces qui nécessitent l'authentification SQL Server.
Permet à SQL Server de prendre en charge des environnements contenant des systèmes d'exploitation mixtes, où tous les utilisateurs ne sont pas authentifiés par un domaine Windows.
Permet aux utilisateurs de se connecter à partir de domaines inconnus ou non approuvés. Par exemple, une application où les clients établis se connectent avec des noms de connexion SQL Server assignés pour recevoir l'état de leur commande.
Permet à SQL Server de prendre en charge des applications Web où les utilisateurs créent leur propre identité.
Permet aux développeurs de logiciels de distribuer leurs applications en utilisant une hiérarchie d'autorisations complexe, basée sur des connexions SQL Server connues et prédéfinies.
[!REMARQUE]
L'utilisation de l'authentification SQL Server ne limite pas les autorisations des administrateurs locaux sur l'ordinateur où SQL Server est installé.