CREATE LOGIN (Transact-SQL)

SQL Server

Syntaxis

-- Syntax for SQL Server
CREATE LOGIN login_name { WITH <option_list1> | FROM <sources> }

<option_list1> ::=
    PASSWORD = { 'password' | hashed_password HASHED } [ MUST_CHANGE ]
    [ , <option_list2> [ ,... ] ]

<option_list2> ::=
    SID = sid
    | DEFAULT_DATABASE = database
    | DEFAULT_LANGUAGE = language
    | CHECK_EXPIRATION = { ON | OFF}
    | CHECK_POLICY = { ON | OFF}
    | CREDENTIAL = credential_name

<sources> ::=
    WINDOWS [ WITH <windows_options>[ ,... ] ]
    | EXTERNAL PROVIDER
    | CERTIFICATE certname
    | ASYMMETRIC KEY asym_key_name

<windows_options> ::=
    DEFAULT_DATABASE = database
    | DEFAULT_LANGUAGE = language

Argumenten

login_name

Hiermee geeft u de naam van de aanmelding die wordt gemaakt. Er zijn vijf typen aanmeldingen: SQL Server-aanmeldingen, Windows-aanmeldingen, Microsoft Entra-aanmeldingen, certificaattoewijzingen en asymmetrische aanmeldingen.

Wanneer u aanmeldingen maakt die zijn toegewezen vanuit een Windows-domeinaccount, moet u de aanmeldingsnaam gebruiken in de notatie [<domeinnaam>\<login_name>]. U kunt geen UPN gebruiken in de indeling login_name@DomainName. Zie voorbeeld E verderop in dit artikel voor een voorbeeld. Verificatieaanmeldingen zijn type sysname en moeten voldoen aan de regels voor id's en mogen geen backslash () bevatten. Windows-aanmeldingen kunnen een '\' bevatten. Aanmeldingen op basis van Active Directory-gebruikers zijn beperkt tot namen van minder dan 21 tekens.

Wanneer u de FROM EXTERNAL PROVIDER component gebruikt, moet de aanmeldingsnaam overeenkomen met de weergavenaam van een bestaande Microsoft Entra-principal in dezelfde tenant waarvoor het SQL-exemplaar arc is ingeschakeld. Microsoft Entra-gebruikers, -groepen en -toepassingen kunnen worden gebruikt om aanmeldingen te maken.

PASSWORD ='wachtwoord'

Alleen van toepassing op SQL Server-aanmeldingen. Hiermee geeft u het wachtwoord op voor de aanmelding die wordt gemaakt. Gebruik een sterk wachtwoord. Zie sterke wachtwoorden en wachtwoordbeleidvoor meer informatie. Vanaf SQL Server 2012 (11.x) wordt opgeslagen wachtwoordgegevens berekend met SHA-512 van het gezouten wachtwoord.

Wachtwoorden zijn hoofdlettergevoelig. Wachtwoorden moeten altijd ten minste acht tekens lang zijn en mogen niet langer zijn dan 128 tekens. Wachtwoorden kunnen a-z, A-Z, 0-9 en de meeste niet-phanumerische tekens bevatten. Wachtwoorden mogen geen enkele aanhalingstekens of de login_namebevatten.

PASSWORD = hashed_password

Alleen van toepassing op het trefwoord HASHED. Hiermee geeft u de gehashte waarde van het wachtwoord voor de aanmelding die wordt gemaakt.

HASHED

Alleen van toepassing op SQL Server-aanmeldingen. Hiermee geeft u op dat het wachtwoord dat is ingevoerd nadat het argument PASSWORD al is gehasht. Als deze optie niet is geselecteerd, wordt de tekenreeks die als wachtwoord is ingevoerd, gehasht voordat deze wordt opgeslagen in de database. Deze optie mag alleen worden gebruikt voor het migreren van databases van de ene server naar de andere. Gebruik de optie HASHED niet om nieuwe aanmeldingen te maken. De optie HASHED kan niet worden gebruikt met hashes die zijn gemaakt door SQL 7 of eerder.

MUST_CHANGE

Alleen van toepassing op SQL Server-aanmeldingen. Als deze optie is opgenomen, vraagt SQL Server de gebruiker om een nieuw wachtwoord wanneer de nieuwe aanmelding voor het eerst wordt gebruikt.

CREDENTIAL =credential_name

De naam van een referentie die moet worden toegewezen aan de nieuwe SQL Server-aanmelding. De referentie moet al aanwezig zijn op de server. Deze optie koppelt momenteel alleen de referenties aan een aanmelding. Een referentie kan niet worden toegewezen aan de aanmelding van de systeembeheerder (sa).

SID = sid

Wordt gebruikt om een aanmelding opnieuw te maken. Is alleen van toepassing op aanmeldingen voor SQL Server-verificatie, niet voor Aanmeldingen met Windows-verificatie. Hiermee geeft u de SID van de nieuwe SQL Server-verificatieaanmelding. Als deze optie niet wordt gebruikt, wijst SQL Server automatisch een SID toe. De SID-structuur is afhankelijk van de SQL Server-versie. SQL Server-aanmeldings-SID: een letterlijke waarde van 16 byte (binary(16)) op basis van een GUID. Bijvoorbeeld SID = 0x14585E90117152449347750164BA00A7.

DEFAULT_DATABASE =database-

Hiermee geeft u de standaarddatabase moet worden toegewezen aan de aanmelding. Als deze optie niet is opgenomen, wordt de standaarddatabase ingesteld op master.

DEFAULT_LANGUAGE =taal

Hiermee geeft u de standaardtaal die moet worden toegewezen aan de aanmelding. Als deze optie niet is opgenomen, wordt de standaardtaal ingesteld op de huidige standaardtaal van de server. Als de standaardtaal van de server later wordt gewijzigd, blijft de standaardtaal van de aanmelding ongewijzigd.

CHECK_EXPIRATION = { AAN | UIT }

Alleen van toepassing op SQL Server-aanmeldingen. Hiermee geeft u op of het wachtwoordverloopbeleid moet worden afgedwongen bij deze aanmelding. De standaardwaarde is UIT.

CHECK_POLICY = { ON | UIT }

Alleen van toepassing op SQL Server-aanmeldingen. Hiermee geeft u op dat het Windows-wachtwoordbeleid van de computer waarop SQL Server wordt uitgevoerd, moet worden afgedwongen bij deze aanmelding. De standaardwaarde is AAN.

Als het Windows-beleid sterke wachtwoorden vereist, moeten wachtwoorden ten minste drie van de volgende vier kenmerken bevatten:

Een hoofdletter (A-Z).
Een kleine letter (a-z).
Een cijfer (0-9).
Een van de niet-phanumerische tekens, zoals een spatie, _, @, *, ^, %, !, $, #, #of &.

RAMEN

Hiermee geeft u op dat de aanmelding wordt toegewezen aan een Windows-aanmelding.

VAN EXTERNE PROVIDER

Hiermee geeft u op dat de aanmelding is toegewezen aan een Microsoft Entra-principal. Deze optie is beschikbaar voor SQL Server 2022 en latere versies met Arc. Zie Microsoft Entra-verificatie voor SQL Server- voor meer informatie

CERTIFICAAT certificaatnaam

Hiermee geeft u de naam op van een certificaat dat moet worden gekoppeld aan deze aanmelding. Dit certificaat moet al voorkomen in de master-database.

ASYMMETRISCHE SLEUTEL asym_key_name

Hiermee geeft u de naam op van een asymmetrische sleutel die moet worden gekoppeld aan deze aanmelding. Deze sleutel moet al voorkomen in de master-database.

Opmerkingen

Wachtwoorden zijn hoofdlettergevoelig.
Prehashing van wachtwoorden wordt alleen ondersteund wanneer u SQL Server-aanmeldingen maakt.
Als MUST_CHANGE is opgegeven, moeten CHECK_EXPIRATION en CHECK_POLICY worden ingesteld op ON. Anders mislukt de instructie.
Een combinatie van CHECK_POLICY = OFF en CHECK_EXPIRATION = ON wordt niet ondersteund.
Wanneer CHECK_POLICY is ingesteld op OFF, wordt lockout_time opnieuw ingesteld en wordt CHECK_EXPIRATION ingesteld op OFF.

Belangrijk

CHECK_EXPIRATION en CHECK_POLICY worden alleen afgedwongen in Windows Server 2003 en latere versies. Zie Wachtwoordbeleidvoor meer informatie.

Aanmeldingen die zijn gemaakt op basis van certificaten of asymmetrische sleutels, worden alleen gebruikt voor het ondertekenen van code. Ze kunnen niet worden gebruikt om verbinding te maken met SQL Server. U kunt een aanmelding alleen maken vanaf een certificaat of asymmetrische sleutel wanneer het certificaat of de asymmetrische sleutel al bestaat in master.
Zie How to transfer the logins and the passwords between instances of SQL Server 2005 and SQL Server 2008voor een script voor het overdragen van aanmeldingen.
Als u een aanmelding maakt, wordt de nieuwe aanmelding automatisch ingeschakeld en wordt de aanmelding verleend op serverniveau CONNECT SQL-machtiging.
De verificatiemodus van de server moet overeenkomen met het aanmeldingstype om toegang te verlenen.
Zie Aan de slag met database-enginemachtigingenvoor informatie over het ontwerpen van een machtigingssysteem.

Machtigingen

Alleen gebruikers met ALTER ANY LOGIN machtiging op de server of lidmaatschap van de securityadmin vaste serverrol kunnen aanmeldingen maken. Zie Server-Level functies en ALTER SERVER ROLEvoor meer informatie.
Als de optie CREDENTIAL wordt gebruikt, moet u ook ELKE REFERENTIE wijzigen machtiging op de server.

Machtigingen voor SQL Server 2022 en hoger

Vereist de machtiging CREATE LOGIN op de server of het lidmaatschap van de ##MS_LoginManager## vaste serverfunctie.

Nadat u een aanmelding hebt gemaakt, kan de aanmelding verbinding maken met SQL Server, maar heeft deze alleen de machtigingen die zijn verleend aan de openbare rol. Overweeg enkele van de volgende activiteiten uit te voeren.

Als u verbinding wilt maken met een database, maakt u een databasegebruiker voor de aanmelding. Zie CREATE USERvoor meer informatie.
Maak een door de gebruiker gedefinieerde serverfunctie met behulp van SERVERFUNCTIE MAKEN. Gebruik ALTER SERVER ROLE ... ADD MEMBER om de nieuwe aanmelding toe te voegen aan de door de gebruiker gedefinieerde serverfunctie. Zie SERVERFUNCTIE MAKEN en ALTER SERVER ROLEvoor meer informatie.
Gebruik sp_addsrvrolemember om de aanmelding toe te voegen aan een vaste serverfunctie. Zie Server-Level Rollen en sp_addsrvrolemembervoor meer informatie.
Gebruik de instructie GRANT om machtigingen op serverniveau te verlenen aan de nieuwe aanmelding of aan een rol die de aanmelding bevat. Zie GRANTvoor meer informatie.

Voorbeelden

In het volgende voorbeeld wordt een aanmelding voor een bepaalde gebruiker gemaakt en wordt een wachtwoord toegewezen.

CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>';
GO

In het volgende voorbeeld wordt een aanmelding voor een bepaalde gebruiker gemaakt en wordt een wachtwoord toegewezen. De optie MUST_CHANGE vereist dat gebruikers dit wachtwoord wijzigen wanneer ze voor het eerst verbinding maken met de server.

van toepassing op: SQL Server 2008 (10.0.x) en latere versies.

CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>'
    MUST_CHANGE, CHECK_EXPIRATION = ON;
GO

Notitie

De optie MUST_CHANGE kan niet worden gebruikt wanneer CHECK_EXPIRATION uit is.

In het volgende voorbeeld wordt de aanmelding voor een bepaalde gebruiker gemaakt met behulp van de gebruiker. Deze aanmelding wordt toegewezen aan de referentie.

van toepassing op: SQL Server 2008 (10.0.x) en latere versies.

CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>',
    CREDENTIAL = <credentialName>;
GO

In het volgende voorbeeld wordt een aanmelding voor een bepaalde gebruiker gemaakt op basis van een certificaat in master.

van toepassing op: SQL Server 2008 (10.0.x) en latere versies.

USE MASTER;
CREATE CERTIFICATE <certificateName>
    WITH SUBJECT = '<login_name> certificate in master database',
    EXPIRY_DATE = '12/05/2025';
GO
CREATE LOGIN <login_name> FROM CERTIFICATE <certificateName>;
GO

In het volgende voorbeeld wordt een aanmelding gemaakt op basis van een Windows-domeinaccount.

van toepassing op: SQL Server 2008 (10.0.x) en latere versies.

CREATE LOGIN [<domainName>\<login_name>] FROM WINDOWS;
GO

In het volgende voorbeeld wordt eerst een aanmelding voor SQL Server-verificatie gemaakt en wordt de SID van de aanmelding bepaald.

CREATE LOGIN TestLogin WITH PASSWORD = 'SuperSecret52&&';
SELECT name, sid FROM sys.sql_logins WHERE name = 'TestLogin';
GO

Mijn query retourneert 0x241C11948AEEB749B0D22646DB1A19F2 als sid. Uw query retourneert een andere waarde. Met de volgende instructies verwijdert u de aanmelding en maakt u de aanmelding opnieuw. Gebruik de SID van uw vorige query.

DROP LOGIN TestLogin;
GO

CREATE LOGIN TestLogin
WITH PASSWORD = 'SuperSecret52&&', SID = 0x241C11948AEEB749B0D22646DB1A19F2;

SELECT * FROM sys.sql_logins WHERE name = 'TestLogin';
GO

In het volgende voorbeeld ziet u hoe u meerdere argumenten samen tekent met behulp van komma's tussen elk argument. Vervang <password> door een geldig wachtwoord.

CREATE LOGIN [MyUser]
WITH PASSWORD = '<password>',
DEFAULT_DATABASE = MyDatabase,
CHECK_POLICY = OFF,
CHECK_EXPIRATION = OFF ;

In het volgende voorbeeld ziet u hoe u SQL-aanmeldingen maakt met hetzelfde wachtwoord als bestaande aanmeldingen, zoals in een migratiescenario. De eerste stap is het ophalen van de wachtwoord-hash uit bestaande aanmeldingen op de brondatabaseserver. Vervolgens wordt dezelfde hash gebruikt om de aanmelding op een nieuwe databaseserver te maken. Als u dit doet, heeft de nieuwe aanmelding hetzelfde wachtwoord als op de oude server.

-- run this to retrieve the password hash for an individual Login:
SELECT LOGINPROPERTY('Andreas','PASSWORDHASH') AS password_hash;
-- as an alternative, the catalog view sys.sql_logins can be used to retrieve the password hashes for multiple accounts at once. (This could be used to create a dynamic sql statement from the result set
SELECT name, password_hash
FROM sys.sql_logins
  WHERE
    principal_id > 1    -- excluding sa
    AND
    name NOT LIKE '##MS_%##' -- excluding special MS system accounts
-- create the new SQL Login on the new database server using the hash of the source server
CREATE LOGIN Andreas
  WITH PASSWORD = 0x02000A1A89CD6C6E4C8B30A282354C8EA0860719D5D3AD05E0CAE1952A1C6107A4ED26BEBA2A13B12FAB5093B3CC2A1055910CC0F4B9686A358604E99BB9933C75B4EA48FDEA HASHED;

In het volgende voorbeeld wordt een aanmelding gemaakt voor het Microsoft Entra-account joe@contoso.onmicrosoft.com die bestaat in de Microsoft Entra-tenant met de naam contoso.

CREATE LOGIN [joe@contoso.onmicrosoft.com] FROM EXTERNAL PROVIDER

GO

In het volgende voorbeeld wordt een aanmelding gemaakt voor een federatief Microsoft Entra-account bob@contoso.com dat bestaat in een tenant met de naam contoso. Gebruiker bob kan ook een gastgebruiker zijn.

CREATE LOGIN [bob@contoso.com] FROM EXTERNAL PROVIDER
GO

In het volgende voorbeeld wordt een aanmelding gemaakt voor de Microsoft Entra-groep mygroup die bestaat in de tenant contoso.

CREATE LOGIN [mygroup] FROM EXTERNAL PROVIDER
GO

In het volgende voorbeeld wordt een aanmelding gemaakt voor de Microsoft Entra-toepassing myapp- die bestaat in de tenant contoso.

CREATE LOGIN [myapp] FROM EXTERNAL PROVIDER

* Azure SQL Database *

SQL Database

Zie voor meer informatie over connectiviteit en autorisatie voor Azure SQL Database:

Syntaxis

-- Syntax for Azure SQL Database
CREATE LOGIN login_name
  { 
    FROM EXTERNAL PROVIDER [WITH OBJECT_ID = 'objectid'] 
    | WITH <option_list> [,..] 
  }

<option_list> ::=
    PASSWORD = { 'password' }
    [ , SID = sid ]

Argumenten

login_name

Notitie

Microsoft Entra-server-principals (aanmeldingen) momenteel in openbare preview zijn voor Azure SQL Database.

Wanneer de aanmelding wordt gebruikt met de FROM EXTERNAL PROVIDER component, geeft de aanmelding de Microsoft Entra-principal op. Dit is een Microsoft Entra-gebruiker, -groep of -toepassing. Anders vertegenwoordigt de aanmelding de naam van de SQL-aanmelding die is gemaakt.

Microsoft Entra-gebruikers en service-principals die lid zijn van meer dan 2048 Microsoft Entra-beveiligingsgroepen, worden niet ondersteund om u aan te melden bij de database in SQL Database, SQL Managed Instance of Azure Synapse.

VAN EXTERNE PROVIDER

Hiermee geeft u op dat de aanmelding voor Microsoft Entra-verificatie is.

WITH OBJECT_ID = objectid

Hiermee geeft u de Microsoft Entra Object ID. Als de OBJECT_ID is opgegeven, hoeft de login_name niet overeen te komen met de weergavenaam van Microsoft Entra. De login_name moet een unieke naam zijn in de sys.server_principals weergave en moet voldoen aan alle andere sysname beperkingen. Zie Microsoft Entra-aanmeldingen en gebruikers met niet-actieve weergavenamenvoor meer informatie over het gebruik van de optie WITH OBJECT_ID.

Notitie

Als de weergavenaam van de service-principal geen duplicaat is, moet de standaardinstructie CREATE LOGIN of CREATE USER worden gebruikt. De WITH OBJECT_ID-extensie is een herstelitem voor probleemoplossing dat is geïmplementeerd voor gebruik met niet-unique service-principals. Het gebruik ervan met een unieke service-principal wordt niet aanbevolen. Het gebruik van de WITH OBJECT_ID-extensie voor een service-principal zonder een achtervoegsel toe te voegen, wordt uitgevoerd, maar het is niet duidelijk voor welke service-principal de aanmelding of gebruiker is gemaakt. Het is raadzaam om een alias te maken met behulp van een achtervoegsel om de service-principal uniek te identificeren. De WITH OBJECT_ID-extensie wordt niet ondersteund voor SQL Server.

PASSWORD ='password'

Hiermee geeft u het wachtwoord op voor de SQL-aanmelding die wordt gemaakt. Gebruik een sterk wachtwoord. Zie sterke wachtwoorden en wachtwoordbeleidvoor meer informatie. Vanaf SQL Server 2012 (11.x) wordt opgeslagen wachtwoordgegevens berekend met SHA-512 van het gezouten wachtwoord.

SID = sid

Wordt gebruikt om een aanmelding opnieuw te maken. Is alleen van toepassing op aanmeldingen voor SQL Server-verificatie, niet voor Aanmeldingen met Windows-verificatie. Hiermee geeft u de SID van de nieuwe SQL Server-verificatieaanmelding. Als deze optie niet wordt gebruikt, wijst SQL Server automatisch een SID toe. De SID-structuur is afhankelijk van de SQL Server-versie. Voor SQL Database is dit een letterlijke letterlijke waarde van 32 byte (binary(32)die bestaat uit 0x01060000000000640000000000000000 plus 16 bytes die een GUID vertegenwoordigen. Bijvoorbeeld SID = 0x0106000000000064000000000000000014585E90117152449347750164BA00A7.

Opmerkingen

Wachtwoorden zijn hoofdlettergevoelig.
Als u een aanmelding maakt, wordt de nieuwe aanmelding automatisch ingeschakeld en wordt de aanmelding verleend op serverniveau CONNECT SQL-machtiging.

Belangrijk

Zie Aanmeldingen beheren in Azure SQL Database voor informatie over het werken met aanmeldingen en gebruikers in Azure SQL Database.

SQL Database-aanmeldingen

De instructie CREATE LOGIN moet de enige instructie in een batch zijn.

In sommige methoden voor het maken van verbinding met SQL Database, zoals sqlcmd, moet u de naam van de SQL Database-server toevoegen aan de aanmeldingsnaam in de verbindingsreeks met behulp van de <aanmelding>@<server> notatie. Als uw aanmelding bijvoorbeeld login1 is en de volledig gekwalificeerde naam van de SQL Database-server is servername.database.windows.net, moet de parameter gebruikersnaam van de verbindingsreeks worden login1@servername. Omdat de totale lengte van de gebruikersnaam parameter 128 tekens is, is login_name beperkt tot 127 tekens min de lengte van de servernaam. In het voorbeeld mag login_name slechts 117 tekens lang zijn omdat servername 10 tekens is.

In SQL Database moet u zijn verbonden met de master-database met de juiste machtigingen om een aanmelding te maken. Zie Aanvullende aanmeldingen en gebruikers met beheerdersmachtigingenmaken voor meer informatie.

Met SQL Server-regels kunt u een sql Server-verificatieaanmelding maken in de indeling <aanmeldingsnaam>@<servernaam>. Als uw SQL Database-server is myazureserver en uw aanmelding is myemail@contoso.com, moet u uw aanmelding opgeven als myemail@contoso.com@myazureserver.

In SQL Database worden aanmeldingsgegevens die vereist zijn voor het verifiëren van een verbinding en firewallregels op serverniveau tijdelijk in de cache opgeslagen in elke database. Deze cache wordt periodiek vernieuwd. Als u een vernieuwing van de verificatiecache wilt afdwingen en ervoor wilt zorgen dat een database de nieuwste versie van de aanmeldingstabel heeft, voert u DBCC FLUSHAUTHCACHE-uit.

Machtigingen

Alleen de principalaanmelding op serverniveau (gemaakt door het inrichtingsproces) of leden van de loginmanager-databaserol in de master-database kunnen nieuwe aanmeldingen maken. Zie Aanvullende aanmeldingen en gebruikers met beheerdersmachtigingenmaken voor meer informatie.

Voorbeelden

In het volgende voorbeeld wordt een aanmelding voor een bepaalde gebruiker gemaakt en wordt een wachtwoord toegewezen. Maak verbinding met de master-databases en gebruik vervolgens het volgende codevoorbeeld.

CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>';
GO

In het volgende voorbeeld wordt eerst een aanmelding voor SQL Server-verificatie gemaakt en wordt de SID van de aanmelding bepaald. Maak verbinding met de master-databases en gebruik vervolgens het volgende codevoorbeeld.

CREATE LOGIN TestLogin WITH PASSWORD = 'SuperSecret52&&';

SELECT name, sid FROM sys.sql_logins WHERE name = 'TestLogin';
GO

DROP LOGIN TestLogin;
GO

CREATE LOGIN TestLogin
WITH PASSWORD = 'SuperSecret52&&', SID = 0x241C11948AEEB749B0D22646DB1A19F2;

SELECT * FROM sys.sql_logins WHERE name = 'TestLogin';
GO

In dit voorbeeld wordt een aanmelding gemaakt in de logische Azure SQL-server met behulp van de referenties van een gebruiker bob@contoso.com die aanwezig is in het Microsoft Entra-domein met de naam contoso. Maak verbinding met de master-databases en gebruik vervolgens het volgende codevoorbeeld.

CREATE LOGIN [bob@contoso.com] FROM EXTERNAL PROVIDER;
GO

U kunt een alias voor uw login_name maken door de object-id van de Microsoft Entra-service-principal of -groep op te geven. Maak verbinding met de master-databases en gebruik vervolgens het volgende codevoorbeeld.

CREATE LOGIN [myapp4466e] FROM EXTERNAL PROVIDER 
  WITH OBJECT_ID='aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb';

Zie service-principalobjecten in Microsoft Entra IDvoor meer informatie over het verkrijgen van de object-id van een service-principal.

* Azure SQL
Beheerd exemplaar *

Azure SQL Managed Instance

Syntaxis

-- Syntax for Azure SQL Managed Instance
CREATE LOGIN login_name [FROM EXTERNAL PROVIDER [WITH OBJECT_ID = 'objectid'] ] { WITH <option_list> [,..]}

<option_list> ::=
    PASSWORD = {'password'}
    | SID = sid
    | DEFAULT_DATABASE = database
    | DEFAULT_LANGUAGE = language

Argumenten

login_name

Microsoft Entra-gebruikers en service-principals die lid zijn van meer dan 2048 Microsoft Entra-beveiligingsgroepen, worden niet ondersteund om u aan te melden bij databases in Azure SQL Database, Azure SQL Managed Instance of Azure Synapse.

VAN EXTERNE PROVIDER

Hiermee geeft u op dat de aanmelding voor Microsoft Entra-verificatie is.

WITH OBJECT_ID = objectid

Hiermee geeft u de Microsoft Entra Object ID. Als de OBJECT_ID is opgegeven, kan de login_name een door de gebruiker gedefinieerde alias zijn die is gevormd vanuit de oorspronkelijke principal-weergavenaam met een achtervoegsel toegevoegd. De login_name moet een unieke naam zijn in de sys.server_principals weergave en moet voldoen aan alle andere sysname beperkingen. Zie Microsoft Entra-aanmeldingen en gebruikers met niet-actieve weergavenamenvoor meer informatie over het gebruik van de optie WITH OBJECT_ID.

Notitie

Als de weergavenaam van de service-principal geen duplicaat is, moet de standaardinstructie CREATE LOGIN of CREATE USER worden gebruikt. De WITH OBJECT_ID-extensie bevindt zich in openbare preview-en is een herstelitem voor probleemoplossing dat is geïmplementeerd voor gebruik met niet-compatibele service-principals. Het gebruik ervan met een unieke service-principal is niet nodig. Het gebruik van de WITH OBJECT_ID-extensie voor een service-principal zonder een achtervoegsel toe te voegen, wordt uitgevoerd, maar het is niet duidelijk voor welke service-principal de aanmelding of gebruiker is gemaakt. Het is raadzaam om een alias te maken met behulp van een achtervoegsel om de service-principal uniek te identificeren. De WITH OBJECT_ID-extensie wordt niet ondersteund voor SQL Server.

PASSWORD = 'wachtwoord'

Wachtwoorden zijn hoofdlettergevoelig. Wachtwoorden moeten altijd ten minste 10 tekens lang zijn en mogen niet langer zijn dan 128 tekens. Wachtwoorden kunnen a-z, A-Z, 0-9 en de meeste niet-phanumerische tekens bevatten. Wachtwoorden mogen geen enkele aanhalingstekens of de login_namebevatten.

SID = sid

Wordt gebruikt om een aanmelding opnieuw te maken. Alleen van toepassing op aanmeldingen voor SQL Server-verificatie. Hiermee geeft u de SID van de nieuwe SQL Server-verificatieaanmelding. Als deze optie niet wordt gebruikt, wijst SQL Server automatisch een SID toe. De SID-structuur is afhankelijk van de SQL Server-versie. Voor SQL Database is dit een letterlijke letterlijke waarde van 32 byte (binary(32)die bestaat uit 0x01060000000000640000000000000000 plus 16 bytes die een GUID vertegenwoordigen. Bijvoorbeeld SID = 0x0106000000000064000000000000000014585E90117152449347750164BA00A7.

Opmerkingen

Met de syntaxis van FROM EXTERNAL PROVIDER worden principals op serverniveau gemaakt die zijn toegewezen aan Microsoft Entra-accounts
Wanneer FROM EXTERNAL PROVIDER is opgegeven:
- De login_name moet een bestaand Microsoft Entra-account (gebruiker, groep of toepassing) vertegenwoordigen dat toegankelijk is in Microsoft Entra-id door het huidige beheerde exemplaar van Azure SQL. Voor Microsoft Entra-principals vereist de syntaxis CREATE LOGIN:
  - UserPrincipalName van het Microsoft Entra-object voor Microsoft Entra-gebruikers.
  - DisplayName van het Microsoft Entra-object voor Microsoft Entra-groepen en -toepassingen.
- De optie PASSWORD kan niet worden gebruikt.
Wanneer de FROM EXTERNAL PROVIDER-component wordt weggelaten, wordt standaard een reguliere SQL-aanmelding gemaakt.
Microsoft Entra-aanmeldingen zijn zichtbaar in sys.server_principals, waarbij de kolomwaarde van het type is ingesteld op E en type_desc ingesteld op EXTERNAL_LOGIN voor aanmeldingen die zijn toegewezen aan Microsoft Entra-gebruikers, of typ de kolomwaarde ingesteld op X en type_desc waarde ingesteld op EXTERNAL_GROUP voor aanmeldingen die zijn toegewezen aan Microsoft Entra-groepen.
Zie How to transfer the logins and the passwords between instances of SQL Server 2005 and SQL Server 2008voor een script voor het overdragen van aanmeldingen.
Als u een aanmelding maakt, wordt de nieuwe aanmelding automatisch ingeschakeld en wordt de aanmelding verleend op serverniveau CONNECT SQL-machtiging.

Belangrijk

Zie Aanmeldingen beheren in Azure SQL Database voor informatie over het werken met aanmeldingen en gebruikers in Azure SQL Database.

Aanmeldingen en machtigingen

Alleen de principalaanmelding op serverniveau (gemaakt door het inrichtingsproces) of leden van de securityadmin- of sysadmin-databaserol in de master-database kunnen nieuwe aanmeldingen maken. Zie Server-Level functies en ALTER SERVER ROLEvoor meer informatie.

Standaard is de standaardmachtiging die is verleend aan een zojuist gemaakte Microsoft Entra-aanmelding in master: CONNECT SQL en ELKE DATABASE-WEERGEVEN.

Aanmeldingen voor SQL Managed Instance

Moet ALTER ANY LOGIN machtiging hebben op de server of het lidmaatschap van een van de vaste serverfuncties securityadmin of sysadmin. Alleen een Microsoft Entra-account met ALTER ANY LOGIN machtiging op de server of lidmaatschap van een van deze rollen kan de opdracht maken uitvoeren.
Als de aanmelding een SQL-principal is, kunnen alleen aanmeldingen die deel uitmaken van de rol sysadmin de opdracht Maken gebruiken om aanmeldingen te maken voor een Microsoft Entra-account.
Moet lid zijn van dezelfde Microsoft Entra-tenant als het azure SQL Managed Instance.

Nadat u een aanmelding hebt gemaakt, kan de aanmelding verbinding maken met een beheerd exemplaar, maar heeft deze alleen de machtigingen die zijn verleend aan de openbare rol. Overweeg enkele van de volgende activiteiten uit te voeren.

Zie CREATE USERom een gebruiker te maken op basis van een Microsoft Entra-aanmelding.
Als u machtigingen wilt verlenen aan een gebruiker in een database, gebruikt u de ALTER SERVER ROLE ... ADD MEMBER-instructie om de gebruiker toe te voegen aan een van de ingebouwde databaserollen of een aangepaste rol, of verleent u rechtstreeks machtigingen aan de gebruiker met behulp van de instructie GRANT. Zie Niet-beheerdersrollen, Aanvullende beheerdersrollen op serverniveau, ALTER SERVER ROLEen GRANT-instructie voor meer informatie.
Als u serverbrede machtigingen wilt verlenen, maakt u een databasegebruiker in de master-database en gebruikt u de instructie ALTER SERVER ROLE ... ADD MEMBER om de gebruiker toe te voegen aan een van de beheerdersserverfuncties. Zie Server-Level functies en ALTER SERVER ROLEen Serverfunctiesvoor meer informatie.
- Gebruik de volgende opdracht om de sysadmin rol toe te voegen aan een Microsoft Entra-aanmelding: ALTER SERVER ROLE sysadmin ADD MEMBER [MS_Entra_login]
Gebruik de instructie GRANT om machtigingen op serverniveau te verlenen aan de nieuwe aanmelding of aan een rol die de aanmelding bevat. Zie GRANTvoor meer informatie.

Beperkingen

Het instellen van een Microsoft Entra-aanmelding die is toegewezen aan een Microsoft Entra-groep, omdat de eigenaar van de database niet wordt ondersteund.
Imitatie van Microsoft Entra-aanmeldingen met andere Microsoft Entra-principals wordt ondersteund, zoals de component EXECUTE AS.
Alleen server-principals (aanmeldingen) die deel uitmaken van de sysadmin-rol kunnen de volgende bewerkingen uitvoeren die gericht zijn op Microsoft Entra-principals:
- UITVOEREN ALS GEBRUIKER
- UITVOEREN ALS AANMELDING
Externe (gast) gebruikers die zijn geïmporteerd uit een andere Microsoft Entra-directory, kunnen niet rechtstreeks worden geconfigureerd als Microsoft Entra-beheerder voor SQL Managed Instance met behulp van de Azure-portal. In plaats daarvan voegt u een externe gebruiker toe aan een roltoewijzingsgroep en configureert u de groep als instantiebeheerder. U kunt PowerShell of Azure CLI gebruiken om afzonderlijke gastgebruikers in te stellen als instantiebeheerder.
Aanmeldingen worden niet gerepliceerd naar het secundaire exemplaar in een failovergroep. Aanmeldingen worden opgeslagen in de master-database, een systeemdatabase, en als zodanig niet geo-gerepliceerd. Om dit op te lossen, moeten aanmeldingen worden gemaakt met dezelfde SID op het secundaire exemplaar.

-- Code to create login on the secondary instance
CREATE LOGIN foo WITH PASSWORD = '<enterStrongPasswordHere>', SID = <login_sid>;

Voorbeelden

In het volgende voorbeeld wordt een aanmelding voor een bepaalde gebruiker gemaakt en wordt een wachtwoord toegewezen.

CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>';
GO

In het volgende voorbeeld wordt eerst een aanmelding voor SQL Server-verificatie gemaakt en wordt de SID van de aanmelding bepaald.

CREATE LOGIN TestLogin WITH PASSWORD = 'SuperSecret52&&';

SELECT name, sid FROM sys.sql_logins WHERE name = 'TestLogin';
GO

DROP LOGIN TestLogin;
GO

CREATE LOGIN TestLogin
WITH PASSWORD = 'SuperSecret52&&', SID = 0x241C11948AEEB749B0D22646DB1A19F2;

SELECT * FROM sys.sql_logins WHERE name = 'TestLogin';
GO

In het volgende voorbeeld wordt een aanmelding gemaakt voor het Microsoft Entra-account joe@contoso.onmicrosoft.com die bestaat in de tenant met de naam contoso.

CREATE LOGIN [joe@contoso.onmicrosoft.com] FROM EXTERNAL PROVIDER

GO

CREATE LOGIN [bob@contoso.com] FROM EXTERNAL PROVIDER
GO

In het volgende voorbeeld wordt een aanmelding gemaakt voor de Microsoft Entra-groep mygroup die bestaat in de tenant contoso.

CREATE LOGIN [mygroup] FROM EXTERNAL PROVIDER
GO

In het volgende voorbeeld wordt een aanmelding gemaakt voor de Microsoft Entra-toepassing myapp- die bestaat in de tenant contoso.

CREATE LOGIN [myapp] FROM EXTERNAL PROVIDER

G. Nieuw toegevoegde aanmeldingen controleren

Voer de volgende T-SQL-opdracht uit om de zojuist toegevoegde aanmelding te controleren:

SELECT *
FROM sys.server_principals;
GO

* Azure Synapse
Analyse *

Azure Synapse Analytics

Syntaxis

-- Syntax for Azure Synapse Analytics
CREATE LOGIN login_name
  { 
    FROM EXTERNAL PROVIDER
    | WITH <option_list> [,..] 
  }

<option_list> ::=
    PASSWORD = { 'password' }
    [ , SID = sid ]

Argumenten

Notitie

Microsoft Entra-server-principals (aanmeldingen) momenteel in preview zijn.

Microsoft-gebruikers en -service-principals (Microsoft Entra-toepassingen) die lid zijn van meer dan 2048 Microsoft Entra-beveiligingsgroepen, worden niet ondersteund om u aan te melden bij de database in SQL Database, SQL Managed Instance of Azure Synapse.

VAN EXTERNE PROVIDER

Hiermee geeft u op dat de aanmelding voor Microsoft Entra-verificatie is.

login_name

Hiermee geeft u de naam van de aanmelding die wordt gemaakt. SQL Analytics in Azure Synapse ondersteunt alleen SQL-aanmeldingen. Als u accounts voor Microsoft Entra-gebruikers wilt maken, gebruikt u de instructie CREATE USER.

PASSWORD ='password'

SID = sid

Wordt gebruikt om een aanmelding opnieuw te maken. Is alleen van toepassing op aanmeldingen voor SQL Server-verificatie, niet voor Aanmeldingen met Windows-verificatie. Hiermee geeft u de SID van de nieuwe SQL Server-verificatieaanmelding. Als deze optie niet wordt gebruikt, wijst SQL Server automatisch een SID toe. De SID-structuur is afhankelijk van de SQL Server-versie. Voor SQL Analytics is dit een letterlijke waarde van 32 byte (binary(32)) die bestaat uit 0x01060000000000640000000000000000 plus 16 bytes die een GUID vertegenwoordigen. Bijvoorbeeld SID = 0x0106000000000064000000000000000014585E90117152449347750164BA00A7.

Opmerkingen

Wachtwoorden zijn hoofdlettergevoelig.
Zie How to transfer the logins and the passwords between instances of SQL Server 2005 and SQL Server 2008voor een script voor het overdragen van aanmeldingen.
Als u een aanmelding maakt, wordt de nieuwe aanmelding automatisch ingeschakeld en wordt de aanmelding verleend op serverniveau CONNECT SQL-machtiging.
De verificatiemodus van de server moet overeenkomen met het aanmeldingstype om toegang te verlenen.
Zie Aan de slag met database-enginemachtigingenvoor informatie over het ontwerpen van een machtigingssysteem.

Logins

De instructie CREATE LOGIN moet de enige instructie in een batch zijn.

Wanneer u verbinding maakt met Azure Synapse met behulp van hulpprogramma's zoals sqlcmd, moet u de sql Analytics-servernaam toevoegen aan de aanmeldingsnaam in de verbindingsreeks met behulp van de <aanmeldings->@<server-> notatie. Als uw aanmelding bijvoorbeeld login1 is en de volledig gekwalificeerde naam van de SQL Analytics-server is servername.database.windows.net, moet de gebruikersnaam parameter van de verbindingsreeks worden login1@servername. Omdat de totale lengte van de gebruikersnaam parameter 128 tekens is, is login_name beperkt tot 127 tekens min de lengte van de servernaam. In het voorbeeld mag login_name slechts 117 tekens lang zijn omdat servername 10 tekens is.

Als u een aanmelding wilt maken, moet u zijn verbonden met de master-database.

Aanmeldingsgegevens die nodig zijn om een verbinding te verifiëren en firewallregels op serverniveau worden tijdelijk in de cache opgeslagen in elke database. Deze cache wordt periodiek vernieuwd. Als u een vernieuwing van de verificatiecache wilt afdwingen en ervoor wilt zorgen dat een database de nieuwste versie van de aanmeldingstabel heeft, voert u DBCC FLUSHAUTHCACHE-uit.

Zie Databases en aanmeldingen beherenvoor meer informatie over aanmeldingen.

Machtigingen

Alleen de principalaanmelding op serverniveau (gemaakt door het inrichtingsproces) of leden van de loginmanager-databaserol in de master-database kunnen nieuwe aanmeldingen maken. Zie Server-Level functies en ALTER SERVER ROLEvoor meer informatie.

Nadat u een aanmelding hebt gemaakt, kan de aanmelding verbinding maken met Azure Synapse, maar heeft deze alleen de machtigingen die zijn verleend aan de openbare -rol van de. Overweeg enkele van de volgende activiteiten uit te voeren.

Als u verbinding wilt maken met een database, maakt u een databasegebruiker voor de aanmelding. Zie CREATE USERvoor meer informatie.
Als u machtigingen wilt verlenen aan een gebruiker in een database, gebruikt u de ALTER SERVER ROLE ... ADD MEMBER-instructie om de gebruiker toe te voegen aan een van de ingebouwde databaserollen of een aangepaste rol, of verleent u rechtstreeks machtigingen aan de gebruiker met behulp van de instructie GRANT. Zie Niet-beheerdersrollen, Aanvullende beheerdersrollen op serverniveau, ALTER SERVER ROLEen GRANT-instructie voor meer informatie.
Als u serverbrede machtigingen wilt verlenen, maakt u een databasegebruiker in de master-database en gebruikt u de instructie ALTER SERVER ROLE ... ADD MEMBER om de gebruiker toe te voegen aan een van de beheerdersserverfuncties. Zie Server-Level functies en ALTER SERVER ROLEen Serverfunctiesvoor meer informatie.
Gebruik de instructie GRANT om machtigingen op serverniveau te verlenen aan de nieuwe aanmelding of aan een rol die de aanmelding bevat. Zie GRANTvoor meer informatie.

Voorbeelden

In het volgende voorbeeld wordt een aanmelding voor een bepaalde gebruiker gemaakt en wordt een wachtwoord toegewezen.

CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>';
GO

In het volgende voorbeeld wordt eerst een aanmelding voor SQL Server-verificatie gemaakt en wordt de SID van de aanmelding bepaald.

CREATE LOGIN TestLogin WITH PASSWORD = 'SuperSecret52&&';

SELECT name, sid FROM sys.sql_logins WHERE name = 'TestLogin';
GO

DROP LOGIN TestLogin;
GO

CREATE LOGIN TestLogin
WITH PASSWORD = 'SuperSecret52&&', SID = 0x241C11948AEEB749B0D22646DB1A19F2;

SELECT * FROM sys.sql_logins WHERE name = 'TestLogin';
GO