Scegliere una modalità di autenticazione

Si applica a:SQL Server

Durante l'installazione, è necessario selezionare una modalità di autenticazione per il motore di database. Sono disponibili due modalità: la modalità di autenticazione di Windows e la modalità mista. La modalità di autenticazione di Windows abilita l'autenticazione di Windows e disabilita l'autenticazione di SQL Server. La modalità mista abilita sia l'autenticazione di Windows che l'autenticazione di SQL Server. L'autenticazione di Windows è sempre disponibile e non può essere disabilitata.

Configurazione della modalità di autenticazione

Se durante l'installazione si seleziona Autenticazione in modalità mista (SQL Server e modalità di autenticazione di Windows), è necessario specificare e quindi confermare una password complessa per l'account amministratore di sistema di SQL Server predefinito denominato sa. L'account sa si connette tramite l'autenticazione di SQL Server.

Se si seleziona Autenticazione di Windows durante l'installazione, il programma di installazione crea l'account sa per l'autenticazione di SQL Server, ma è disabilitato. Se successivamente si passa all'autenticazione in modalità mista e si vuole usare l'account sa , è necessario abilitare l'account. Qualsiasi account di Windows o SQL Server può essere configurato come amministratore di sistema. Poiché l'account sa è noto e spesso indirizzato da utenti malintenzionati, non abilitare l'account a meno che l'applicazione sa non lo richieda. Non impostare mai una password vuota o debole per l'account sa . Per passare dalla modalità di autenticazione di Windows all'autenticazione in modalità mista e usare l'autenticazione di SQL Server, vedere Modificare la modalità di autenticazione del server.

Connessione tramite l'autenticazione di Windows

Quando un utente si connette tramite un account utente di Windows, SQL Server convalida il nome dell'account e la password usando il token dell'entità windows nel sistema operativo. L'identità utente viene pertanto verificata da Windows. SQL Server non richiede la password e non esegue la convalida dell'identità. L'autenticazione di Windows è la modalità di autenticazione predefinita ed è molto più sicura dell'autenticazione di SQL Server. L'autenticazione di Windows, per la quale viene utilizzato il protocollo di sicurezza Kerberos, garantisce l'applicazione dei criteri password mediante convalida della complessità delle password complesse, offre il supporto per il blocco dell'account e la scadenza delle password. Una connessione effettuata con l'autenticazione di Windows viene talvolta chiamata connessione attendibile, perché SQL Server considera attendibili le credenziali fornite da Windows.

Usando l'autenticazione di Windows, i gruppi di Windows possono essere creati a livello di dominio e un account di accesso può essere creato in SQL Server per l'intero gruppo. La gestione dell'accesso a livello di dominio può semplificare l'amministrazione dell'account.

Importante

Se possibile, usare l'autenticazione di Windows.

Connessione tramite l'autenticazione di SQL Server

Quando si usa l'autenticazione di SQL Server, gli account di accesso vengono creati in SQL Server che non si basano sugli account utente di Windows. Sia il nome utente che la password vengono creati mediante SQL Server e archiviati in SQL Server. Gli utenti che si connettono tramite l'autenticazione di SQL Server devono fornire le credenziali (account di accesso e password) ogni volta che si connettono. Quando si usa l'autenticazione di SQL Server, è necessario impostare password complesse per tutti gli account DI SQL Server. Per consultare le linee guida per la creazione di password complesse, vedere Password complesse.

Per gli account di accesso di SQL Server sono disponibili tre criteri facoltativi per le password.

  • Richiedi modifica della password all'accesso successivo

    Viene richiesto di modificare la password alla connessione successiva dell'utente. La possibilità di modificare la password viene fornita da SQL Server Management Studio. Se viene selezionata questa opzione, gli sviluppatori software di terze parti devono fornire questa funzionalità.

  • Imponi scadenza password

    I criteri di validità massima della password del computer vengono applicati per gli account di accesso di SQL Server.

  • Applica criteri password

    I criteri password di Windows del computer vengono applicati per gli account di accesso di SQL Server. tra cui quelli relativi alla lunghezza e alla complessità delle password. Questa funzionalità dipende dall'API NetValidatePasswordPolicy , disponibile solo in Windows Server 2003 e versioni successive.

Per determinare i criteri password del computer locale

  1. Nel menu Start selezionare Esegui.

  2. Nella finestra di dialogo Esegui digitare secpol.msc e quindi selezionare OK.

  3. Nell'applicazione Impostazioni sicurezza locale espandere Sicurezza Impostazioni, espandere Criteri account e quindi selezionare Criteri password.

    I criteri password sono descritti nel riquadro dei risultati.

Svantaggi dell'autenticazione di SQL Server

  • Se un utente è un utente di dominio Di Windows che ha un account di accesso e una password per Windows, deve comunque fornire un altro account di accesso e una password (SQL Server) per la connessione. Tenere traccia di più nomi e password è un'operazione problematica per molti utenti. La necessità di fornire le credenziali di SQL Server ogni volta che l'utente si connette al database può essere fastidioso.

  • L'autenticazione di SQL Server non può usare il protocollo di sicurezza Kerberos.

  • Windows offre criteri password aggiuntivi che non sono disponibili per gli account di accesso di SQL Server.

  • La password di accesso per l'autenticazione di SQL Server crittografata deve essere passata in rete al momento della connessione. In alcune applicazioni che si connettono automaticamente, la password verrà archiviata nel client, creando punti di attacco aggiuntivi.

Vantaggi dell'autenticazione di SQL Server

  • Consente a SQL Server di supportare applicazioni e applicazioni meno recenti fornite da terze parti che richiedono l'autenticazione di SQL Server.

  • Consente a SQL Server di supportare ambienti con sistemi operativi misti, in cui tutti gli utenti non sono autenticati da un dominio Windows.

  • Consente agli utenti di connettersi da domini sconosciuti o non attendibili. Ad esempio, un'applicazione in cui clienti specifici si connettono con account di accesso di SQL Server assegnati per ricevere lo stato dei relativi ordini.

  • Consente a SQL Server di supportare applicazioni basate sul Web in cui gli utenti creano le proprie identità.

  • Consente agli sviluppatori di software di distribuire le proprie applicazioni tramite una gerarchia di autorizzazioni complessa, basata su account di accesso di SQL Server noti e preimpostati.

    Nota

    L'uso dell'autenticazione di SQL Server non limita le autorizzazioni degli amministratori locali nel computer in cui è installato SQL Server.

Vedi anche