CREATE LOGIN (Transact-SQL)

SQL Server

Syntaxe

-- Syntax for SQL Server
CREATE LOGIN login_name { WITH <option_list1> | FROM <sources> }

<option_list1> ::=
    PASSWORD = { 'password' | hashed_password HASHED } [ MUST_CHANGE ]
    [ , <option_list2> [ ,... ] ]

<option_list2> ::=
    SID = sid
    | DEFAULT_DATABASE = database
    | DEFAULT_LANGUAGE = language
    | CHECK_EXPIRATION = { ON | OFF}
    | CHECK_POLICY = { ON | OFF}
    | CREDENTIAL = credential_name

<sources> ::=
    WINDOWS [ WITH <windows_options>[ ,... ] ]
    | EXTERNAL PROVIDER
    | CERTIFICATE certname
    | ASYMMETRIC KEY asym_key_name

<windows_options> ::=
    DEFAULT_DATABASE = database
    | DEFAULT_LANGUAGE = language

Arguments

login_name

Spécifie le nom de la connexion créée. Il existe cinq types de connexions : connexions SQL Server, connexions Windows, connexions Microsoft Entra, connexions mappées par certificat et connexions mappées par clé asymétrique.

Lorsque vous créez des connexions mappées à partir d’un compte de domaine Windows, vous devez utiliser le nom d’ouverture de session au format [<domainName>\<login_name>]. Vous ne pouvez pas utiliser de nom UPN au format Nom_connexion@Nom_domaine. Pour obtenir un exemple, consultez l’exemple E plus loin dans cet article. Les connexions d’authentification sont de type sysname et doivent être conformes aux règles des identificateurs et ne peuvent pas contenir de barre oblique inverse (). Les connexions Windows peuvent contenir une barre oblique inverse ( \ ). Les connexions basées sur les utilisateurs Active Directory sont limitées aux noms de moins de 21 caractères.

Lorsque vous utilisez la clause FROM EXTERNAL PROVIDER , le nom de connexion doit correspondre au nom complet d’un principal Microsoft Entra existant dans le même locataire auquel l’instance SQL est activée. Les utilisateurs, groupes et applications Microsoft Entra peuvent être utilisés pour créer des connexions.

PASSWORD ='password'

S’applique uniquement aux connexions SQL Server. Spécifie le mot de passe de la connexion à créer. Utilisez un mot de passe fort. Pour plus d’informations, consultez Mots de passe forts et Stratégie de mot de passe. Depuis SQL Server 2012 (11.x), les informations de mot de passe stockées sont calculées à l’aide de la valeur salt SHA-512 du mot de passe.

Les mots de passe respectent la casse. Les mots de passe doivent toujours comporter au moins huit caractères et ne peuvent pas dépasser 128 caractères. Les mots de passe peuvent inclure les caractères a-z, A-Z, 0-9 et la plupart des caractères non alphanumériques. Les mots de passe ne peuvent pas contenir de guillemets simples ou le login_name.

PASSWORD = hashed_password

S'applique uniquement au mot clé HASHED. Spécifie la valeur hachée du mot de passe de la connexion créée.

HASHED

S’applique uniquement aux connexions SQL Server. Spécifie que le mot de passe entré après l'argument PASSWORD est déjà haché. Si cette option n’est pas sélectionnée, la chaîne entrée en tant que mot de passe est hachée avant son stockage dans la base de données. Cette option doit être utilisée uniquement pour effectuer une migration de bases de données d'un serveur vers un autre. N’utilisez pas l’option HASHED pour créer de nouvelles connexions. L’option HASHED ne peut pas être utilisée avec les hachages créés par SQL 7 ou une version antérieure.

MUST_CHANGE

S’applique uniquement aux connexions SQL Server. Si vous incluez cette option, SQL Server demande à l’utilisateur un nouveau mot de passe la première fois que la nouvelle connexion est utilisée.

CREDENTIAL =credential_name

Nom des informations d’identification à associer à la nouvelle connexion SQL Server. Les informations d'identification doivent déjà exister sur le serveur. À l'heure actuelle, cette option lie uniquement l'information d'authentification à une connexion. Les informations d’identification ne peuvent pas être mappées à la connexion system Administration istrator (sa).

SID = sid

Utilisé pour recréer une connexion. S’applique uniquement aux connexions d’authentification SQL Server, et non aux connexions d’authentification Windows. Spécifie le SID de la nouvelle connexion d’authentification SQL Server. Si cette option n’est pas sélectionnée, SQL Server attribue automatiquement un SID. La structure SID dépend de la version de SQL Server. SID de connexion SQL Server : valeur littérale 16 octets (binary(16) ) basée sur un GUID. Par exemple : SID = 0x14585E90117152449347750164BA00A7.

DEFAULT_DATABASE =database

Spécifie la base de données par défaut à affecter à la connexion. Si cette option n’est pas incluse, la base de données par défaut est définie sur master.

DEFAULT_LANGUAGE =language

Spécifie la langue par défaut à affecter à la connexion. Si cette option n’est pas incluse, la langue par défaut est définie sur la langue par défaut actuelle du serveur. Si la langue par défaut du serveur est changée par la suite, la langue par défaut de la connexion reste la même.

CHECK_EXPIRATION = { ON | OFF }

S’applique uniquement aux connexions SQL Server. Spécifie si les règles d'expiration des mots de passe doivent être imposées sur cette connexion. La valeur par défaut est OFF.

CHECK_POLICY = { ON | OFF }

S’applique uniquement aux connexions SQL Server. Spécifie que les stratégies de mot de passe Windows de l’ordinateur sur lequel SQL Server s’exécute doivent s’appliquer à cette connexion. La valeur par défaut est ON.

Si la stratégie windows requiert des mots de passe forts, les mots de passe doivent avoir au moins trois des quatre caractéristiques suivantes :

Une majuscule (A-Z).
Une minuscule (a-z).
Un chiffre (0-9).
Un des caractères nonphanumériques, tels qu’un espace, _, @, *, ^, %, !, $, #ou &.

WINDOWS

Spécifie que la connexion doit être mappée sur une connexion Windows.

FROM EXTERNAL PROVIDER

Spécifie que la connexion est mappée à un principal Microsoft Entra. Cette option est disponible pour SQL Server 2022 et versions ultérieures avec Arc. Pour plus d’informations, consultez l’authentification Microsoft Entra pour SQL Server

CERTIFICATE certname

Spécifie le nom d'un certificat à associer à cette connexion. Ce certificat doit déjà se produire dans la master base de données.

ASYMMETRIC KEY asym_key_name

Spécifie le nom d'une clé asymétrique à associer à cette connexion. Cette clé doit déjà se produire dans la master base de données.

Notes

Les mots de passe respectent la casse.
Le préachage des mots de passe est pris en charge uniquement lorsque vous créez des connexions SQL Server.
Si MUST_CHANGE elle est spécifiée, CHECK_EXPIRATION et CHECK_POLICY doivent être définis sur ON. Sans quoi, l'instruction échoue.
Une combinaison de CHECK_POLICY = OFF et CHECK_EXPIRATION = ON n’est pas prise en charge.
Lorsque CHECK_POLICY est défini OFFsur , lockout_time est réinitialisé et CHECK_EXPIRATION est défini sur OFF.

Important

CHECK_EXPIRATION et CHECK_POLICY sont appliqués uniquement sur Windows Server 2003 et versions ultérieures. Pour plus d'informations, consultez Password Policy.

Les connexions créées à partir de certificats ou de clés asymétriques ne sont utilisées que pour la signature de code. Ils ne peuvent pas être utilisés pour se connecter à SQL Server. Vous pouvez créer une connexion à partir d’un certificat ou d’une clé asymétrique uniquement lorsque le certificat ou la clé asymétrique existe déjà dans master.
Pour obtenir un script de transfert des connexions, consultez Comment transférer les connexions et les mots de passe entre des instances de SQL Server 2005 et SQL Server 2008.
La création d'une connexion active automatiquement la nouvelle connexion et accorde à la connexion l'autorisation CONNECT SQL au niveau du serveur.
Le mode d’authentification du serveur doit correspondre au type de connexion pour autoriser l’accès.
Pour plus d’informations sur la conception d’un système d’autorisations, voir Getting Started with Database Engine Permissions.

Autorisations

Seuls les utilisateurs ayant l’autorisation ALTER ANY LOGIN sur le serveur ou appartenant au rôle serveur fixe securityadmin peuvent créer des connexions. Pour plus d’informations, consultez Rôles de niveau serveur et ALTER SERVER ROLE.
Si l'option CREDENTIAL est utilisée, l'autorisation ALTER ANY CREDENTIAL est également exigée sur le serveur.

Autorisations pour SQL Server 2022 (et versions plus récentes)

Nécessite l’autorisation CREATE LOGIN sur le serveur ou l’appartenance au rôle serveur fixe ##MS_LoginManager### .

Après la création d’une connexion, celle-ci peut se connecter à SQL Server, mais elle dispose uniquement des autorisations accordées au rôle public. Envisagez d’effectuer certaines des activités suivantes.

Pour vous connecter à une base de données, créez un utilisateur de base de données pour la connexion. Pour plus d’informations, consultez CREATE USER.
Créez un rôle serveur défini par l’utilisateur à l’aide de CREATE SERVER ROLE. Permet ALTER SERVER ROLE ... ADD MEMBER d’ajouter la nouvelle connexion au rôle serveur défini par l’utilisateur. Pour plus d’informations, consultez CREATE SERVER ROLE et ALTER SERVER ROLE.
Permet sp_addsrvrolemember d’ajouter la connexion à un rôle serveur fixe. Pour plus d’informations, consultez Rôles de niveau serveur et sp_addsrvrolemember.
Utilisez l’instruction GRANT pour accorder des autorisations au niveau du serveur à la nouvelle connexion ou à un rôle qui contient la connexion. Pour plus d’informations, consultez GRANT.

Exemples

L'exemple suivant crée une connexion pour un utilisateur particulier et attribue un mot de passe.

CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>';
GO

L'exemple suivant crée une connexion pour un utilisateur particulier et attribue un mot de passe. L'option MUST_CHANGE exige que les utilisateurs modifient ce mot de passe la première fois qu'ils se connectent au serveur.

S’applique à : SQL Server 2008 (10.0.x) et ultérieur.

CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>'
    MUST_CHANGE, CHECK_EXPIRATION = ON;
GO

Remarque

L'option MUST_CHANGE ne peut être utilisée lorsque l'option CHECK_EXPIRATION est désactivée.

L'exemple suivant crée la connexion pour un utilisateur particulier, à l'aide de l'utilisateur. Cette connexion est mappée à l'information d'identification.

S’applique à : SQL Server 2008 (10.0.x) et ultérieur.

CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>',
    CREDENTIAL = <credentialName>;
GO

L’exemple suivant crée une connexion pour un utilisateur particulier à partir d’un certificat dans master.

S’applique à : SQL Server 2008 (10.0.x) et ultérieur.

USE MASTER;
CREATE CERTIFICATE <certificateName>
    WITH SUBJECT = '<login_name> certificate in master database',
    EXPIRY_DATE = '12/05/2025';
GO
CREATE LOGIN <login_name> FROM CERTIFICATE <certificateName>;
GO

L'exemple suivant crée une connexion à partir d'un compte de domaine Windows.

S’applique à : SQL Server 2008 (10.0.x) et ultérieur.

CREATE LOGIN [<domainName>\<login_name>] FROM WINDOWS;
GO

L’exemple suivant crée d’abord une connexion d’authentification SQL Server et détermine le SID de la connexion.

CREATE LOGIN TestLogin WITH PASSWORD = 'SuperSecret52&&';
SELECT name, sid FROM sys.sql_logins WHERE name = 'TestLogin';
GO

Ma requête retourne 0x241C11948AEEB749B0D22646DB1A19F2 comme SID. Votre requête retourne une valeur différente. Les instructions suivantes suppriment la connexion, puis recréent la connexion. Utilisez le SID de votre requête précédente.

DROP LOGIN TestLogin;
GO

CREATE LOGIN TestLogin
WITH PASSWORD = 'SuperSecret52&&', SID = 0x241C11948AEEB749B0D22646DB1A19F2;

SELECT * FROM sys.sql_logins WHERE name = 'TestLogin';
GO

L’exemple suivant montre comment relier plusieurs arguments à l’aide de virgules entre chaque argument.

CREATE LOGIN [MyUser]
WITH PASSWORD = 'MyPassword',
DEFAULT_DATABASE = MyDatabase,
CHECK_POLICY = OFF,
CHECK_EXPIRATION = OFF ;

L’exemple suivant montre comment créer des connexions SQL avec le même mot de passe que les connexions existantes, comme dans un scénario de migration. La première étape consiste à récupérer le hachage de mot de passe à partir des connexions existantes sur le serveur de base de données source. Le même hachage est utilisé pour créer la connexion sur un nouveau serveur de base de données. Ainsi, la nouvelle connexion possède le même mot de passe que l’ancien serveur.

-- run this to retrieve the password hash for an individual Login:
SELECT LOGINPROPERTY('Andreas','PASSWORDHASH') AS password_hash;
-- as an alternative, the catalog view sys.sql_logins can be used to retrieve the password hashes for multiple accounts at once. (This could be used to create a dynamic sql statemnt from the result set)
SELECT name, password_hash
FROM sys.sql_logins
  WHERE
    principal_id > 1    -- excluding sa
    AND
    name NOT LIKE '##MS_%##' -- excluding special MS system accounts
-- create the new SQL Login on the new database server using the hash of the source server
CREATE LOGIN Andreas
  WITH PASSWORD = 0x02000A1A89CD6C6E4C8B30A282354C8EA0860719D5D3AD05E0CAE1952A1C6107A4ED26BEBA2A13B12FAB5093B3CC2A1055910CC0F4B9686A358604E99BB9933C75B4EA48FDEA HASHED;

L’exemple suivant crée une connexion pour le compte joe@contoso.onmicrosoft.com Microsoft Entra qui existe dans le locataire Microsoft Entra nommé contoso.

CREATE LOGIN [joe@contoso.onmicrosoft.com] FROM EXTERNAL PROVIDER

GO

L’exemple suivant crée une connexion pour un compte bob@contoso.com Microsoft Entra fédéré qui existe dans un locataire appelé contoso. L’utilisateur bob peut également être un utilisateur invité.

CREATE LOGIN [bob@contoso.com] FROM EXTERNAL PROVIDER
GO

L’exemple suivant crée une connexion pour le groupe Microsoft Entra mygroup qui existe dans le locataire contoso.

CREATE LOGIN [mygroup] FROM EXTERNAL PROVIDER
GO

L’exemple suivant crée une connexion pour l’application Microsoft Entra myapp qui existe dans le client contoso.

CREATE LOGIN [myapp] FROM EXTERNAL PROVIDER

* Azure SQL Database *

SQL Database

Pour plus d’informations sur la connectivité et l’autorisation à Azure SQL Database, consultez :

Syntaxe

-- Syntax for Azure SQL Database
CREATE LOGIN login_name
  { 
    FROM EXTERNAL PROVIDER [WITH OBJECT_ID = 'objectid'] 
    | WITH <option_list> [,..] 
  }

<option_list> ::=
    PASSWORD = { 'password' }
    [ , SID = sid ]

Arguments

login_name

Remarque

Les principaux de serveur Microsoft Entra (connexions) sont actuellement en préversion publique pour Azure SQL Database.

En cas d’utilisation avec la clause FROM EXTERNAL PROVIDER, le compte de connexion spécifie le principal Microsoft Entra, qui est un utilisateur, un groupe ou une application Microsoft Entra. Autrement, la connexion représente le nom de la connexion SQL qui a été créée.

Les utilisateurs et les principaux de service Microsoft Entra qui sont membres de plus de 2048 groupes de sécurité Microsoft Entra ne sont pas pris en charge pour se connecter à la base de données dans SQL Database, SQL Managed Instance ou Azure Synapse.

FROM EXTERNAL PROVIDER

Spécifie que la connexion concerne l’authentification Microsoft Entra.

WITH OBJECT_ID = 'objectid'

Spécifie l’ID d’objet Microsoft Entra. Si la OBJECT_ID valeur est spécifiée, la login_name n’est pas requise pour correspondre au nom complet Microsoft Entra. Le login_name doit être un nom unique dans la sys.server_principals vue et respecter toutes les autres sysname limitations. Pour plus d’informations sur l’utilisation de l’option WITH OBJECT_ID , consultez connexions Microsoft Entra et utilisateurs avec des noms d’affichage non uniques.

Remarque

Si le nom d’affichage du principal de service n’est pas un doublon, l’instruction CREATE LOGIN ou CREATE USER par défaut doit être utilisée. L’extension WITH OBJECT_ID est en préversion publique et est un élément de réparation de dépannage implémenté pour une utilisation avec des principaux de service non uniques. L’utilisation avec un principal de service unique n’est pas recommandée. L’utilisation de l’extension WITH OBJECT_ID pour un principal de service sans ajouter de suffixe s’exécute correctement, mais il n’est pas évident pour quel principal de service la connexion ou l’utilisateur a été créé. Il est recommandé de créer un alias à l’aide d’un suffixe pour identifier de manière unique le principal de service. L’extension WITH OBJECT_ID n’est pas prise en charge pour SQL Server.

PASSWORD ='password'

Spécifie le mot de passe de la connexion SQL en cours de création. Utilisez un mot de passe fort. Pour plus d’informations, consultez Mots de passe forts et Stratégie de mot de passe. Depuis SQL Server 2012 (11.x), les informations de mot de passe stockées sont calculées à l’aide de la valeur salt SHA-512 du mot de passe.

SID = sid

Utilisé pour recréer une connexion. S’applique uniquement aux connexions d’authentification SQL Server, et non aux connexions d’authentification Windows. Spécifie le SID de la nouvelle connexion d’authentification SQL Server. Si cette option n’est pas utilisée, SQL Server affecte automatiquement un SID. La structure SID dépend de la version de SQL Server. Pour SQL Database, il s’agit d’un littéral 32 octets (binary(32) ) composé de 0x01060000000000640000000000000000 plus 16 octets représentant un GUID. Par exemple : SID = 0x0106000000000064000000000000000014585E90117152449347750164BA00A7.

Notes

Les mots de passe respectent la casse.
La création d'une connexion active automatiquement la nouvelle connexion et accorde à la connexion l'autorisation CONNECT SQL au niveau du serveur.

Important

Pour plus d’informations sur l’utilisation des connexions et des utilisateurs dans Azure SQL Database, consultez Gérer des connexions dans Azure SQL Database.

Connexions SQL Database

L’instruction CREATE LOGIN doit être la seule instruction d’un traitement.

Dans certaines méthodes de connexion à SQL Database, comme sqlcmd, vous devez ajouter le nom du serveur SQL Database au nom de connexion dans la chaîne de connexion à l’aide de la notation <connexion>@<serveur>. Par exemple, si votre connexion est login1 et que le nom complet du serveur SQL Database est servername.database.windows.net, le paramètre username de la chaîne de connexion doit être login1@servername. Puisque la longueur totale du paramètre username est de 128 caractères, login_name est limité à 127 caractères moins la longueur du nom du serveur. Dans l'exemple, login_name peut contenir seulement 117 caractères car servername inclut 10 caractères.

Dans SQL Database, vous devez être connecté à la master base de données avec les autorisations appropriées pour créer une connexion. Pour plus d’informations, consultez Créer des connexions et des utilisateurs supplémentaires disposant d’autorisations administratives.

Les règles SQL Server vous permettent de créer une connexion d’authentification SQL Server au format <loginname@<servername>>. Si votre serveur SQL Database est myazureserver et que votre compte de connexion est myemail@contoso.com, vous devez fournir votre compte de connexion comme suit : myemail@contoso.com@myazureserver.

Dans SQL Database, les données de connexion exigées pour authentifier une connexion et les règles de pare-feu de niveau serveur sont temporairement mises en cache dans chaque base de données. Ce cache est régulièrement actualisé. Pour forcer une actualisation du cache d’authentification et garantir qu’une base de données a la version la plus récente de la table de connexions, exécutez DBCC FLUSHAUTHCACHE.

Autorisations

Seule la connexion du principal au niveau du serveur (créée par le processus d’approvisionnement) ou les membres du loginmanager rôle de base de données dans la master base de données peuvent créer de nouvelles connexions. Pour plus d’informations, consultez Créer des connexions et des utilisateurs supplémentaires disposant d’autorisations administratives.

Exemples

L'exemple suivant crée une connexion pour un utilisateur particulier et attribue un mot de passe. Connecter aux master bases de données, puis utilisez l’exemple de code suivant.

CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>';
GO

L’exemple suivant crée d’abord une connexion d’authentification SQL Server et détermine le SID de la connexion. Connecter aux master bases de données, puis utilisez l’exemple de code suivant.

CREATE LOGIN TestLogin WITH PASSWORD = 'SuperSecret52&&';

SELECT name, sid FROM sys.sql_logins WHERE name = 'TestLogin';
GO

DROP LOGIN TestLogin;
GO

CREATE LOGIN TestLogin
WITH PASSWORD = 'SuperSecret52&&', SID = 0x241C11948AEEB749B0D22646DB1A19F2;

SELECT * FROM sys.sql_logins WHERE name = 'TestLogin';
GO

Cet exemple crée une connexion dans le serveur logique Azure SQL à l’aide des informations d’identification d’un utilisateur bob@contoso.com qui existe dans le domaine Microsoft Entra appelé contoso. Connecter aux master bases de données, puis utilisez l’exemple de code suivant.

CREATE LOGIN [bob@contoso.com] FROM EXTERNAL PROVIDER;
GO

Vous pouvez créer un alias pour votre login_name en spécifiant l’ID d’objet du principal ou du groupe du service Microsoft Entra. Connecter aux master bases de données, puis utilisez l’exemple de code suivant.

CREATE LOGIN [myapp4466e] FROM EXTERNAL PROVIDER 
  WITH OBJECT_ID='4466e2f8-0fea-4c61-a470-xxxxxxxxxxxx';

Pour plus d’informations sur l’obtention de l’ID d’objet d’un principal de service, consultez les objets du principal de service dans Microsoft Entra ID.

* Azure SQL
Managed Instance *

Azure SQL Managed Instance

Syntaxe

-- Syntax for Azure SQL Managed Instance
CREATE LOGIN login_name [FROM EXTERNAL PROVIDER [WITH OBJECT_ID = 'objectid'] ] { WITH <option_list> [,..]}

<option_list> ::=
    PASSWORD = {'password'}
    | SID = sid
    | DEFAULT_DATABASE = database
    | DEFAULT_LANGUAGE = language

Arguments

login_name

Les utilisateurs et les principaux de service Microsoft Entra qui sont membres de plus de 2048 groupes de sécurité Microsoft Entra ne sont pas pris en charge pour se connecter aux bases de données dans Azure SQL Database, Azure SQL Managed Instance ou Azure Synapse.

FROM EXTERNAL PROVIDER

Spécifie que la connexion concerne l’authentification Microsoft Entra.

WITH OBJECT_ID = 'objectid'

Spécifie l’ID d’objet Microsoft Entra. Si la OBJECT_ID valeur est spécifiée, la login_name peut être un alias défini par l’utilisateur formé à partir du nom d’affichage du principal d’origine avec un suffixe ajouté. Le login_name doit être un nom unique dans la sys.server_principals vue et respecter toutes les autres sysname limitations. Pour plus d’informations sur l’utilisation de l’option WITH OBJECT_ID , consultez connexions Microsoft Entra et utilisateurs avec des noms d’affichage non uniques.

Remarque

Si le nom d’affichage du principal de service n’est pas un doublon, l’instruction CREATE LOGIN ou CREATE USER par défaut doit être utilisée. L’extension WITH OBJECT_ID est en préversion publique et est un élément de réparation de dépannage implémenté pour une utilisation avec des principaux de service non uniques. L’utilisation avec un principal de service unique n’est pas nécessaire. L’utilisation de l’extension WITH OBJECT_ID pour un principal de service sans ajouter de suffixe s’exécute correctement, mais il n’est pas évident pour quel principal de service la connexion ou l’utilisateur a été créé. Il est recommandé de créer un alias à l’aide d’un suffixe pour identifier de manière unique le principal de service. L’extension WITH OBJECT_ID n’est pas prise en charge pour SQL Server.

PASSWORD = 'password'

Les mots de passe respectent la casse. Les mots de passe doivent toujours comporter au moins 10 caractères et ne peuvent pas dépasser 128 caractères. Les mots de passe peuvent inclure les caractères a-z, A-Z, 0-9 et la plupart des caractères non alphanumériques. Les mots de passe ne peuvent pas contenir de guillemets simples ou le login_name.

SID = sid

Utilisé pour recréer une connexion. S’applique uniquement aux connexions d’authentification SQL Server. Spécifie le SID de la nouvelle connexion d’authentification SQL Server. Si cette option n’est pas utilisée, SQL Server affecte automatiquement un SID. La structure SID dépend de la version de SQL Server. Pour SQL Database, il s’agit d’un littéral 32 octets (binary(32) ) composé de 0x01060000000000640000000000000000 plus 16 octets représentant un GUID. Par exemple : SID = 0x0106000000000064000000000000000014585E90117152449347750164BA00A7.

Notes

La FROM EXTERNAL PROVIDER syntaxe crée des principaux au niveau du serveur mappés aux comptes Microsoft Entra
Quand FROM EXTERNAL PROVIDER est spécifié :
- Le login_name doit représenter un compte Microsoft Entra existant (utilisateur, groupe ou application) accessible dans l’ID Microsoft Entra par l’instance managée Azure SQL actuelle. Pour les principaux Microsoft Entra, la syntaxe CREATE LOGIN nécessite :
  - UserPrincipalName de l’objet Microsoft Entra pour les utilisateurs de Microsoft Entra.
  - DisplayName de l’objet Microsoft Entra pour les groupes et applications Microsoft Entra.
- L’option PASSWORD ne peut pas être utilisée.
Par défaut, lorsque la FROM EXTERNAL PROVIDER clause est omise, une connexion SQL régulière est créée.
Les connexions Microsoft Entra sont visibles dans sys.server_principals, avec la valeur de colonne de type définie E sur et type_desc définie sur EXTERNAL_LOGIN pour les connexions mappées aux utilisateurs Microsoft Entra, ou la valeur de colonne de type définie sur X et type_desc la valeur définie sur EXTERNAL_GROUP pour les connexions mappées aux groupes Microsoft Entra.
Pour obtenir un script de transfert des connexions, consultez Comment transférer les connexions et les mots de passe entre des instances de SQL Server 2005 et SQL Server 2008.
La création d'une connexion active automatiquement la nouvelle connexion et accorde à la connexion l'autorisation CONNECT SQL au niveau du serveur.

Important

Pour plus d’informations sur l’utilisation des connexions et des utilisateurs dans Azure SQL Database, consultez Gérer des connexions dans Azure SQL Database.

Connexions et autorisations

Seule la connexion du principal au niveau du serveur (créée par le processus d’approvisionnement) ou les membres du securityadmin rôle ou sysadmin de base de données dans la master base de données peuvent créer de nouvelles connexions. Pour plus d’informations, consultez Rôles de niveau serveur et ALTER SERVER ROLE.

Par défaut, l’autorisation standard accordée à une connexion master Microsoft Entra nouvellement créée est la suivante : CONNECT SQL et VIEW ANY DATABASE.

Connexions SQL Managed Instance

Doit avoir l’autorisation ALTER ANY LOGIN sur le serveur ou l’appartenance au rôle serveur fixe securityadmin ou sysadmin. Seul un compte Microsoft Entra disposant d’une autorisation ALTER ANY LOGIN sur le serveur ou l’appartenance à l’un de ces rôles peut exécuter la commande create.
Si la connexion est un principal SQL, seules les connexions qui font partie du sysadmin rôle peuvent utiliser la commande create pour créer des connexions pour un compte Microsoft Entra.
Doit être membre du même locataire Microsoft Entra que l’instance managée Azure SQL.

Après la création d’une connexion, celle-ci peut se connecter à une instance managée, mais elle dispose uniquement des autorisations accordées au rôle public. Envisagez d’effectuer certaines des activités suivantes.

Pour créer un utilisateur à partir d’une connexion Microsoft Entra, consultez CREATE USER.
Pour accorder des autorisations à un utilisateur dans une base de données, utilisez l’instruction ALTER SERVER ROLE ... ADD MEMBER pour ajouter l’utilisateur à l’un des rôles de base de données intégrés ou à un rôle personnalisé, ou accordez des autorisations à l’utilisateur directement à l’aide de l’instruction GRANT . Pour plus d’informations, voir Rôles non administrateurs, Rôles d’administrateur au niveau du serveur supplémentaires, ALTER SERVER ROLE et l’instruction GRANT.
Pour accorder des autorisations à l’échelle du serveur, créez un utilisateur de base de données dans la master base de données et utilisez l’instruction ALTER SERVER ROLE ... ADD MEMBER pour ajouter l’utilisateur à l’un des rôles de serveur d’administration. Pour plus d’informations, consultez Rôles de niveau serveur, ALTER SERVER ROLE et Rôles serveur.
- Utilisez la commande suivante pour ajouter le sysadmin rôle à une connexion Microsoft Entra : ALTER SERVER ROLE sysadmin ADD MEMBER [MS_Entra_login]
Utilisez l’instruction GRANT pour accorder des autorisations au niveau du serveur à la nouvelle connexion ou à un rôle qui contient la connexion. Pour plus d’informations, consultez GRANT.

Limites

La définition d’une connexion Microsoft Entra mappée à un groupe Microsoft Entra en tant que propriétaire de la base de données n’est pas prise en charge.
L’emprunt d’identité des connexions Microsoft Entra à l’aide d’autres principaux Microsoft Entra est pris en charge, par exemple la clause EXECUTE AS .
Seuls les principaux de serveur (connexions) qui font partie du sysadmin rôle peuvent exécuter les opérations suivantes ciblant les principaux Microsoft Entra :
- EXECUTE AS USER
- EXECUTE AS LOGIN
Les utilisateurs externes (invités) importés à partir d’un autre répertoire Microsoft Entra ne peuvent pas être directement configurés en tant qu’administrateur Microsoft Entra pour SQL Managed Instance à l’aide de la Portail Azure. Au lieu de cela, joignez un utilisateur externe à un groupe assignable de rôle et configurez le groupe en tant qu’administrateur d’instance. Vous pouvez utiliser PowerShell ou Azure CLI pour configurer des utilisateurs invités comme des administrateurs d’instance.
Les connexions ne sont pas répliquées vers l’instance secondaire dans un groupe de basculement. Les connexions sont enregistrées dans la master base de données, qui est une base de données système et, par conséquent, ne sont pas géorépliquées. Pour résoudre ce problème, les connexions doivent être créées avec le même SID sur l’instance secondaire.

-- Code to create login on the secondary instance
CREATE LOGIN foo WITH PASSWORD = '<enterStrongPasswordHere>', SID = <login_sid>;

Exemples

L'exemple suivant crée une connexion pour un utilisateur particulier et attribue un mot de passe.

CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>';
GO

L’exemple suivant crée d’abord une connexion d’authentification SQL Server et détermine le SID de la connexion.

CREATE LOGIN TestLogin WITH PASSWORD = 'SuperSecret52&&';

SELECT name, sid FROM sys.sql_logins WHERE name = 'TestLogin';
GO

DROP LOGIN TestLogin;
GO

CREATE LOGIN TestLogin
WITH PASSWORD = 'SuperSecret52&&', SID = 0x241C11948AEEB749B0D22646DB1A19F2;

SELECT * FROM sys.sql_logins WHERE name = 'TestLogin';
GO

L’exemple suivant crée une connexion pour le compte joe@contoso.onmicrosoft.com Microsoft Entra qui existe dans le locataire nommé contoso.

CREATE LOGIN [joe@contoso.onmicrosoft.com] FROM EXTERNAL PROVIDER

GO

CREATE LOGIN [bob@contoso.com] FROM EXTERNAL PROVIDER
GO

L’exemple suivant crée une connexion pour le groupe Microsoft Entra mygroup qui existe dans le locataire contoso.

CREATE LOGIN [mygroup] FROM EXTERNAL PROVIDER
GO

L’exemple suivant crée une connexion pour l’application Microsoft Entra myapp qui existe dans le client contoso.

CREATE LOGIN [myapp] FROM EXTERNAL PROVIDER

G. Vérifier les connexions nouvellement ajoutées

Pour vérifier la connexion qui vient d’être ajoutée, exécutez la commande T-SQL suivante :

SELECT *
FROM sys.server_principals;
GO

* Azure Synapse
Analytics *

Azure Synapse Analytics

Syntaxe

-- Syntax for Azure Synapse Analytics
CREATE LOGIN login_name
  { 
    FROM EXTERNAL PROVIDER
    | WITH <option_list> [,..] 
  }

<option_list> ::=
    PASSWORD = { 'password' }
    [ , SID = sid ]

Arguments

Remarque

Les principaux de serveur Microsoft Entra (connexions) sont actuellement en préversion.

Les utilisateurs et les principaux de service Microsoft (applications Microsoft Entra) membres de plus de 2048 groupes de sécurité Microsoft Entra ne sont pas pris en charge pour se connecter à la base de données dans SQL Database, SQL Managed Instance ou Azure Synapse.

FROM EXTERNAL PROVIDER

Spécifie que la connexion concerne l’authentification Microsoft Entra.

login_name

Spécifie le nom de la connexion créée. SQL Analytics dans Azure Synapse prend uniquement en charge les connexions SQL. Pour créer des comptes pour les utilisateurs De Microsoft Entra, utilisez l’instruction CREATE USER .

PASSWORD ='password'

SID = sid

Utilisé pour recréer une connexion. S’applique uniquement aux connexions d’authentification SQL Server, et non aux connexions d’authentification Windows. Spécifie le SID de la nouvelle connexion d’authentification SQL Server. Si cette option n’est pas utilisée, SQL Server affecte automatiquement un SID. La structure SID dépend de la version de SQL Server. Pour SQL Analytics, il s’agit d’un littéral 32 octets (binary(32) ) composé de 0x01060000000000640000000000000000 plus 16 octets représentant un GUID. Par exemple : SID = 0x0106000000000064000000000000000014585E90117152449347750164BA00A7.

Notes

Les mots de passe respectent la casse.
Pour obtenir un script de transfert des connexions, consultez Comment transférer les connexions et les mots de passe entre des instances de SQL Server 2005 et SQL Server 2008.
La création d'une connexion active automatiquement la nouvelle connexion et accorde à la connexion l'autorisation CONNECT SQL au niveau du serveur.
Le mode d’authentification du serveur doit correspondre au type de connexion pour autoriser l’accès.
Pour plus d’informations sur la conception d’un système d’autorisations, voir Getting Started with Database Engine Permissions.

Connexions

L’instruction CREATE LOGIN doit être la seule instruction d’un traitement.

Lorsque vous vous connectez à Azure Synapse en utilisant des outils comme sqlcmd, vous devez ajouter le nom du serveur SQL Analytics à l’ID de connexion dans la chaîne de connexion à l’aide de la notation <compte de connexion>@<serveur>. Par exemple, si votre connexion est login1 et que le nom complet du serveur SQL Analytics est servername.database.windows.net, le paramètre username de la chaîne de connexion doit être login1@servername. Puisque la longueur totale du paramètre username est de 128 caractères, login_name est limité à 127 caractères moins la longueur du nom du serveur. Dans l'exemple, login_name peut contenir seulement 117 caractères car servername inclut 10 caractères.

Pour créer une connexion, vous devez être connecté à la master base de données.

Les données de connexion exigées pour authentifier une connexion et les règles de pare-feu au niveau du serveur sont temporairement mises en cache dans chaque base de données. Ce cache est régulièrement actualisé. Pour forcer une actualisation du cache d’authentification et garantir qu’une base de données a la version la plus récente de la table de connexions, exécutez DBCC FLUSHAUTHCACHE.

Pour plus d'informations sur les connexions , consultez Gestion des bases de données et des connexions.

Autorisations

Après la création d’une connexion, celle-ci peut se connecter à Azure Synapse, mais elle dispose uniquement des autorisations accordées au rôle public. Envisagez d’effectuer certaines des activités suivantes.

Pour vous connecter à une base de données, créez un utilisateur de base de données pour la connexion. Pour plus d’informations, consultez CREATE USER.
Pour accorder des autorisations à un utilisateur dans une base de données, utilisez l’instruction ALTER SERVER ROLE ... ADD MEMBER pour ajouter l’utilisateur à l’un des rôles de base de données intégrés ou à un rôle personnalisé, ou accordez des autorisations à l’utilisateur directement à l’aide de l’instruction GRANT . Pour plus d’informations, voir Rôles non administrateurs, Rôles d’administrateur au niveau du serveur supplémentaires, ALTER SERVER ROLE et l’instruction GRANT.
Pour accorder des autorisations à l’échelle du serveur, créez un utilisateur de base de données dans la master base de données et utilisez l’instruction ALTER SERVER ROLE ... ADD MEMBER pour ajouter l’utilisateur à l’un des rôles de serveur d’administration. Pour plus d’informations, consultez Rôles de niveau serveur, ALTER SERVER ROLE et Rôles serveur.
Utilisez l’instruction GRANT pour accorder des autorisations au niveau du serveur à la nouvelle connexion ou à un rôle qui contient la connexion. Pour plus d’informations, consultez GRANT.

Exemples

L'exemple suivant crée une connexion pour un utilisateur particulier et attribue un mot de passe.

CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>';
GO

L’exemple suivant crée d’abord une connexion d’authentification SQL Server et détermine le SID de la connexion.

CREATE LOGIN TestLogin WITH PASSWORD = 'SuperSecret52&&';

SELECT name, sid FROM sys.sql_logins WHERE name = 'TestLogin';
GO

DROP LOGIN TestLogin;
GO

CREATE LOGIN TestLogin
WITH PASSWORD = 'SuperSecret52&&', SID = 0x241C11948AEEB749B0D22646DB1A19F2;

SELECT * FROM sys.sql_logins WHERE name = 'TestLogin';
GO