Microsoft SQL Server 2016 ofrece aos administradores dúas opcións para implementar o xeito no que o sistema autenticará aos usuarios: modo de autenticación de Windows ou modo de autenticación mixta.
A autenticación de Windows significa que SQL Server valida a identidade dun usuario usando só o seu nome de usuario e contrasinal de Windows. Se o usuario xa foi autenticado polo sistema Windows, SQL Server non solicita un contrasinal.
O modo mixto significa que SQL Server permite tanto a autenticación de Windows como a autenticación de SQL Server. A autenticación de SQL Server crea conexións de usuario sen relación con Windows.
Conceptos básicos de autenticación
A autenticación é o proceso de confirmar a identidade dun usuario ou ordenador. O proceso normalmente consta de catro pasos:
- O usuario fai unha reclamación de identidade, xeralmente proporcionando un nome de usuario.
- O sistema desafía ao usuario a probar a súa identidade. O desafío máis común é unha solicitude de contrasinal.
- O usuario responde ao reto facilitando a proba solicitada, normalmente unha contraseña.
- O sistema verifica que o usuario proporcionou probas aceptables por exemplo, comprobando o contrasinal contra unha base de datos de contrasinais local ou usando un servidor de autenticación centralizado.
Para a nosa discusión sobre os modos de autenticación de SQL Server, o punto crítico está no cuarto paso anterior: o punto no que o sistema verifica a proba de identidade do usuario. A elección dun modo de autenticación determina onde SQL Server vai verificar o contrasinal do usuario.
Sobre os modos de autenticación de SQL Server
Exploraremos estes dous modos un pouco máis:
O modo de autenticación de Windows require que os usuarios proporcionen un nome de usuario e unha contrasinal de Windows válidos para acceder ao servidor de bases de datos. Se se elixe este modo, SQL Server desactiva a funcionalidade de inicio de sesión específica de SQL Server e a identidade do usuario só se confirma a través da súa conta de Windows. Este modo é ás veces referido como seguridade integrada debido á dependencia de SQL Server en Windows para a autenticación.
O modo de autenticación mixto permite o uso de credenciais de Windows, pero complementa-las con contas de usuarios locais de SQL Server que o administrador crea e mantén dentro de SQL Server. O nome de usuario e contrasinal do usuario están almacenados no SQL Server e os usuarios deben ser reautorizados cada vez que se conectan.
Selección dun modo de autenticación
A recomendación de mellores prácticas de Microsoft é usar o modo de autenticación de Windows sempre que sexa posible. O principal beneficio é que o uso deste modo permítelle centralizar a administración da conta para toda a empresa nun só lugar: Active Directory. Isto reduce drasticamente as posibilidades de erro ou supervisión. Debido a que Windows confirma a identidade do usuario, as contas específicas de usuario e grupo de Windows pódense configurar para iniciar sesión en SQL Server. Ademais, a autenticación de Windows usa o cifrado para autenticar usuarios de SQL Server.
A autenticación de SQL Server, por outra banda, permite que os nomes de usuario e contrasinais se pasen por toda a rede, facéndoos menos seguros. Este modo pode ser unha boa opción, con todo, se os usuarios se están conectando desde distintos dominios non fiables ou se hai posibles aplicacións de Internet menos seguras, como ASP.NET.
Por exemplo, considere o escenario en que un administrador da base de datos de confianza abandona a súa organización en termos hostís. Se usa o modo de autenticación de Windows, a revogación do acceso do usuario realízase automaticamente cando desactiva ou elimina a conta de Active Directory de DBA.
Se usa o modo de autenticación mixta, non só ten que desactivar a conta de Windows de DBA, pero tamén precisa pentear a través das listas de usuarios locais en cada servidor de bases de datos para asegurarse de que non existen contas locais nas que o DBA pode coñecer o contrasinal. Isto é moito traballo.
En resumo, o modo que elixe afecta tanto o nivel de seguridade como a facilidade de mantemento das bases de datos da súa organización.