Microsoft SQL Server 2016 menawarkan administrator dua pilihan untuk mengimplementasikan bagaimana sistem akan mengotentikasi pengguna: Mode otentikasi Windows atau mode otentikasi campuran.
Otentikasi Windows berarti bahwa SQL Server memvalidasi identitas pengguna hanya menggunakan nama pengguna dan kata sandi Windows-nya. Jika pengguna telah diotentikasi oleh sistem Windows, SQL Server tidak meminta kata sandi.
Mode campuran berarti bahwa SQL Server memungkinkan otentikasi Windows dan otentikasi Server SQL. Otentikasi SQL Server membuat login pengguna yang tidak terkait dengan Windows.
Dasar-dasar Otentikasi
Otentikasi adalah proses mengkonfirmasikan identitas pengguna atau komputer. Proses biasanya terdiri dari empat langkah:
- Pengguna membuat klaim identitas, biasanya dengan memberikan nama pengguna.
- Sistem ini menantang pengguna untuk membuktikan identitasnya. Tantangan paling umum adalah permintaan kata sandi.
- Pengguna menanggapi tantangan dengan memberikan bukti yang diminta, biasanya kata sandi.
- Sistem memverifikasi bahwa pengguna telah memberikan bukti yang dapat diterima dengan, misalnya, memeriksa kata sandi terhadap basis data kata sandi lokal atau menggunakan server otentikasi terpusat.
Untuk pembahasan tentang mode otentikasi SQL Server, titik kritis ada pada langkah keempat di atas: titik di mana sistem memverifikasi bukti identitas pengguna. Pilihan mode otentikasi menentukan di mana SQL Server pergi untuk memverifikasi kata sandi pengguna.
Tentang Mode Otentikasi SQL Server
Mari kita telusuri dua mode ini sedikit lebih jauh:
Mode otentikasi Windows mengharuskan pengguna untuk memberikan nama pengguna dan kata sandi Windows yang valid untuk mengakses server database. Jika mode ini dipilih, SQL Server menonaktifkan fungsi login SQL Server-spesifik, dan identitas pengguna dikonfirmasi hanya melalui akun Windows-nya. Mode ini kadang-kadang disebut sebagai keamanan terintegrasi karena ketergantungan SQL Server pada Windows untuk otentikasi.
Mode autentikasi campuran memungkinkan penggunaan kredensial Windows tetapi melengkapi mereka dengan akun pengguna SQL Server lokal yang dibuat dan dikelola oleh administrator dalam SQL Server. Nama pengguna dan kata sandi pengguna keduanya disimpan dalam SQL Server, dan pengguna harus diautentikasi ulang setiap kali mereka terhubung.
Memilih Mode Otentikasi
Rekomendasi praktik terbaik Microsoft adalah menggunakan mode otentikasi Windows bila memungkinkan. Manfaat utamanya adalah bahwa penggunaan mode ini memungkinkan Anda untuk memusatkan administrasi akun untuk seluruh perusahaan Anda dalam satu tempat: Active Directory. Ini secara dramatis mengurangi kemungkinan kesalahan atau pengawasan. Karena identitas pengguna dikonfirmasi oleh Windows, akun pengguna dan grup Windows tertentu dapat dikonfigurasi untuk masuk ke SQL Server. Selanjutnya, otentikasi Windows menggunakan enkripsi untuk mengotentikasi pengguna SQL Server.
Otentikasi SQL Server, di sisi lain, memungkinkan nama pengguna dan kata sandi dilewatkan ke seluruh jaringan, membuat mereka kurang aman. Mode ini dapat menjadi pilihan yang baik, namun, jika pengguna menghubungkan dari berbagai domain tidak tepercaya atau ketika aplikasi Internet yang mungkin kurang aman digunakan, seperti ASP.NET.
Misalnya, perhatikan skenario di mana administrator basis data tepercaya meninggalkan organisasi Anda pada istilah yang tidak bersahabat. Jika Anda menggunakan mode autentikasi Windows, mencabut akses pengguna itu terjadi secara otomatis saat Anda menonaktifkan atau menghapus akun Active Directory DBA.
Jika Anda menggunakan mode autentikasi campuran, Anda tidak hanya perlu menonaktifkan akun Windows DBA, tetapi Anda juga perlu menyisir daftar pengguna lokal di setiap server basis data untuk memastikan bahwa tidak ada akun lokal di mana DBA dapat mengetahui kata sandi. Itu banyak pekerjaan!
Singkatnya, mode yang Anda pilih memengaruhi tingkat keamanan dan kemudahan pemeliharaan basis data organisasi Anda.