SQL Server における Windows 認証とデータベース認証の比較
Windows 認証は、ユーザのコンピュータの Windows オペレーティング システム(OS)によって提供される認証情報に基づいて、ユーザを識別する手法です。
ヒント:
Microsoft SQL Server データベースは Windows オペレーティング システムでのみ実行されるため、SQL Server の OS 認証は Windows 認証とも呼ばれています。
Windows 認証ログインはデフォルトであり、SQL Server データベースのユーザのタイプとして推奨されます。デフォルトでは、SQL Server インスタンスの作成時にはこのログイン タイプのみを使用できます。
データベース ログインは、データベース マネジメント システム上で作成されるアカウントです。これらのアカウントは、オペレーティング システムに接続するために使用するログイン アカウントとは別のものです。
Windows 認証には、SQL Server におけるデータベース認証にはない利点がいくつかあります。これらの利点は以下のとおりです。
- Windows 認証は、証明書ベースのセキュリティ メカニズムを導入しているため、一般にデータベース認証よりも SQL Server データベースのセキュリティが強化されます。Windows 認証のログイン アカウントは、名前とパスワードの代わりにアクセス トークンを SQL Server に渡します。アクセス トークンは、ユーザのログイン時に Windows(Active Directory ドメインまたはローカル オペレーティング システム)によって割り当てられます。アクセス トークンには、そのユーザの一意なセキュリティ ID(SID)と、そのユーザが属しているローカルまたはドメイン Windows グループの SID が含まれています。このトークンの SID は、sys.server_principals システム ビューのすべての SID と比較されます。この比較の結果に基づいて、SQL Server へのログインが許可されるか、拒否されます。
- 通常 Windows 認証 は、既存の Windows ログインアカウントを SQL Server に追加すればよいため、容易に設定することができます。
- データベースへの接続時に、ユーザはユーザ名とパスワードを入力する必要がありません。ログイン時にシングル サインオンを利用すれば、Windows 認証がサポートされているすべてのサービスにアクセスできます。
ArcSDE ジオデータベースで Windows 認証を使用する場合の、考慮すべき制限のいくつかは下記に示したとおりです。
- ジオデータベースへの接続に、現在のログイン アカウントとは異なる Windows ユーザを使用することはできません。たとえば、TERRA\Ian としてログインした場合、TERRA\Sylvia として Windows 認証接続を確立することはできません。データベース認証を使用する場合、1 つのアカウントでコンピュータに接続しますが、ジオデータベースに接続する時には、別のユーザ名とパスワードを入力して別のユーザとして接続します。
- ArcSDE と SQL Server が異なるサーバにインストールされており、ジオデータベースへの接続に ArcSDE サービスを使用する場合は、Windows 認証ユーザを使用できません。Windows 認証ユーザを使用する場合、ジオデータベースへのダイレクト コネクションを使用するか、あるいは ArcSDE および SQL Server を同一コンピュータ上にインストールするかのいずれかを選択することができます。
関連項目
3/6/2012