SQL Server における Windows 認証とデータベース認証の比較

Windows 認証は、接続するコンピュータの Windows オペレーティング システム（OS）によって提供される認証情報に基づいて、ログインを識別する手法です。

ヒント:

Microsoft SQL Server データベースは Windows オペレーティング システムでのみ実行されるため、SQL Server の OS 認証は Windows 認証とも呼ばれています。

Windows 認証ログインはデフォルトであり、SQL Server データベースのユーザのタイプとして推奨されます。デフォルトでは、SQL Server インスタンスの作成時にはこのログイン タイプのみを使用できます。

データベース ログインは、データベース マネジメント システム上で作成されるアカウントです。これらのアカウントは、オペレーティング システムに接続するために使用するログイン アカウントとは別のものです。

Windows 認証には、SQL Server におけるデータベース認証にはない利点がいくつかあります。これらの利点は以下のとおりです。

• Windows 認証は、証明書ベースのセキュリティ メカニズムを導入しているため、一般にデータベース認証よりも SQL Server データベースのセキュリティが強化されます。Windows 認証のログイン アカウントは、名前とパスワードの代わりにアクセス トークンを SQL Server に渡します。アクセス トークンは、ユーザのログイン時に Windows（Active Directory ドメインまたはローカル オペレーティング システム）によって割り当てられます。アクセス トークンには、そのユーザの一意なセキュリティ ID（SID）と、そのユーザが属しているローカルまたはドメイン Windows グループの SID が含まれています。このトークンの SID は、sys.server_principals システム ビューのすべての SID と比較されます。この比較の結果に基づいて、SQL Server へのログインが許可されるか、拒否されます。
• ドメイン アカウントを使用する場合、パスワードとアカウントは一元管理されます。ドメイン管理者が組織全体で使用されるすべてのログインを管理し、データベース管理者が個別のアカウントを管理する必要はありません。
• データベースへの接続時に、ユーザはユーザ名とパスワードを入力する必要がありません。ログイン時にシングル サインオンを利用すれば、Windows 認証がサポートされているすべてのサービスにアクセスできます。

エンタープライズ ジオデータベースで Windows 認証を使用する場合の、考慮すべき制限のいくつかは下記に示したとおりです。

• ジオデータベースへの接続に、現在のログイン アカウントとは異なる Windows ユーザを使用することはできません。TERRA\Ian としてログインした場合、TERRA\Sylvia として Windows 認証接続を確立することはできません。データベース認証を使用する場合、1 つのアカウントでコンピュータに接続しますが、ジオデータベースに接続する時には、別のユーザ名とパスワードを入力して別のユーザとして接続します。
• ArcSDE サービスと ArcSDE アプリケーション サーバが SQL Server とは異なるサーバ上にインストールされている場合、Windows 認証されたユーザは使用できません。Windows 認証ユーザを使用する場合、ジオデータベースへのダイレクト コネクションを使用するか、ArcSDE アプリケーション サーバと SQL Server を同一コンピュータ上にインストールするかのいずれかを選択することができます。