ArcMap

Una comparación de la autenticación de sistema operativo y de base de datos en SQL Server

La autenticación del sistema operativo (SO) es un método para identificar una conexión con credenciales suministradas por el sistema operativo del equipo que se conecta.

Los inicios de sesión autenticados por el sistema operativo son el tipo predeterminado y, por lo tanto, el tipo recomendado de inicios de sesión para las bases de datos de SQL Server. De manera predeterminada, este es el único tipo de inicio de sesión permitido cuando se crea una instancia de SQL Server.

Los inicios de sesión de la base de datos son cuentas creadas en el sistema de administración de bases de datos. Estas cuentas están separadas de la cuenta de inicio de sesión que utiliza para conectarse al sistema operativo.

La autenticación de sistema operativo ofrece algunas ventajas sobre la autenticación de base de datos en SQL Server. Estas ventajas son las siguientes:

  • La autenticación del sistema operativo generalmente es más segura en las bases de datos de SQL Server que la autenticación de la base de datos, dado que utiliza un mecanismo de seguridad basado en certificados. Los inicios de sesión autenticados de sistema operativo transfieren un token de acceso en lugar de un nombre y una contraseña a SQL Server. Windows (dominio de Active Directory o sistema operativo local) asigna el token de acceso cuando el usuario inicia sesión. Contiene un Id. de seguridad (SID) único para ese usuario y los SID de los grupos de Windows locales o de dominio a los que pertenece el usuario. Estos SID de token se comparan a todos los SID en la vista del sistema sys.server_principals. Basado en los resultados de esta comparación, el inicio de sesión garantiza o niega el acceso al SQL Server.
  • Si utiliza cuentas de dominio, la administración de contraseñas y de las cuentas es centralizada; el administrador del dominio administra todos los inicios de sesión que se utilizan en la organización y el administrador de la base de datos no necesita administrar cuentas separadas.
  • Cuando el usuario se conecta a la base de datos, no se le pide que introduzca un nombre de usuario y una contraseña. Un único inicio de sesión proporciona acceso a todos los servicios que son compatibles con la autenticación de SO.

Una restricción que se debe tener en cuenta cuando se usa la autenticación de SO con geodatabases corporativas es que el usuario no puede conectarse a la geodatabase como un usuario diferente del empleado en el inicio de sesión actual. Por ejemplo, si inició sesión en el equipo como TERRA\Ian, no puede realizar una conexión autenticada por SO como TERRA\Sylvia. Si utiliza la autenticación de base de datos, puede iniciar sesión en el equipo como un usuario y proporcionar un nombre de usuario y una contraseña diferentes para conectarse a la geodatabase.