Como permitir que logins específicos funcionem apenas na réplica secundária?

Você pode configurar isso definindo a configuração "Conexões na função primária" ao configurar o roteamento somente leitura . Você tem 2 opções:

• Permitir todas as conexões (padrão)
• Permitir conexões de leitura/gravação - o que realmente significa: "Não são permitidas conexões nas quais a propriedade de conexão de intenção do aplicativo está definida como ReadOnly. Isso pode ajudar a impedir que os clientes conectem uma carga de trabalho de intenção de leitura à réplica primária por engano".

Essa configuração não está configurada no nível de login - isso depende do que você disse na primeira parte da sua pergunta, que seus logins estão usando ApplicationIntent=ReadOnly em sua string de conexão.

Se eles não pedirem isso especificamente - ou seja, se eles não declararem que vão apenas escrever - então o SQL Server não tem uma maneira rápida de saber que eles não têm permissões graváveis ​​em nenhum banco de dados, em nenhum objeto. Afinal, eles podem até executar um procedimento armazenado assinado com um certificado, e esse certificado pode permitir que eles façam gravações.

Portanto, se você realmente deseja impedir que eles façam login, mesmo que não usem ApplicationIntent=ReadOnly, eu faria isso simplesmente desabilitando seus logins no primário. Em seguida, execute um trabalho de agente a cada minuto em cada réplica, verificando se essa réplica específica é primária. Se ocorreu um failover e esta réplica agora é primária, desabilite os logons somente de relatório. Se a réplica for secundária e os logons somente de relatório estiverem desabilitados, habilite-os.

É claro que isso terá problemas se você realmente quiser desativar o login de alguém - ele será ativado instantaneamente novamente em um minuto.