Desativei especificamente um login no servidor de banco de dados. Este é um banco de dados SQL como serviço hospedado no Azure.
alter login [********@hotmail.com] disable
Esta é a aparência do login no servidor. Como você pode ver, o X vermelho no ícone indica que ele está de fato desabilitado.
Mesmo assim, consigo fazer login no servidor e acessar o banco de dados para o qual esse usuário está definido. Como isso é possível? O que significa desabilitar um login no servidor de banco de dados se isso não impedir que essa conta faça login no servidor de banco de dados?
Testei esse comportamento com duas contas diferentes, de dois domínios de autenticação diferentes. Ambos exibem o mesmo comportamento.
O que estou tentando fazer é definir o usuário no banco de dados para que o usuário possa acessar o banco de dados no servidor de réplica de leitura, mas desabilitar (ou remover) o login correspondente do servidor primário para que esse usuário não seja capaz de acessar o banco de dados primário no servidor primário. No entanto, estou descobrindo que, com a conta Microsoft Entra (Azure AD) definida como um usuário em um banco de dados específico, não faz absolutamente nenhuma diferença se houver um logon correspondente definido no servidor ou se não houver nenhum logon definido no servidor , ou se houver um login definido no servidor, mas ele estiver especificamente desabilitado. Isso é um bug na forma como os logins de contas de usuários externos são tratados? Meu entendimento da relação login/usuário é que primeiro é necessário que haja um login em situação regular no servidor e que esta é a primeira coisa que é verificada ao fazer login em um servidor de banco de dados. Isso não está correto?
Nova informação:
Estou vendo esse comportamento mesmo com usuários do SQL Server. Posso simplesmente criar um usuário SQL Server em um banco de dados e depois fazer login para acessar esse banco de dados SEM criar um login de servidor. Esse comportamento é o que esperaríamos de um banco de dados independente. ( https://learn.microsoft.com/en-us/sql/relational-databases/databases/contained-databases?view=sql-server-ver16 ) No entanto, o banco de dados não está contido!
Portanto, o banco de dados não está contido, mas as conexões exibem todo o comportamento que esperaríamos da contenção. Há contenção parcial acontecendo aqui? Como eu determinaria se esse é o caso? E se for esse o caso, como eu reconfiguraria o banco de dados para que as conexões seguissem o modelo tradicional de login do servidor -> usuário do banco de dados?
Os usuários do banco de dados independente estão sempre disponíveis no Banco de Dados SQL do Azure.
https://learn.microsoft.com/en-us/azure/azure-sql/database/logins-create-manage?view=azuresql#create-accounts-for-non-administrator-users
Meu problema era que eu estava criando um Server Login e depois estava criando um Database User, mas não estava conectando o User ao Login . Como tal, o Usuário era na verdade um usuário contido , mesmo que meu banco de dados em si não esteja definido como contido.
A sintaxe correta (gorjeta para David Browne - Microsoft) para criar um usuário não contido (ou seja, "convencional"), vinculado ao login do servidor associado é a seguinte:
Em seguida, desativo (ou excluo) o Login no meu servidor primário e crio o Login no meu servidor de réplica (usando a primeira instrução SQL, conforme mostrado acima). Isso é exatamente o que eu preciso! Alice agora pode se conectar ao banco de dados no servidor de réplica, mas não consegue se conectar ao banco de dados no servidor primário. (Na verdade, por alguma razão estranha, Alice consegue se conectar ao servidor primário, pode ver todo o banco de dados no servidor, mas tem acesso negado a todos os objetos dentro desses bancos de dados. Não sei por que isso funciona dessa maneira, mas o efeito líquido é o que eu preciso - Alice não consegue consultar ou manipular quaisquer dados do banco de dados no servidor primário.)
Aqui estão alguns links para artigos sobre modelos de contenção de banco de dados e autenticação de conexão.
https://learn.microsoft.com/en-us/sql/relational-databases/databases/contained-databases?view=sql-server-ver16
https://learn.microsoft.com/en-us/sql/relational-databases/security/authentication-access/create-a-database-user?view=sql-server-ver16
Como mostra o diagrama, nem todo fluxo de autenticação requer login no servidor. Algumas definições de usuário estão totalmente contidas em seu banco de dados e a autenticação ignora qualquer login do servidor.