Autenticazione basata sull'utente per l'app per dispositivi mobili Warehouse Management

  • Articolo

L'app per dispositivi mobili Warehouse Management supporta i seguenti tipi di autenticazione basata sull'utente:

  • Autenticazione con flusso di codice del dispositivo
  • Autenticazione con nome utente e password

Importante

A tutti gli account Microsoft Entra ID utilizzati per accedere deve essere concesso solo il set minimo di autorizzazioni necessarie per eseguire le attività di magazzino. Le autorizzazioni devono essere strettamente limitate alle attività degli utenti di dispositivi mobili di magazzino. Non utilizzare mai un account amministratore per accedere ai dispositivi.

Scenari per la gestione di dispositivi, utenti Microsoft Entra ID e utenti di dispositivi mobili

Per motivi di sicurezza, l'app per dispositivi mobili Warehouse Management utilizza Microsoft Entra ID per autenticare la connessione tra l'app e Dynamics 365 Supply Chain Management. Esistono due scenari di base per la gestione degli Microsoft Entra account utente ID per i vari dispositivi e utenti: uno in cui ciascun Microsoft Entra account utente ID rappresenta un dispositivo univoco e uno in cui ciascuno Microsoft Entra L'utente ID rappresenta un lavoratore umano unico. In ogni caso, ogni lavoratore umano avrà un record addetto al magazzino configurato nel modulo Gestione Magazzino, più uno o più account utente di dispositivi mobili per ogni record dell'addetto al magazzino. Per gli account dell'addetto al magazzino che dispongono di più di un account utente del dispositivo mobile, è possibile impostare uno di essi come account utente del dispositivo mobile predefinito. I due scenari sono:

  • Utilizza un account utente Microsoft Entra ID per ciascun dispositivo mobile – In questo scenario, gli amministratori configurano l'app per dispositivi mobili Warehouse Management per utilizzare l'autenticazione del flusso del codice del dispositivo o l'autenticazione nome utente/password per connettersi a Supply Chain Management tramite l'account Microsoft Entra ID del dispositivo (in questo scenario, i lavoratori umani non hanno bisogno di un account utente Microsoft Entra ID). L'app mostra quindi una pagina di accesso che consente ai lavoratori umani di accedere all'app in modo che possano accedere al lavoro e ad altri record che si applicano a loro nella loro posizione. I lavoratori umani accedono utilizzando l'ID utente e la password di uno degli account utente del dispositivo mobile assegnati al record addetto al magazzino. Poiché i lavoratori umani devono sempre inserire un ID utente, non importa se uno di questi account utente del dispositivo mobile è impostato come account predefinito per il record addetto al magazzino. Quando un lavoratore umano si disconnette, l'app rimane autenticata con Supply Chain Management ma mostra nuovamente la pagina di accesso, in modo che il successivo lavoratore umano possa accedere utilizzando il proprio account utente del dispositivo mobile.
  • Utilizza un account utente Microsoft Entra ID per ciascun lavoratore umano – In questo scenario, ogni utente umano ha un account utente Microsoft Entra utente ID collegato all'account dell'addetto al magazzino in Supply Chain Management. Pertanto, l'accesso dell'utente Microsoft Entra ID potrebbe essere tutto ciò di cui il lavoratore umano ha bisogno sia per autenticare l'app con Supply Chain Management sia per accedere all'app, a condizione che un ID utente predefinito è impostato per l'account dell'addetto al magazzino. Questo scenario supporta anche Single Sign-On (SSO) perché la stessa sessione Microsoft Entra ID può essere condivisa tra altre app nel dispositivo (come Microsoft Teams o Outlook) finché il lavoratore umano non esce dall'account utente di Microsoft Entra ID.

Autenticazione con flusso di codice del dispositivo

Quando utilizzi l'autenticazione del codice del dispositivo, l'app per dispositivi mobili Warehouse Management genera e mostra un codice dispositivo univoco. L'amministratore che sta configurando il dispositivo deve quindi inserire questo codice dispositivo in un modulo online, insieme alle credenziali (nome e password) per un account utente Microsoft Entra ID che rappresenta il dispositivo stesso o il lavoratore umano che ha eseguito l'accesso (a seconda di come l'amministratore ha implementato il sistema). In alcuni casi, a seconda di come è configurato l'account utente Microsoft Entra ID, un amministratore potrebbe anche dover approvare l'accesso. Oltre al codice univoco del dispositivo, l'app mobile mostra l'URL in cui l'amministratore deve inserire il codice e le credenziali per l'account utente Microsoft Entra ID.

L'autenticazione del codice del dispositivo semplifica il processo di autenticazione, poiché gli utenti non devono gestire certificati o segreti client. Tuttavia, introduce alcuni requisiti e restrizioni aggiuntivi:

  • Dovresti creare un unico account utente Microsoft Entra ID per ogni dispositivo o lavoratore umano. Inoltre, questi account devono essere strettamente limitati in modo che possano eseguire solo le attività degli utenti di dispositivi mobili di magazzino.
  • Mentre un lavoratore accede utilizzando l'app mobile Warehouse Management, gli viene mostrato un codice dispositivo generato. Questo codice scade dopo 15 minuti e viene poi nascosto dall'app. Se il codice scade prima del completamento dell'accesso, il lavoratore deve generare un nuovo codice selezionando Connetti di nuovo nell'app.
  • Se un dispositivo rimane inattivo per 90 giorni, viene automaticamente disconnesso.
  • Il Single Sign-On (SSO) non è supportato quando si usa l'autenticazione del flusso di codice del dispositivo insieme a un sistema di distribuzione di massa mobile (MDM) (come Intune) per distribuire l'app mobile Warehouse Management. Puoi comunque utilizzare un sistema MDM per distribuire l'app a ciascun dispositivo mobile e consegnare un file connections.json che configura le connessioni utilizzando il codice del dispositivo. L'unica differenza è che i lavoratori devono accedere manualmente quando iniziano a utilizzare l'app. (Questo passaggio è richiesto solo una volta.)

Autenticazione con nome utente/password

Quando utilizzi l'autenticazione con nome utente/password, ogni lavoratore umano deve inserire il nome utente e la password Microsoft Entra ID associati al dispositivo o a se stesso (a seconda dello scenario di autenticazione che stai utilizzando). Potrebbe anche essere necessario inserire l'ID e la password dell'account utente per dispositivi mobili, a seconda dell'impostazione dell'addetto al magazzino. Questo metodo di autenticazione supporta single sign-on (SSO), che migliora anche la comodità della distribuzione di massa mobile (MDM).

Registra un'applicazione in Microsoft Entra ID (facoltativo)

L'app mobile Warehouse Management utilizza un'applicazione Microsoft Entra ID per autenticarsi e Connetti al tuo catena di approvvigionamento Management ambiente. È possibile utilizzare un'applicazione globale fornita e gestita da Microsoft oppure registrare la propria applicazione in Microsoft Entra ID seguendo la procedura descritta in questa sezione.

Importante

Nella maggior parte dei casi, ti consigliamo di utilizzare l'applicazione Microsoft Entra ID globale, poiché è più semplice da configurare, utilizzare e gestire. (Per ulteriori informazioni, vedi Installare l'app mobile Gestione magazzino.) In tal caso, puoi saltare questa sezione. Tuttavia, se hai requisiti specifici che l'applicazione globale non soddisfa (come i requisiti per alcuni ambienti locali), puoi registrare la tua applicazione come descritto qui.

La procedura seguente mostra un modo per registrare un'applicazione in Microsoft Entra ID. Per informazioni dettagliate e alternative, utilizzare i collegamenti successivi alla procedura.

  1. In un Web browser, vai a https://portal.azure.com.

  2. Immetti il nome e la password dell'utente che ha accesso alla sottoscrizione Azure.

  3. Nel portale di Azure, nel riquadro di spostamento a sinistra, fai clic su Microsoft Entra ID.

  4. Assicurati di lavorare con l'istanza di Microsoft Entra ID che viene utilizzata da Supply Chain Management.

  5. Nell'elenco Gestisci, seleziona Registrazioni app.

  6. Sulla barra degli strumenti, seleziona Nuova registrazione per aprire la procedura guidata Registra un'applicazione.

  7. Immetti un nome per l'applicazione, seleziona l'opzione Solo account nella directory organizzativa, quindi Registra.

  8. La nuova registrazione dell'app viene aperta. Annota il valore nel campo ID applicazione (client), poiché sarà necessario in seguito. In seguito in questo articolo si farà riferimento a questo ID come ID client.

  9. Nell'elenco Gestisci, seleziona Autenticazione.

  10. Nella pagina Autenticazione della nuova app, imposta l'opzione Abilita i seguenti flussi per dispositivi mobili e desktop su per abilitare il flusso del codice del dispositivo per la tua applicazione. Quindi selezionare Salva.

  11. Seleziona Aggiungi una piattaforma.

  12. Nella finestra di dialogo Configura piattaforma, seleziona il riquadro Applicazioni per dispositivi mobili e desktop.

  13. Nella finestra di dialogo Configura desktop e dispositivi, imposta il campo URI di reindirizzamento personalizzati sul valore seguente:

    ms-appx-web://microsoft.aad.brokerplugin/S-1-15-2-3857744515-191373067-2574334635-916324744-1634607484-364543842-2321633333

  14. Seleziona Configura per salvare le impostazioni e chiudere le finestre di dialogo.

  15. Torni quindi alla pagina Autenticazione, che ora mostra la configurazione della nuova piattaforma. Seleziona nuovamente Aggiungi una piattaforma.

  16. Nella finestra di dialogo Configura piattaforma, seleziona Android.

  17. Nella finestra di dialogo Configura l'app Android, imposta i seguenti campi:

    • Nome pacchetto: immetti il seguente valore:

      com.microsoft.warehousemanagement

    • Hash della firma : inserisci il seguente valore:

      hpavxC1xAIAr5u39m1waWrUbsO8=

  18. Seleziona Configura per salvare le impostazioni e chiudere la finestra di dialogo. Quindi seleziona Fatto per tornare alla pagina Autenticazione, che ora mostra le configurazioni della nuova piattaforma.

  19. Seleziona nuovamente Aggiungi una piattaforma.

  20. Nella finestra di dialogo Configura piattaforma, seleziona iOS/macOS.

  21. Nella finestra di dialogo Configura l'app iOS o macOS, imposta il campo ID aggregazione su com.microsoft.WarehouseManagement.

  22. Seleziona Configura per salvare le impostazioni e chiudere la finestra di dialogo. Quindi seleziona Fatto per tornare alla pagina Autenticazione, che ora mostra le configurazioni della nuova piattaforma.

  23. Nella sezione Impostazioni avanzate, imposta Consenti flussi client pubblici su .

  24. Nell'elenco Gestisci, seleziona Autenticazioni API.

  25. Seleziona Aggiungi un'autorizzazione.

  26. Nella finestra di dialogo Richiedi autorizzazioni API, nella scheda API Microsoft, seleziona il riquadro Dynamics ERP quindi il riquadro Autorizzazioni delegate. In CustomService, seleziona la casella di controllo CustomService.FullAccess. Infine, seleziona Aggiungi autorizzazioni per salvare le modifiche.

  27. Nel riquadro di spostamento a sinistra, seleziona Microsoft Entra ID.

  28. Nell'elenco Gestisci, seleziona Applicazioni aziendali. Quindi, nel nuovo elenco Gestisci, seleziona Tutte le applicazioni.

  29. Nel modulo di ricerca, inserisci il nome che hai inserito per l'app in precedenza in questa procedura. Verifica che il valore ID applicazione per l'app trovata corrisponda all'ID client che hai copiato in precedenza. Quindi seleziona il collegamento nella colonna Nome per aprire le proprietà dell'app.

  30. Nell'elenco Gestisci, seleziona Proprietà.

  31. Imposta l'opzione Assegnazione richiesta? su e l'opzione Visibile agli utenti? su No. Seleziona Salva nella barra degli strumenti.

  32. Nell'elenco Gestisci, seleziona Utenti e gruppi.

  33. Nella barra degli strumenti, seleziona Aggiungi utente/gruppo.

  34. Nella pagina Aggiungi assegnazione, seleziona il collegamento sotto l'intestazione Utenti.

  35. Nella finestra di dialogo Utenti, seleziona ciascun utente che utilizzerai per autenticare i dispositivi con Supply Chain Management.

  36. Seleziona Seleziona per applicare le impostazioni e chiudere la finestra di dialogo. Quindi seleziona Assegna per applicare le impostazioni e chiudere la pagina Aggiungi assegnazione.

  37. Nell'elenco Sicurezza, seleziona Autorizzazioni.

  38. Seleziona Concedi consenso amministratore per <tuo tenant> e concedi il consenso dell'amministratore per conto dei tuoi utenti. Se non disponi delle autorizzazioni necessarie, torna all'elenco Gestisci, apri Proprietà e imposta l'opzione Assegnazione richiesta? opzione su Falso. Ciascun utente può quindi fornire il consenso individualmente.

Per ulteriori informazioni su come registrare un'applicazione in Microsoft Entra ID, consulta le seguenti risorse:

Configurare i record di dipendenti, utenti e addetti al magazzino in Supply Chain Management

Prima che gli addetti possano iniziare ad accedere utilizzando l'app per dispositivi mobili, ogni account di Microsoft Entra ID assegnato all'app aziendale in Azure deve avere un record dipendente, utente e addetto al magazzino corrispondente in Supply Chain Management. Per informazioni su come impostare questi record, vedi Account utente di dispositivi mobili.

Single Sign-On

Per utilizzare Single Sign-On, devi eseguire la versione dell'app per dispositivi mobili Warehouse Management 2.1.23.0 o successiva.

SSO consente agli utenti di accedere senza dover immettere una password. Funziona riutilizzando le credenziali del Portale aziendale Intune (solo Android ), Microsoft Authenticator (Android e iOS) o altre app nel dispositivo.

Nota

SSO richiede l'utilizzo dell'autenticazione nome utente/password.

Per utilizzare SSO, seguire uno di questi passaggi, a seconda di come configuri la connessione.

  • Se configuri manualmente la connessione nell'app per dispositivi mobili Warehouse Management, devi abilitare l'opzione Autenticazione negoziata nella pagina Modifica connessione dell'app per dispositivi mobili.
  • Se configuri la connessione utilizzando un file JavaScript Object Notation (JSON) o un codice a matrice per la connessione, devi includere "UseBroker": true nel tuo file JSON o codice a matrice.

Importante

  • Per utilizzare la distribuzione di massa su dispositivi mobili, è necessario abilitare SSO.
  • L'app per dispositivi mobili Warehouse Management non supporta la modalità del dispositivo condiviso.

Rimuovere l'accesso per un dispositivo che utilizza l'autenticazione basata sull'utente

Se un dispositivo è perso o compromesso, è necessario rimuovere l'accesso a Supply Chain Management dello stesso. Quando un dispositivo viene autenticato utilizzando il flusso del codice del dispositivo, è essenziale disabilitare l'utente associato in Microsoft Entra ID per revocare l'accesso a quel dispositivo in caso di smarrimento o compromissione. Disabilitando l'account utente in Microsoft Entra ID, revochi effettivamente l'accesso per qualsiasi dispositivo che utilizza il codice del dispositivo associato a tale account utente. Per questo motivo, ti consigliamo di averne un account utente Microsoft Entra ID per dispositivo.

Per disabilitare un account utente in Microsoft Entra ID, attenersi alla procedura seguente.

  1. Accedere al portale Azure.
  2. Nel riquadro di navigazione sinistro, seleziona Microsoft Entra ID e assicurati di essere nella directory corretta.
  3. Nell'elenco Gestisci, seleziona Utenti.
  4. Trova l'account utente associato al codice del dispositivo e seleziona il nome per aprire il profilo dell'utente.
  5. Dalla barra degli strumenti, seleziona Revoca sessioni per revocare le sessioni dell'account utente.

Nota

A seconda di come imposti il tuo sistema di autenticazione, potresti anche voler cambiare la password dell'account utente o disabilitare completamente l'account utente.

Risorse aggiuntive