Autenticação baseada no usuário para o aplicativo móvel Warehouse Management

  • Artigo

O aplicativo móvel Warehouse Management dá suporte aos seguintes tipos de autenticação baseada no usuário:

  • Autenticação de fluxo de código do dispositivo
  • Autenticação de nome de usuário e senha

Importante

Todas as contas do Microsoft Entra ID usadas para se conectar devem receber somente o conjunto mínimo de permissões necessárias para executar suas tarefas de depósito. As permissões devem ser rigorosamente limitadas às atividades do usuário do dispositivo móvel do depósito. Nunca use uma conta de administrador para entrar nos dispositivos.

Cenários para gerenciar dispositivos, usuários do Microsoft Entra ID e usuários de dispositivos móveis

Para fins de segurança, o aplicativo móvel Warehouse Management usa o Microsoft Entra ID para autenticar a conexão entre o aplicativo e o Dynamics 365 Supply Chain Management. There dois cenários básicos para gerenciamento Microsoft Entra Contas de usuário de ID para seus vários dispositivos e usuários: uma em que cada Microsoft Entra conta de usuário de ID representa um dispositivo exclusivo e outra em que cada Microsoft Entra usuário de ID representa um trabalhador humano exclusivo. Em cada caso, cada trabalhador humano terá um conjunto de registros de trabalhador de depósito configurado no módulo Gerenciamento de depósito, além de uma ou mais contas de usuário do dispositivo móvel de usuário para cada registro de trabalhador do depósito. Para contas de trabalhador de depósito que tenham mais de uma conta de usuário de dispositivo móvel, é possível tornar uma delas a conta de usuário de dispositivo móvel padrão. Os dois cenários são:

  • Usar uma conta de usuário do Microsoft Entra ID para cada dispositivo móvel – nesse cenário, os administradores configuram o aplicativo móvel Warehouse Management para usar a autenticação de fluxo de código do dispositivo ou a autenticação de nome de usuário/senha para se conectar ao Supply Chain Management por meio da conta do Microsoft Entra ID do dispositivo. (Nesse cenário, os trabalhadores humanos não precisam de uma conta de usuário do Microsoft Entra.) Em seguida, o aplicativo exibirá uma página de entrada que permite que os trabalhadores humanos entrem no aplicativo para que possam obter acesso ao trabalho e a outros registros que se aplicam a eles em seu local. Os trabalhadores humanos entram usando a ID de usuário e a senha de uma das contas de usuário do dispositivo móvel atribuídas ao seu registro de trabalhador do depósito. Como os trabalhadores humanos devem sempre inserir uma ID de usuário, não importa qual dessas contas de usuário do dispositivo móvel esteja definida como conta padrão para o registro do trabalhador do depósito. Quando um trabalhador humano se desconecta, o aplicativo permanece autenticado no Supply Chain Management, mas mostra a página de entrada novamente, para que o próximo trabalhador humano possa entrar usando sua conta de usuário do dispositivo móvel.
  • Usar uma conta de usuário do Microsoft Entra ID para cada trabalhador humano – nesse cenário, cada usuário humano tem uma conta de usuário do Microsoft Entra ID vinculada à sua conta de trabalhador de depósito no Supply Chain Management. Portanto, a entrada do usuário do Microsoft Entra ID pode ser tudo o que o trabalhador humano precisa para autenticar o aplicativo no Supply Chain Management e entrar no aplicativo, desde que uma ID de usuário padrão seja definida para a conta do trabalhador do depósito. Esse cenário também oferece suporte ao logon único (SSO) porque a mesma sessão do Microsoft Entra ID pode ser compartilhada entre outros aplicativos no dispositivo (como o Microsoft Teams ou o Outlook) até que o trabalhador humano saia da conta de usuário do Microsoft Entra ID.

Autenticação de fluxo de código do dispositivo

Quando você usa a autenticação de código do dispositivo, o aplicativo móvel Warehouse Management gera e exibe um código exclusivo do dispositivo. O administrador que está configurando o dispositivo deve inserir esse código em um formulário online, juntamente com as credenciais (nome e senha) de uma conta de usuário do Microsoft Entra ID, que representa o próprio dispositivo ou o trabalhador humano que está se conectando (dependendo de como o administrador tiver implementado o sistema). Em alguns casos, dependendo da forma como a conta de usuário do Microsoft Entra ID é configurada, um administrador também pode ter de aprovar a entrada. Além do código exclusivo do dispositivo, o aplicativo móvel exibe a URL na qual o administrador deve inserir o código e as credenciais da conta de usuário do Microsoft Entra ID.

A autenticação de código do dispositivo simplifica o processo de autenticação porque os usuários não precisam gerenciar certificados ou segredos do cliente. No entanto, ela introduz alguns requisitos e restrições adicionais:

  • Você deve criar uma conta de usuário exclusiva do Microsoft Entra ID para cada dispositivo ou trabalhador humano. Além disso, essas contas devem ser estritamente limitadas para que possam executar somente atividades do usuário do dispositivo móvel de depósito.
  • Enquanto um trabalhador faz logon usando o aplicativo móvel Warehouse Management, um código de dispositivo gerado é mostrado a ele. Esse código expira após 15 minutos e, em seguida, é ocultado pelo aplicativo. Se o código expirar antes da conclusão da entrada, o trabalhador deverá gerar um novo código selecionando Conectar novamente no aplicativo.
  • Se um dispositivo permanecer ocioso por 90 dias, ele será desconectado automaticamente.
  • Não há suporte para logon único (SSO) quando você usa a autenticação de fluxo de código do dispositivo com um sistema móvel de implantação em massa (MDM) (como o Intune) para distribuir o aplicativo móvel Warehouse Management. Você ainda pode usar um sistema MDM para entregar o aplicativo a cada dispositivo móvel e entregar um connections.json arquivo que configura conexões usando o código do dispositivo. A única diferença é que os trabalhadores devem fazer logon manualmente quando começarem a usar o aplicativo. (Este etapa é necessário apenas uma vez.)

Autenticação de nome de usuário/senha

Quando você usa a autenticação de nome de usuário/senha, cada trabalhador humano deve inserir o nome de usuário e a senha do Microsoft Entra ID associados ao dispositivo ou a eles mesmos (dependendo do cenário de autenticação que você estiver usando). Eles também podem precisar inserir uma ID de conta de usuário e senha do dispositivo móvel, dependendo da configuração do registro de trabalhador do depósito. Esse método de autenticação oferece suporte ao logon único (SSO), que também aumenta a conveniência da implantação em massa móvel (MDM).

Registrar um aplicativo no Microsoft Entra ID (opcional)

O aplicativo móvel Warehouse Management usa um Microsoft Entra aplicativo de ID para autenticar e se conectar ao ambiente do cadeia de fornecedores Management. Você pode usar um aplicativo global fornecido e mantido pela Microsoft ou pode registrar seu próprio aplicativo no Microsoft Entra ID seguindo o procedimento desta seção.

Importante

Na maioria das situações, recomendamos que você use o aplicativo de ID global Microsoft Entra , porque é mais fácil de configurar, usar e manter. (Para obter mais informações, consulte Instale o aplicativo móvel Warehouse Management.) Nesse caso, você pode ignorar esta seção. No entanto, se você tiver requisitos específicos que o aplicativo global não atende (como os requisitos de alguns ambientes locais), poderá registrar seu próprio aplicativo conforme descrito Here.

O procedimento a seguir mostra uma maneira de registrar um aplicativo no Microsoft Entra ID. Para obter informações detalhadas e alternativas, use os links após o procedimento.

  1. Em um navegador da Web, Acesse https://portal.azure.com.

  2. Insira o nome e a senha do usuário que tem acesso à assinatura do Azure.

  3. No portal do Azure, no painel de navegação à esquerda, selecione Microsoft Entra ID.

  4. Trabalhe com a instância do Microsoft Entra ID usada pelo Supply Chain Management.

  5. Na lista Gerenciar, selecione Registros de aplicativos.

  6. Na barra de ferramentas, selecione Novo registro para abrir o assistente Registrar um aplicativo.

  7. Insira um nome para o aplicativo, selecione Contas somente neste diretório organizacional e clique em Registrar.

  8. O novo registro de aplicativo é aberto. Anote o valor da ID do aplicativo (cliente), porque você precisará dele mais tarde. A ID será mencionada posteriormente neste artigo como a ID do cliente.

  9. Na lista Gerenciar, selecione Autenticação.

  10. Na página Autenticação do novo aplicativo, defina a opção Habilitar os fluxos de dispositivo móvel e desktop como Sim para habilitar o fluxo do código de dispositivo para o aplicativo. Selecione Salvar.

  11. Selecione Adicionar uma plataforma.

  12. Na caixa de diálogo Configurar plataforma, selecione o bloco Aplicativos móveis e de desktop.

  13. Na caixa de diálogo Configurar Desktop + dispositivos, defina o campo URIs de redirecionamento personalizados como o seguinte valor:

    ms-appx-web://microsoft.aad.brokerplugin/S-1-15-2-3857744515-191373067-2574334635-916324744-1634607484-364543842-2321633333

  14. Selecione Configurar para salvar as configurações e fechar as caixas de diálogo.

  15. Você retorna à página Autenticação, que agora mostra a configuração da nova plataforma. Selecione novamente Adicionar uma plataforma.

  16. Na caixa de diálogo Configurar plataforma, selecione Android.

  17. Na caixa de diálogo Configurar o aplicativo Android, defina os seguintes campos:

    • Nome do pacote – insira o seguinte valor:

      com.microsoft.warehousemanagement

    • Hash de assinatura – insira o seguinte valor:

      hpavxC1xAIAr5u39m1waWrUbsO8=

  18. Selecione Configurar para salvar as configurações e fechar a caixa de diálogo. Em seguida, selecione Concluído para retornar à página Autenticação, que agora mostra as configurações da nova plataforma.

  19. Selecione novamente Adicionar uma plataforma.

  20. Na caixa de diálogo Configurar plataforma, selecione iOS/macOS.

  21. Na caixa de diálogo Configurar o aplicativo iOS ou macOS, defina o campo ID do pacote como com.microsoft.WarehouseManagement.

  22. Selecione Configurar para salvar as configurações e fechar a caixa de diálogo. Em seguida, selecione Concluído para retornar à página Autenticação, que agora mostra as configurações da nova plataforma.

  23. Na seção Configurações avançadas, defina Permitir fluxos de clientes públicos como Sim.

  24. Na lista Gerenciar, selecione Permissões de API.

  25. Selecione Adicionar uma permissão.

  26. Na caixa de diálogo Solicitar permissões de API, na guia APIs Microsoft, selecione o bloco Dynamics ERP e, em seguida, o bloco Permissões delegadas. Em CustomService, marque a caixa de seleção CustomService.FullAccess. Por fim, selecione Adicionar permissões para salvar as alterações.

  27. No painel de navegação à esquerda, selecione Microsoft Entra ID.

  28. Na lista Gerenciar, selecione Aplicativos empresariais. Em seguida, na nova lista Gerenciar, selecione Todos os aplicativos.

  29. No formulário de pesquisa, insira o nome que você inseriu para o aplicativo anteriormente neste procedimento. Confirme se o valor da ID do Aplicativo para o aplicativo encontrado corresponde à ID do cliente que você copiou anteriormente. em seguida, selecione o link na coluna Nome para abrir as propriedades do aplicativo.

  30. Na lista Gerenciar, selecione Propriedades.

  31. Definir a opção Atribuição necessária? como Sim e a opção Visível para os usuários? como Não. Em seguida, selecione Salvar na barra de ferramentas.

  32. Na lista Gerenciar, selecione Usuários e grupos.

  33. Na barra de ferramentas, selecione Adicionar usuário/grupo.

  34. Na página Adicionar Atribuição, selecione o link no cabeçalho Usuários.

  35. Na caixa de diálogo Usuários, selecione cada usuário que você usará para autenticar dispositivos no Supply Chain Management.

  36. Selecione Selecionar para aplicar suas configurações e fechar a caixa de diálogo. Em seguida, selecione Atribuir para aplicar suas configurações e feche a página Adicionar Atribuição.

  37. Na lista Segurança, selecione Permissões.

  38. Selecione Conceder consentimento do administrador para <seu locatário> e conceda consentimento de administrador em nome de seus usuários. Se você não tiver as permissões necessárias, retorne à lista Gerenciar , abra Propriedades e defina a opção Atribuição necessária? como Falso. Cada usuário poderá então fornecer consentimento individualmente.

Para obter mais informações sobre como registrar um aplicativo no Microsoft Entra ID, consulte os seguintes recursos:

Configurar registros de funcionário, usuário e trabalhador do depósito no Supply Chain Management

Antes que os trabalhadores possam começar a entrar usando o aplicativo móvel, cada conta do Microsoft Entra ID atribuída ao aplicativo empresarial no Azure deve ter um registro de funcionário, um registro de usuário e um registro de trabalhador de depósito correspondentes no Supply Chain Management. Para obter informações sobre como configurar esses registros, consulte Contas de usuário do dispositivo móvel.

Logon único

Para usar logon único (SSO), você deve estar executando o aplicativo móvel Warehouse Management versão 2.1.23.0 ou posteriores.

O SSO permite aos usuários entrar sem precisar inserir uma senha. Ele funciona reutilizando credenciais do Portal da Empresa do Intune (Android somente), do Microsoft Authenticator (Android e iOS) ou de outros aplicativos no dispositivo.

Observação

O SSO requer que você use autenticação de nome de usuário/senha.

Para usar o SSO, siga uma destas etapas, dependendo de como você configurar a conexão.

  • Se configurar manualmente a conexão no aplicativo móvel Warehouse Management, você deverá habilitar a opção Autenticação Agenciada na página Editar conexão do aplicativo.
  • Se configurar a conexão usando um arquivo JavaScript Object Notation (JSON) ou um código QR, você deverá incluir "UseBroker": true no arquivo JSON ou no código QR.

Importante

  • Para usar implantação em massa móvel (MDM), você deve habilitar o SSO.
  • O aplicativo móvel Warehouse Management não dá suporte ao modo de dispositivo compartilhado.

Remover acesso de um dispositivo que usa autenticação baseada no usuário

Em caso de perda ou comprometimento do dispositivo, será necessário remover a capacidade dele de acessar o Supply Chain Management. Quando um dispositivo é autenticado usando o fluxo de código do dispositivo, é essencial que você desabilite a conta de usuário do Microsoft Entra ID associada para revogar o acesso desse dispositivo se ele for perdido ou comprometido. Ao desabilitar a conta de usuário no Microsoft Entra ID, você efetivamente revoga o acesso de qualquer dispositivo que use o código do dispositivo associado a essa conta de usuário. Por esse motivo, recomendamos que você tenha uma conta de usuário do Microsoft Entra ID por dispositivo.

Para desabilitar uma conta de usuário no Microsoft Entra ID, siga estas etapas:

  1. Entre no portal do Azure.
  2. No painel de navegação à esquerda, selecione Microsoft Entra ID e verifique se você está no diretório correto.
  3. Na lista Gerenciar, selecione Usuários.
  4. Encontre a conta de usuário associada ao código do dispositivo e selecione o nome para abrir o perfil do usuário.
  5. Na barra de ferramentas, selecione Revogar sessões para revogar as sessões da conta de usuário.

Observação

Dependendo de como o sistema de autenticação foi configurado, talvez você também queira alterar a senha da conta de usuário ou desabilitá-la completamente.

Recursos adicionais