Compartir a través de


Autenticación basada en servicios para la aplicación móvil Warehouse Management

La aplicación móvil Warehouse Management admite los siguientes tipos de autenticación basada en usuario:

  • Autenticación de flujo de código de dispositivo
  • Autenticación con nombre de usuario y contraseña

Importante

Todas las cuentas de Microsoft Entra ID que se utilizan para iniciar sesión deben recibir solo el conjunto mínimo de permisos que requieren para realizar sus tareas de almacenamiento. Los permisos deben limitarse estrictamente a las actividades de los usuarios de dispositivos móviles del almacén. Nunca use una cuenta de administrador para iniciar sesión en los dispositivos.

Escenarios para administrar dispositivos, usuarios de Microsoft Entra ID y usuarios de dispositivos móviles

Por motivos de seguridad, la aplicación móvil de Warehouse Management utiliza Microsoft Entra ID para autenticar la conexión entre la aplicación y Dynamics 365 Supply Chain Management. Hay dos escenarios básicos para administrar cuentas de Microsoft Entra usuario de ID para sus diversos dispositivos y usuarios: uno donde cada Microsoft Entra cuenta de usuario de ID representa un dispositivo único y otro donde cada Microsoft Entra usuario de ID representa a un trabajador humano único. En cada caso, cada trabajador humano tendrá un registro de trabajador de almacén configurado en el módulo Warehouse management, además de una o más cuentas de usuario de dispositivos móviles para cada registro de trabajador de almacén. Para las cuentas de trabajadores de almacén que tienen más de una cuenta de usuario de dispositivo móvil, es posible convertir una de ellas en la cuenta de usuario de dispositivo móvil predeterminada. Los dos escenarios son:

  • Usar una Microsoft Entra cuenta de usuario de ID para cada dispositivo móvil: en este escenario, los administradores configuran la aplicación móvil Warehouse Management para utilizar la autenticación de flujo de código de dispositivo o la autenticación de nombre de usuario/contraseña para Conectar a cadena de suministro Management a través de la cuenta de ID del Microsoft Entra dispositivo. (En este escenario, los trabajadores humanos no necesitan una cuenta de usuario de Microsoft Entra). Luego, la aplicación muestra una página de inicio de sesión que permite a los trabajadores humanos iniciar sesión en la aplicación para que puedan obtener acceso al trabajo y otros registros que les corresponden en su ubicación. Los trabajadores humanos inician sesión utilizando el id. de usuario y la contraseña de una de las cuentas de usuario de dispositivos móviles que están asignadas a su registro de trabajador de almacén. Como los trabajadores humanos siempre deben especificar un id. de usuario, no importa cuál de estas cuentas de usuario de dispositivos móviles esté configurada como predeterminada para el registro de trabajador del almacén. Cuando un trabajador humano cierra sesión, la aplicación permanece autenticada con Supply Chain Management pero muestra la página de inicio de sesión nuevamente, para que el siguiente trabajador humano pueda iniciar sesión con su cuenta de usuario de dispositivo móvil.
  • Usar una Microsoft Entra cuenta de usuario de identificador por cada trabajador humano: en este escenario, cada usuario humano tiene una Microsoft Entra cuenta de usuario de identificador que está vinculada a su cuenta de trabajador de almacén en cadena de suministro Management. Por lo tanto, el inicio de sesión de usuario con Microsoft Entra ID puede ser todo lo que el trabajador humano necesita para autenticar la aplicación con Supply Chain Management e iniciar sesión en la aplicación, siempre que exista un ID de usuario predeterminado configurado para la cuenta del trabajador del almacén. Este escenario también admite inicio de sesión único (SSO), porque la misma sesión de Microsoft Entra ID se puede compartir entre otras aplicaciones en el dispositivo (como Microsoft Teams o Outlook) hasta que el trabajador humano cierre sesión en la cuenta de usuario de Microsoft Entra ID.

Autenticación de flujo de código de dispositivo

Cuando utiliza la autenticación de código de dispositivo, la aplicación móvil Warehouse Management genera y muestra un código de dispositivo único. A continuación, el administrador que está configurando el dispositivo debe introducir este código de dispositivo en un formulario en línea, junto con las credenciales (nombre y contraseña) de una cuenta de usuario de Microsoft Entra ID que represente al propio dispositivo o al trabajador humano que se está registrando (dependiendo de cómo haya implementado el sistema el administrador). En algunos casos, dependiendo de cómo esté configurada la cuenta de usuario de Microsoft Entra ID, es posible que un administrador también deba aprobar el inicio de sesión. Además del código único del dispositivo, la aplicación móvil muestra la URL donde el administrador debe introducir el código y las credenciales de la cuenta de usuario de Microsoft Entra ID.

La autenticación de código de dispositivo simplifica el proceso de autenticación, porque los usuarios no tienen que administrar certificados o secretos de clientes. Sin embargo, introduce algunos requisitos y restricciones adicionales:

  • Debe crear una cuenta de usuario de Microsoft Entra ID única para cada dispositivo o trabajador humano. Además, estas cuentas deben estar estrictamente limitadas para que solo puedan realizar actividades de usuarios de dispositivos móviles de almacén.
  • Mientras un trabajador inicia sesión con la aplicación móvil Warehouse Management, se le muestra un código de dispositivo generado. Este código caduca después de 15 minutos y luego la aplicación lo oculta. Si el código caduca antes de completar el inicio de sesión, el trabajador debe generar un nuevo código seleccionandoConectar de nuevo en la aplicación.
  • Si un dispositivo permanece inactivo durante 90 días, se cierra la sesión automáticamente.
  • El inicio de sesión único (SSO) no se admite cuando utiliza la autenticación de flujo de código de dispositivo junto con un sistema de implementación masiva móvil (MDM) (como Intune) para distribuir la aplicación móvil Warehouse Management. Todavía puede usar un sistema MDM para entregar la aplicación a cada dispositivo móvil y entregar un connections.json archivo que configure las conexiones mediante el código del dispositivo. La única diferencia es que los trabajadores deben iniciar sesión manualmente cuando comienzan a usar la aplicación. (Este paso solo se requiere una vez).

Autenticación con nombre de usuario/contraseña

Cuando utiliza la autenticación de nombre de usuario/contraseña, cada trabajador humano debe introducir el nombre de usuario y la contraseña de Microsoft Entra ID asociados con el dispositivo o con ellos mismos (dependiendo del escenario de autenticación que está usando). Es posible que también deban introducir un ID de cuenta de usuario y una contraseña de dispositivo móvil, dependiendo de su configuración de registro de trabajador de almacén. Este método de autenticación admite el inicio de sesión único (SSO), lo que también mejora la comodidad de la implementación masiva móvil (MDM).

Registrar una aplicación en Microsoft Entra ID (opcional)

La aplicación móvil Warehouse Management utiliza una Microsoft Entra aplicación de identificación para autenticarse y Conectar a su ambiente de cadena de suministro Management. Puede usar una aplicación global proporcionada y mantenida por Microsoft, o bien puede registrar su propia aplicación en Microsoft Entra ID siguiendo el procedimiento de esta sección.

Importante

En la mayoría de las situaciones, le recomendamos que utilice la aplicación de Id. global Microsoft Entra porque es más fácil de configurar, usar y mantener. (Para obtener más información, consulte Instalar la aplicación móvil Warehouse Management). En ese caso, puede omitir esta sección. Sin embargo, si tiene requisitos específicos que la aplicación global no cumple (como los requisitos para algunos entornos locales), puede registrar su propia aplicación como se describe aquí.

El siguiente procedimiento muestra una forma de registrar una aplicación en Microsoft Entra ID. Para obtener información detallada y alternativas, utilice los enlaces después del procedimiento.

  1. En un explorador web, vaya a https://portal.azure.com.

  2. Especifique el nombre y la contraseña del usuario que tiene acceso a la suscripción de Azure.

  3. En el portal de Azure, en el panel de navegación izquierdo, seleccione Microsoft Entra ID.

  4. Asegúrese de estar trabajando con la instancia de Microsoft Entra ID que utilice Supply Chain Management.

  5. En la lista Administrar, seleccione Registros de aplicación.

  6. En la barra de herramientas, seleccione Nuevo registro para abrir el asistente Registrar una solicitud.

  7. Escriba un nombre para la aplicación, seleccione la opción Solo cuentas en el directorio de esta organización y luego elija Registrar.

  8. Se abre su nuevo registro de aplicación. Anote el valor de Id. de aplicación (cliente), puesto que lo necesitará más adelante. Este id. se referirá más adelante en este artículo como Id. de cliente.

  9. En la lista Administrar, seleccione Autenticación.

  10. En la página Autenticación para la nueva aplicación, configure la opción Habilitar los siguientes flujos móviles y de escritorio en para habilitar el flujo de código de dispositivo para su aplicación. A continuación, seleccione Guardar.

  11. Seleccione Agregar una plataforma.

  12. En el cuadro de diálogo Configurar plataforma, seleccione Aplicaciones móviles y de escritorio.

  13. En el cuadro de diálogo Configurar escritorio + dispositivos, establezca el campo URI de redirección personalizada en el siguiente valor:

    ms-appx-web://microsoft.aad.brokerplugin/S-1-15-2-3857744515-191373067-2574334635-916324744-1634607484-364543842-2321633333
    
  14. Seleccione Configurar para guardar su configuración y cerrar los cuadros de diálogo.

  15. Regresa a la página Autenticación, que ahora muestra la nueva configuración de tu plataforma. Seleccione Agregar una plataforma de nuevo.

  16. En el cuadro de diálogo Configurar plataforma, seleccione Android.

  17. En el cuadro de diálogo Configurar su aplicación Android, seleccione los siguientes campos:

    • Nombre del paquete: introduzca el siguiente valor:

      com.microsoft.warehousemanagement
      
    • Hash de firma: introduzca el siguiente valor:

      hpavxC1xAIAr5u39m1waWrUbsO8=
      
  18. Seleccione Configurar para guardar su configuración y cerrar el cuadro de diálogo. Luego seleccione Hecho para volver a la página Autenticación, que ahora muestra las configuraciones de su nueva plataforma.

  19. Seleccione Agregar una plataforma de nuevo.

  20. En el cuadro de diálogo Configurar plataforma, seleccione iOS/Mac OS.

  21. En el cuadro de diálogo Configura tu iOS o aplicación macOS, establezca el campo ID del paquete en com.microsoft.WarehouseManagement.

  22. Seleccione Configurar para guardar su configuración y cerrar el cuadro de diálogo. Luego seleccione Hecho para volver a la página Autenticación, que ahora muestra las configuraciones de su nueva plataforma.

  23. En la sección Ajustes avanzados, establezca Permitir flujos de clientes públicos en .

  24. En la lista Administrar, seleccione Permisos de API.

  25. Seleccione Agregar un permiso.

  26. En el cuadro de diálogo Solicitar permisos de API, en la pestaña API de Microsoft, seleccione el mosaico Dynamics ERP y luego el mosaico Permisos delegados. En CustomService, seleccione la casilla de verificación CustomService.FullAccess. Finalmente, seleccione Agregar permisos para guardar sus cambios.

  27. En el panel de navegación izquierdo, seleccione Microsoft Entra ID.

  28. En la lista Administrar, seleccione Aplicaciones empresariales. Luego, en la nueva lista Administrar, seleccione Todas las aplicaciones.

  29. En el formulario de búsqueda, introduzca el nombre que introdujo para la aplicación anteriormente en este procedimiento. Confirme que el valor del Id. de aplicación para la aplicación encontrada coincida con el Id. de cliente que copió anteriormente. A continuación, seleccione el vínculo de la columna Nombre para abrir la página de propiedades de la aplicación.

  30. En la lista Administrar, seleccione Propiedades.

  31. Establezca la opción ¿Se requiere asignación? en y la opción ¿Visible para los usuarios? en No. A continuación, seleccione Guardar en la barra de herramientas.

  32. En la lista Administrar, seleccione Usuarios y grupos.

  33. En la barra de herramientas, seleccione Agregar usuario/grupo.

  34. En la página Agregar asignación, seleccione el vínculo debajo del encabezado Usuarios.

  35. En el cuadro de diálogo Usuarios, seleccione cada usuario que usará para autenticar dispositivos con Supply Chain Management.

  36. Seleccione Seleccionar para aplicar su configuración y cerrar el cuadro de diálogo de consulta. Luego seleccione Asignar para aplicar su configuración y cerrar la página Agregar asignación.

  37. En la lista Seguridad, seleccione Permisos.

  38. Seleccione Otorgar consentimiento del administrador para <su inquilino> y otorgue consentimiento de administrador en nombre de sus usuarios. Si no tiene los permisos necesarios, regrese a la lista Administrar, abra Propiedades y configure la opción ¿Se requiere asignación? para Falso. Luego, cada usuario puede dar su consentimiento individualmente.

Para obtener más información sobre cómo registrar una aplicación en Microsoft Entra ID, consulte los siguientes recursos:

Configurar registros de empleados, usuarios y trabajadores del almacén en Supply Chain Management

Antes de que los trabajadores puedan comenzar a iniciar sesión mediante la aplicación móvil, cada cuenta de Microsoft Entra ID que asignó a la aplicación empresarial en Azure debe tener un registro de empleado, un registro de usuario y un registro de trabajador de almacén correspondientes en Supply Chain Management. . Para obtener información sobre cómo configurar estos registros, consulte Cuentas de usuario de dispositivos móviles.

Inicio de sesión único

Para utilizar el inicio de sesión único (SSO), debe ejecutar la versión de la aplicación móvil Warehouse Management 2.1.23.0 o posterior.

SSO permite a los usuarios iniciar sesión sin tener que ingresar una contraseña. Funciona reutilizando las credenciales de Intune Portal de empresa (Android solo), Microsoft Authenticator (Android y iOS) u otras aplicaciones en el dispositivo.

Nota

SSO requiere que utilice el nombre de usuario/contraseña de autenticación.

Para usar SSO, seguir uno de estos pasos, dependiendo de cómo configure la conexión.

  • Si configura manualmente la conexión en la aplicación móvil Warehouse Management, debe habilitar la opción Autenticación mediante agente en la página Editar conexión de la aplicación móvil.
  • Si configura la conexión utilizando un archivo de notación de objetos JavaScript (JSON) o un código QR, debe incluir "UseBroker": true en su Archivo JSON o código QR.

Importante

Eliminar el acceso a un dispositivo que utiliza autenticación basada en usuario

Si se ha perdido un dispositivo o está en riesgo, debe eliminar su capacidad de acceder a Supply Chain Management. Cuando un dispositivo se autentica mediante el flujo de código del dispositivo, es esencial que desactive la cuenta de usuario asociada en Microsoft Entra ID para revocar el acceso a ese dispositivo si alguna vez se pierde o está en riesgo. Al deshabilitar la cuenta de usuario en Microsoft Entra ID, efectivamente revoca el acceso para cualquier dispositivo que use el código de dispositivo asociado con esa cuenta de usuario. Por ese motivo, le recomendamos que tenga una cuenta de usuario de Microsoft Entra ID por dispositivo.

Para deshabilitar una cuenta de usuario en Microsoft Entra ID, siga estos pasos.

  1. Inicie sesión en el portal de Azure.
  2. En el panel de navegación izquierdo, seleccione Microsoft Entra ID y asegúrese de estar en el directorio correcto.
  3. En la lista Administrar, seleccione Usuarios.
  4. Busque la cuenta de usuario asociada con el código del dispositivo y seleccione el nombre para abrir el perfil del usuario.
  5. En la barra de herramientas, seleccione Revocar sesiones para revocar las sesiones de la cuenta de usuario.

Nota

Dependiendo de cómo configure su sistema de autenticación, es posible que también desee cambiar la contraseña de la cuenta de usuario o deshabilitar completamente la cuenta de usuario.

Recursos adicionales