Autenticação baseada no utilizador para a aplicação móvel Warehouse Management
A aplicação móvel Warehouse Management suporta os seguintes tipos de autenticação baseada no utilizador:
- Autenticação de fluxo de código do dispositivo
- Autenticação de nome de utilizador e palavra-passe
Importante
Todas as contas do Microsoft Entra ID utilizadas para iniciar sessão têm de possuir apenas o conjunto mínimo de permissões necessário para executar as suas tarefas de armazém. As permissões deverão ser estritamente limitadas a atividades de utilizadores de dispositivo móvel de armazém. Nunca utilize uma conta de administrador para iniciar sessão em dispositivos.
Cenários para gerir dispositivos, utilizadores do Microsoft Entra ID e utilizadores de dispositivos móveis
Por motivos de segurança, a aplicação móvel Warehouse Management utiliza o Microsoft Entra ID para autenticar a ligação entre a aplicação e o Dynamics 365 Supply Chain Management. Existem dois cenários básicos para gerir contas de Microsoft Entra utilizador de ID para os seus vários dispositivos e utilizadores: um em que cada Microsoft Entra conta de utilizador de ID representa um dispositivo único e outro em que cada Microsoft Entra utilizador de ID representa um trabalhador humano único. Em cada caso, cada trabalhador humano terá um registo de trabalhador de armazém configurado no módulo do Warehouse Management, para além de uma ou mais contas de utilizador de dispositivo móvel por cada registo de trabalhador de armazém. Para contas de trabalhador de armazém que tenham mais do que uma conta de utilizador de dispositivo móvel, é possível tornar uma delas a conta de utilizador de dispositivo móvel predefinida. Os dois cenários são:
- Use uma Microsoft Entra conta de utente de ID para cada dispositivo móvel– Neste cenário, os administradores configuram o aplicativo móvel Warehouse Management para usar a autenticação de fluxo de código de dispositivo ou a autenticação de nome de utente/senha para se conectar ao Gerenciamento de cadeia de fornecimento por meio da conta de ID do Microsoft Entra dispositivo. (Neste cenário, os trabalhadores humanos não precisam de uma conta de utilizador do Microsoft Entra ID) Em seguida, a aplicação mostra uma página de início de sessão que permite aos trabalhadores humanos iniciar sessão na aplicação para que possam ter acesso ao trabalho e a outros registos que se aplicam a eles na sua localização. Os trabalhadores humanos iniciam sessão utilizando o ID de utilizador e a palavra-passe de uma das contas de utilizador do dispositivo móvel que estão atribuídas ao respetivo registo de trabalhador de armazém. Uma vez que os trabalhadores humanos têm sempre de introduzir um ID de utilizador, não importa se uma das contas de utilizador de dispositivo móvel está definida como a conta predefinida para o registo de trabalhador de armazém. Quando um trabalhador humano termina a sessão, a aplicação permanece autenticada com o Supply Chain Management, mas mostra novamente a página de início de sessão, para que o próximo trabalhador humano possa iniciar sessão utilizando a respetiva conta de utilizador de dispositivo móvel.
- Use uma Microsoft Entra conta de utente de ID para cada trabalhador humano– Neste cenário, cada utente humano tem uma Microsoft Entra conta de utente de ID vinculada à sua conta de funcionário de armazém no cadeia de fornecimento Management. Portanto, o início de sessão do utilizador do Microsoft Entra ID pode ser tudo o que o trabalhador humano precisa para autenticar a aplicação com o Supply Chain Management e iniciar sessão na aplicação, desde que esteja definido um ID de utilizador predefinido para a conta de trabalhador do armazém. Este cenário também suporta o início de sessão único (SSO) porque a mesma sessão do Microsoft Entra ID pode ser partilhada entre outras aplicações no dispositivo (como o Microsoft Teams ou o Outlook) até que o trabalhador humano termine sessão da conta de utilizador do Microsoft Entra ID.
Autenticação de fluxo de código do dispositivo
Quando utiliza a autenticação de código do dispositivo, a aplicação móvel Warehouse Management gera e apresenta um código de dispositivo exclusivo. O admin que está a configurar o dispositivo deverá então inserir esse código de dispositivo num formulário online, juntamente com as credenciais (nome e palavra-passe) de uma conta de utilizador do Microsoft Entra ID que represente o próprio dispositivo ou o trabalhador humano que está a iniciar sessão (dependendo da forma como o administrador implementou o sistema). Em alguns casos, dependendo da forma como a conta de utilizador do Microsoft Entra ID esteja configurada, também poderá ser necessária a aprovação do início de sessão por parte de um administrador. Além do código de dispositivo exclusivo, a aplicação móvel mostra o URL onde o admin deverá inserir o código e as credenciais da conta de utilizador do Microsoft Entra ID.
A autenticação de código do dispositivo simplifica o processo de autenticação, uma vez que os utilizadores não têm de gerir certificados ou segredos de cliente. No entanto, introduz alguns requisitos e restrições adicionais:
- Deverá criar uma conta de utilizador exclusiva do Microsoft Entra ID para cada dispositivo ou trabalhador humano. Além disso, essas contas deverão ser estritamente limitadas para que apenas possam realizar atividades de utilizadores de dispositivo móvel de armazém.
- Enquanto um trabalhador inicia sessão utilizando a aplicação móvel Warehouse Management, é-lhe mostrado um código de dispositivo gerado. Esse código expira após 15 minutos e fica oculto pelo aplicativo. Se o código expirar antes que o login seja concluído, o trabalhador deverá gerar um novo código selecionando Conectar novamente no aplicativo.
- Se um dispositivo permanecer inativo durante 90 dias, a respetiva sessão será automaticamente terminada.
- O logon único (SSO) não é suportado quando você usa a autenticação de fluxo de código de dispositivo junto com um sistema móvel de implantação em massa (MDM) (como Intune) para distribuir o aplicativo móvel Warehouse Management. Você ainda pode usar um sistema MDM para entregar o aplicativo para cada dispositivo móvel e entregar um
connections.json
ficheiro que configura conexões usando o código do dispositivo. A única diferença é que os trabalhadores devem fazer login manualmente quando começarem a usar o aplicativo. (Isto passo é necessário apenas uma vez.)
Autenticação de nome de utilizador/palavra-passe
Quando usa a autenticação de nome de utilizador/palavra-passe, cada trabalhador humano tem de introduzir o nome de utilizador e a palavra-passe do Microsoft Entra ID associados ao dispositivo ou a si mesmos (dependendo do cenário de autenticação que está a usar). Também podem ter de introduzir um ID de conta de utilizador e palavra-passe do dispositivo móvel, dependendo da configuração do registo de trabalhador de armazém. Esse método de autenticação oferece suporte ao logon único (SSO), que também aumenta a conveniência da implantação em massa móvel (MDM).
Registar uma candidatura no Microsoft Entra ID (opcional)
A aplicação móvel Warehouse Management utiliza uma Microsoft Entra aplicação ID para autenticar e ligar ao seu ambiente cadeia de fornecimento Management. Você pode usar um aplicativo global fornecido e mantido por Microsoft ou pode registrar seu próprio aplicativo em Microsoft Entra ID seguindo o procedimento nesta secção.
Importante
Na maioria das situações, recomendamos que você use o aplicativo de ID global Microsoft Entra , pois é mais fácil de configurar, usar e manter. (Para mais informações, consulte Instale a aplicação móvel Warehouse Management.) Nesse caso, pode ignorar esta secção. No entanto, se você tiver requisitos específicos que o aplicativo global não atende (como os requisitos para alguns ambientes locais), poderá registrar seu próprio aplicativo conforme descrito aqui.
O procedimento a seguir mostra uma maneira de registrar um aplicativo no Microsoft Entra ID. Para obter informações detalhadas e alternativas, use os ligações após o procedimento.
Num browser, vá para https://portal.azure.com.
Introduza o nome e a palavra-passe do utilizador que tem acesso à subscrição do Azure.
No portal do Azure, no painel de navegação da esquerda, selecione Microsoft Entra ID.
Certifique-se de que está a trabalhar com a instância do Microsoft Entra ID utilizada pelo Supply Chain Management.
Na lista Gerir, selecione Registos de aplicações.
Na barra de ferramentas, selecione Novo registo para abrir o assistente Registar uma aplicação.
Introduza um nome para a aplicação, selecione a opção Contas apenas neste diretório organizacional e, em seguida, selecione Registar.'
O seu novo registo de aplicações está aberto. Tome nota do valor ID da aplicação (cliente), pois precisará dele mais tarde. Este ID é referido adiante neste artigo como o ID de cliente.
Na lista Gerir, selecione Autenticação.
Na página Autenticação da nova aplicação, defina a opção Ativar os seguintes fluxos móveis e de ambiente de trabalho como Sim para ativar o fluxo de código do dispositivo para a sua aplicação. Em seguida, selecione Guardar.
Selecione Adicionar uma plataforma.
Na caixa de diálogo Configurar plataforma, selecione Aplicações móveis e de ambiente de trabalho.
Na caixa de diálogo Configurar ambiente de trabalho + dispositivos , defina o campo URL de redirecionamento personalizados com o seguinte valor:
ms-appx-web://microsoft.aad.brokerplugin/S-1-15-2-3857744515-191373067-2574334635-916324744-1634607484-364543842-2321633333
Selecione Configurar para guardar as suas definições e fechar as caixas de diálogo.
Regressa à página Autenticação, que agora mostra a sua nova configuração de plataforma. Selecione Adicionar uma plataforma novamente.
Na caixa de diálogo Configurar plataforma, selecione Android.
Na caixa de diálogo Configurar a sua aplicação Android, defina os seguintes campos:
Nome do pacote– Insira o seguinte valor:
com.microsoft.warehousemanagement
Hash de assinatura – Insira o seguinte valor:
hpavxC1xAIAr5u39m1waWrUbsO8=
Selecione Configurar para guardar as suas definições e fechar a caixa de diálogo. Em seguida, selecione Concluído para regressar à página Autenticação, que agora mostra as novas configurações da plataforma.
Selecione Adicionar uma plataforma novamente.
Na caixa de diálogo Configurar plataforma, selecione iOS/macOS.
Na caixa de diálogo Configurar a sua aplicação iOS ou macOS, defina o campo ID do Grupo como com.microsoft.WarehouseManagement.
Selecione Configurar para guardar as suas definições e fechar a caixa de diálogo. Em seguida, selecione Concluído para regressar à página Autenticação, que agora mostra as novas configurações da plataforma.
Na secção Definições avançadas, defina Permitir fluxos de clientes públicos como Sim.
Na lista Gerir, selecione Permissões de API.
Selecione Adicionar uma permissão.
Na caixa de diálogo Solicitar permissões de API, no separador APIs Microsoft , selecione o mosaico Dynamics ERP e o mosaico Permissões delegadas. Em CustomService, marque a caixa de verificação CustomService.FullAccess. Por fim, selecione Adicionar permissões para guardar as suas alterações.
No painel de navegação da esquerda, selecione Microsoft Entra ID.
Na lista Gerir, selecione Aplicações empresariais. Em seguida, na nova lista Gerir, selecione Todas as aplicações.
No formulário de pesquisa, digite o nome que introduziu para a aplicação mais atrás neste procedimento. Confirme se o valor ID da Aplicação encontrado para a aplicação corresponde ao ID de cliente que copiou anteriormente. Em seguida, selecione a ligação na coluna Nome para abrir as propriedades da aplicação.
Na lista Gerir, selecione Propriedades.
Defina a opção Necessária atribuição? como Sim e a opção Visível para os utilizadores? como Não. Em seguida, selecione Guardar na barra de ferramentas.
Na lista Gerir, selecione Utilizadores e grupos.
Na barra de ferramentas, selecione Adicionar utilizador/grupo.
Na página Adicionar atribuição, selecione a ligação sob o título Utilizadores.
Na caixa de diálogo Utilizadores, selecione cada utilizador que usará para autenticar dispositivos junto do Supply Chain Management.
Selecione Selecionar para aplicar as definições e fechar a caixa de diálogo. Em seguida, selecione Atribuir para aplicar as suas definições e fechar a página Adicionar atribuição.
Na lista Segurança, selecione Permissões.
Selecione Conceder consentimento do administrador para <o seu inquilino> e conceda o consentimento do administrador em nome dos seus utilizadores. Se não tiver as permissões necessárias, regresse à lista Gerir, abra Propriedades e defina a opção Atribuição necessária? como False. Cada utilizador pode então fornecer o consentimento individualmente.
Para obter mais informações sobre como registrar um aplicativo no Microsoft Entra ID, consulte os seguintes recursos:
Para obter instruções que mostram como usar o Windows PowerShell para registrar um aplicativo na Microsoft Entra ID, consulte Como usar Azure PowerShell para criar uma entidade de serviço com um certificado.
Para obter detalhes completos sobre como registrar manualmente um aplicativo no Microsoft Entra ID, consulte os seguintes artigos:
Configurar registos de colaborador, de utilizador e de trabalhador de armazém no Supply Chain Management
Antes de os trabalhadores poderem começar a iniciar sessão com a aplicação móvel, cada conta Microsoft Entra ID que atribuiu à aplicação empresarial no Azure tem de ter um registo de colaborador, registo de utilizador e registo de trabalhador de armazém correspondente no Supply Chain Management. Para informações sobre como configurar estes registos, consulte Contas de utilizador de dispositivo móvel.
Início de sessão único
Para utilizar o início de sessão único (SSO), tem de estar a executar a versão 2.1.23.0 ou posterior da aplicação móvel Warehouse Management.
O SSO permite que os utilizadores iniciem sessão sem precisar de introduzir uma palavra-passe. Funciona reutilizando credenciais do Intune Portal da Empresa (Android apenas), do Microsoft Authenticator (Android e iOS) ou de outras aplicações no dispositivo.
Nota
O SSO requer que use a autenticação de nome de utilizador/palavra-passe.
Para usar o SSO, siga uma destas etapas, dependendo de como você configura a conexão.
- Se configurar manualmente a ligação na aplicação móvel Warehouse Management, tem de ativar a opção Autenticação Mediada na página Editar ligação da aplicação móvel.
- Se configurar a ligação utilizando um ficheiro JSON (JavaScript Object Notation) ou código QR, tem de incluir
"UseBroker": true
no seu ficheiro JSON ou código QR.
Importante
- Para usar a implementação em massa móvel (MDM), tem de ativar o SSO.
- A aplicação móvel Warehouse Management não suporta o modo de dispositivo partilhado.
Remover o acesso de um dispositivo que utilize a autenticação baseada no utilizador
Se um dispositivo for perdido ou ficar comprometido, tem de remover a respetiva capacidade de aceder ao Supply Chain Management. Quando um dispositivo é autenticado utilizando o fluxo de código do dispositivo, é essencial que desative a conta de utilizador associada no Microsoft Entra ID, de modo a revogar o acesso desse dispositivo caso seja perdido ou comprometido. Ao desativar a conta de utilizador no Microsoft Entra ID, está efetivamente a revogar o acesso de qualquer dispositivo que utilize o código de dispositivo associado a essa conta de utilizador. Por esse motivo, recomendamos que tenha uma conta de utilizador do Microsoft Entra ID por dispositivo.
Para desativar uma conta de utilizador no Microsoft Entra ID, siga estes passos.
- Inicie sessão no portal do Azure.
- No painel de navegação da esquerda, selecione Microsoft Entra ID, certificando-se de que se encontra no diretório certo.
- Na lista Gerir, selecione Utilizadores.
- Procure a conta de utilizador associada ao código do dispositivo e selecione o nome para abrir o perfil do utilizador.
- Na barra de ferramentas, selecione Revogar sessões para revogar as sessões de conta de utilizador.
Nota
Consoante a forma como configurar o seu sistema de autenticação, poderá querer alterar a palavra-passe da conta de utilizador ou desativar completamente a respetiva conta.