为 POS 登录配置 Microsoft Entra 身份验证
本文介绍如何将 Microsoft Entra ID 配置为 Microsoft Dynamics 365 Commerce 销售点 (POS) 中的身份验证方法。
将 Dynamics 365 Commerce 与其他 Microsoft Cloud 服务(例如 Microsoft Azure、Microsoft 365 和 Microsoft Teams)一起使用的零售商通常希望使用 Microsoft Entra ID 集中管理用户凭据,以跨各个应用程序实现安全、无缝的登录体验。 若要将 Microsoft Entra 身份验证用于 Commerce POS,必须首先将 Microsoft Entra ID 配置为 Commerce headquarters 中的身份验证方法。
配置 POS 身份验证方法
要在 Commerce headquarters 中配置 POS 身份验证方法,请按照下列步骤操作。
转到 Retail 和 Commerce > 渠道设置 > POS 设置 > POS 配置文件 > 功能配置文件,选择要更改的功能配置文件。
在功能快速选项卡的 POS 人员登录部分,从登录身份验证方法下拉列表中选择所需的身份验证方法选项。
登录身份验证方法有三个选项:
- 人员 ID 和密码 - 本默认选项要求 POS 用户输入人员 ID 和密码才能登录到 POS 并访问经理覆盖功能。
- Microsoft Entra 没有单一登录 的 ID - 本选项要求 POS 用户使用 Microsoft Entra 凭据登录到 POS 和访问管理器覆盖功能。 刷新或重新打开 POS 客户端时,POS 用户必须提供 Microsoft Entra 凭据才能再次登录。
- Microsoft Entra 具有单一登录 的 ID - 选择此选项后,POS 用户能够使用 Microsoft Entra 其他 Web 应用程序在同一 Web 浏览器中使用的活动凭据登录到 Store Commerce 网页版,或使用 Microsoft Entra 登录到 Windows 的凭据登录到 Store Commerce 应用。 使用这两种方法登录时都不需要在 POS 登录屏幕上输入 Microsoft Entra 凭据。 但是,访问 POS 经理替代功能仍然需要使用 Microsoft Entra 凭据登录。
转到 Retail 和 Commerce > Retail 和 Commerce IT > 分配计划,运行 1070 (渠道配置) 作业,将最新功能配置文件设置同步到 POS 客户端。
注意
- 未采用单一登录的 Microsoft Entra ID 身份验证方法选项替换了 Commerce 版本 10.0.18 及更早版本中的 Microsoft Entra 选项。
- Microsoft Entra 身份验证需要有效的 Internet 连接,在 POS 处于离线状态时无法运行。
将 Microsoft Entra 帐户与 POS 用户关联
若要将 Microsoft Entra ID 用作 POS 身份验证方法,必须将 Microsoft Entra 帐户与 Commerce headquarters 中的 POS 用户关联。
要将 Microsoft Entra 帐户与 Commerce headquarters 中的 POS 用户相关联,请按照下列步骤操作。
- 转到 Retail 和 Commerce > 员工 > 工作人员,打开一个工作人员记录。
- 在操作窗格上,选择 Commerce 选项卡,然后在外部标识下选择关联现有标识。
- 在使用现有外部标识对话框中,选择使用电子邮件搜索,输入 Microsoft Entra 电子邮件地址,然后选择搜索。 您必须输入完整的电子邮件地址。 如果您想要按姓名或别名搜索,请切换到 使用列进行筛选 以输入部分姓名或别名。
- 选择返回的 Microsoft Entra 帐户,然后选择确定。
完成上述配置步骤后,将填写该工作人员详细信息页的 Commerce 选项卡中的别名、UPN 和 外部子标识字段。
您必须运行 Retail 和 Commerce > Retail 和 Commerce IT > 分配计划中的 1060 (人员) 作业,来将最新的 POS 用户和 Microsoft Entra 帐户数据同步到渠道。
注释
最佳做法是,在 Commerce headquarters 中更新工作人员信息(如密码、POS 权限、关联的 Microsoft Entra 帐户或员工通讯簿)后,强烈建议运行 1060 (人员) 作业将最新的工作人员信息同步到渠道。 然后,POS 客户端可以提取正确的数据来进行用户身份验证和授权检查。
使用 Microsoft Entra 身份验证的 POS 锁定收银机和注销
将 POS 配置为使用 Microsoft Entra 身份验证方法时,会发生以下情况:
- 锁定收银机功能在 POS 应用程序中不可用。
- 自动锁定功能与自动注销功能的行为相同。
- 如果 POS 用户选择注销,下次 POS 启动时将要求该用户使用 Microsoft Entra 凭据登录,无论是否启用了单一登录。
使用 Microsoft Entra 身份验证的经理替代功能
当 POS 配置为使用 Microsoft Entra 身份验证时,经理替代功能将打开一个对话框,提示输入经理用户的 Microsoft Entra 凭据。 经理登录被批准后,将丢弃经理的 Microsoft Entra 凭据,先前用户的 Microsoft Entra 凭据将用于后续的 POS 操作。
注释
- 在 Commerce 版本 10.0.18 及更早版本中,经理替代功能不支持 Microsoft Entra ID。 即使将 POS 配置为使用 Microsoft Entra 身份验证方法,也需要个人 ID 和密码。
- 在 Apple iOS 设备上通过 Safari Web 浏览器使用 Store Commerce Web 版时,必须首先在 Safari 设置中关闭阻止弹出窗口,这样经理替代功能才能使用 Microsoft Entra 身份验证。
在共享设备上使用基于 Microsoft Entra ID 的 POS 身份验证的安全最佳做法
很多零售商设置零售商店环境时采取的方式是多个用户需要从共享物理设备访问 POS 应用程序。 在这种情况下,虽然单一登录提供了方便、无缝的身份验证体验,但它也可能会造成安全漏洞:当前 POS 用户可能不会意识到另一个用户的凭据正被用于在 POS 中执行交易或操作。 在将 POS 配置为使用 Microsoft Entra 身份验证方法之前,强烈建议查看您的安全策略和共享设备的登录设置,以确定最适合的选项。
- 如果您的零售环境使用共享帐户(例如,本地帐户)进行物理设备登录,则建议使用未采用单一登录的 Microsoft Entra ID 选项。 这样可以确保每个 POS 用户明确提供 Microsoft Entra 凭据来登录 POS。
- 如果您的零售环境需要员工使用自己的 Microsoft Entra 帐户登录到 POS 及其托管物理设备,则建议使用采用单一登录的 Microsoft Entra ID 选项。