Condividi tramite

Autenticazione basata sull'utente per l'app per dispositivi mobili Warehouse Management

  • Articolo

L'app per dispositivi mobili Warehouse Management supporta i seguenti tipi di autenticazione basata sull'utente:

  • Autenticazione con flusso di codice del dispositivo
  • Autenticazione con nome utente e password

Importante

A tutti gli account Microsoft Entra ID utilizzati per accedere deve essere concesso solo il set minimo di autorizzazioni necessarie per eseguire le attività di magazzino. Le autorizzazioni devono essere strettamente limitate alle attività degli utenti di dispositivi mobili di magazzino. Non utilizzare mai un account amministratore per accedere ai dispositivi.

Scenari per la gestione di dispositivi, utenti Microsoft Entra ID e utenti di dispositivi mobili

Per motivi di sicurezza, l'app per dispositivi mobili Warehouse Management utilizza Microsoft Entra ID per autenticare la connessione tra l'app e Dynamics 365 Supply Chain Management. Esistono due scenari di base per la gestione degli account utente Microsoft Entra ID per i vari dispositivi e utenti: uno in cui ogni Microsoft Entra account utente ID rappresenta un dispositivo univoco e uno in cui ogni Microsoft Entra utente ID rappresenta un lavoratore umano univoco. In ogni caso, ogni lavoratore umano avrà un record addetto al magazzino configurato nel modulo Gestione Magazzino, più uno o più account utente di dispositivi mobili per ogni record dell'addetto al magazzino. Per gli account dell'addetto al magazzino che dispongono di più di un account utente del dispositivo mobile, è possibile impostare uno di essi come account utente del dispositivo mobile predefinito. I due scenari sono:

  • Utilizzare un account utente ID per ogni dispositivo mobile: in questo scenario, gli amministratori configurano l'app mobile Warehouse Management per utilizzare l'autenticazione tramite flusso di codice dispositivo oppure l'autenticazione tramite nome utente/password da Connetti a catena di approvvigionamento Management tramite l'account ID del dispositivo. Microsoft Entra ... ... Microsoft Entra (in questo scenario, i lavoratori umani non hanno bisogno di un account utente Microsoft Entra ID). L'app mostra quindi una pagina di accesso che consente ai lavoratori umani di accedere all'app in modo che possano accedere al lavoro e ad altri record che si applicano a loro nella loro posizione. I lavoratori umani accedono utilizzando l'ID utente e la password di uno degli account utente del dispositivo mobile assegnati al record addetto al magazzino. Poiché i lavoratori umani devono sempre inserire un ID utente, non importa se uno di questi account utente del dispositivo mobile è impostato come account predefinito per il record addetto al magazzino. Quando un lavoratore umano si disconnette, l'app rimane autenticata con Supply Chain Management ma mostra nuovamente la pagina di accesso, in modo che il successivo lavoratore umano possa accedere utilizzando il proprio account utente del dispositivo mobile.
  • Utilizzare un account utente con ID per ogni lavoratore umano: in questo scenario, ogni utente umano ha un account utente con ID collegato al proprio account di magazziniere in catena di approvvigionamento Management. Microsoft Entra Microsoft Entra Pertanto, l'accesso dell'utente Microsoft Entra ID potrebbe essere tutto ciò di cui il lavoratore umano ha bisogno sia per autenticare l'app con Supply Chain Management sia per accedere all'app, a condizione che un ID utente predefinito è impostato per l'account dell'addetto al magazzino. Questo scenario supporta anche Single Sign-On (SSO) perché la stessa sessione Microsoft Entra ID può essere condivisa tra altre app nel dispositivo (come Microsoft Teams o Outlook) finché il lavoratore umano non esce dall'account utente di Microsoft Entra ID.

Autenticazione con flusso di codice del dispositivo

Quando utilizzi l'autenticazione del codice del dispositivo, l'app per dispositivi mobili Warehouse Management genera e mostra un codice dispositivo univoco. L'amministratore che sta configurando il dispositivo deve quindi inserire questo codice dispositivo in un modulo online, insieme alle credenziali (nome e password) per un account utente Microsoft Entra ID che rappresenta il dispositivo stesso o il lavoratore umano che ha eseguito l'accesso (a seconda di come l'amministratore ha implementato il sistema). In alcuni casi, a seconda di come è configurato l'account utente Microsoft Entra ID, un amministratore potrebbe anche dover approvare l'accesso. Oltre al codice univoco del dispositivo, l'app mobile mostra l'URL in cui l'amministratore deve inserire il codice e le credenziali per l'account utente Microsoft Entra ID.

L'autenticazione del codice del dispositivo semplifica il processo di autenticazione, poiché gli utenti non devono gestire certificati o segreti client. Tuttavia, introduce alcuni requisiti e restrizioni aggiuntivi:

  • Dovresti creare un unico account utente Microsoft Entra ID per ogni dispositivo o lavoratore umano. Inoltre, questi account devono essere strettamente limitati in modo che possano eseguire solo le attività degli utenti di dispositivi mobili di magazzino.
  • Quando un lavoratore effettua l'accesso tramite l'app mobile Warehouse Management, gli viene mostrato un codice dispositivo generato. Questo codice scade dopo 15 minuti e viene poi nascosto dall'app. Se il codice scade prima che l'accesso sia completato, il lavoratore deve generare un nuovo codice selezionando nuovamente Connetti nell'app.
  • Se un dispositivo rimane inattivo per 90 giorni, viene automaticamente disconnesso.
  • L'accesso Single Sign-On (SSO) non è supportato quando si utilizza l'autenticazione del flusso di codice del dispositivo insieme a un sistema di distribuzione di massa mobile (MDM) (ad esempio Intune) per distribuire l'app mobile Warehouse Management. È comunque possibile utilizzare un sistema MDM per distribuire l'app su ciascun dispositivo mobile e distribuire un file che imposta le connessioni utilizzando il codice del dispositivo. connections.json L'unica differenza è che i lavoratori devono effettuare l'accesso manualmente quando iniziano a utilizzare l'app. (Questo passaggio è richiesto solo una volta.)

Autenticazione con nome utente/password

Quando utilizzi l'autenticazione con nome utente/password, ogni lavoratore umano deve inserire il nome utente e la password Microsoft Entra ID associati al dispositivo o a se stesso (a seconda dello scenario di autenticazione che stai utilizzando). Potrebbe anche essere necessario inserire l'ID e la password dell'account utente per dispositivi mobili, a seconda dell'impostazione dell'addetto al magazzino. Questo metodo di autenticazione supporta l' single sign-on (SSO), che migliora anche la praticità della distribuzione di massa mobile (MDM).

Registra un'applicazione in Microsoft Entra ID (facoltativo)

L'app mobile Warehouse Management utilizza un Microsoft Entra Domanda di identificazione per autenticare e Connetti al tuo catena di approvvigionamento Management ambiente. Puoi utilizzare un'applicazione globale fornita e gestita da Microsoft oppure puoi registrare la tua applicazione in Microsoft Entra ID seguendo la procedura descritta in questa sezione.

Importante

Nella maggior parte dei casi, consigliamo di utilizzare l'applicazione global Microsoft Entra ID, perché è più facile da configurare, utilizzare e gestire. (Per ulteriori informazioni, vedere Installare l'app mobile Warehouse Management.) In tal caso, puoi saltare questa sezione. Tuttavia, se hai requisiti specifici che l'applicazione globale non soddisfa (ad esempio i requisiti di alcuni ambienti locali), puoi registrare la tua applicazione come descritto qui.

La seguente procedura mostra un modo per registrare un'applicazione in Microsoft Entra ID. Per informazioni dettagliate e alternative, utilizzare i link riportati dopo la procedura.

  1. In un Web browser, vai a https://portal.azure.com.

  2. Immetti il nome e la password dell'utente che ha accesso alla sottoscrizione Azure.

  3. Nel portale di Azure, nel riquadro di spostamento a sinistra, fai clic su Microsoft Entra ID.

  4. Assicurati di lavorare con l'istanza di Microsoft Entra ID che viene utilizzata da Supply Chain Management.

  5. Nell'elenco Gestisci, seleziona Registrazioni app.

  6. Sulla barra degli strumenti, seleziona Nuova registrazione per aprire la procedura guidata Registra un'applicazione.

  7. Immetti un nome per l'applicazione, seleziona l'opzione Solo account nella directory organizzativa, quindi Registra.

  8. La nuova registrazione dell'app viene aperta. Annota il valore nel campo ID applicazione (client), poiché sarà necessario in seguito. In seguito in questo articolo si farà riferimento a questo ID come ID client.

  9. Nell'elenco Gestisci, seleziona Autenticazione.

  10. Nella pagina Autenticazione della nuova app, imposta l'opzione Abilita i seguenti flussi per dispositivi mobili e desktop su per abilitare il flusso del codice del dispositivo per la tua applicazione. Quindi selezionare Salva.

  11. Seleziona Aggiungi una piattaforma.

  12. Nella finestra di dialogo Configura piattaforma, seleziona il riquadro Applicazioni per dispositivi mobili e desktop.

  13. Nella finestra di dialogo Configura desktop e dispositivi, imposta il campo URI di reindirizzamento personalizzati sul valore seguente:

    ms-appx-web://microsoft.aad.brokerplugin/S-1-15-2-3857744515-191373067-2574334635-916324744-1634607484-364543842-2321633333

  14. Seleziona Configura per salvare le impostazioni e chiudere le finestre di dialogo.

  15. Torni quindi alla pagina Autenticazione, che ora mostra la configurazione della nuova piattaforma. Seleziona nuovamente Aggiungi una piattaforma.

  16. Nella finestra di dialogo Configura piattaforma, seleziona Android.

  17. Nella finestra di dialogo Configura l'app Android, imposta i seguenti campi:

    • Nome pacchetto – Inserisci il seguente valore:

      com.microsoft.warehousemanagement

    • Hash della firma – Inserisci il seguente valore:

      hpavxC1xAIAr5u39m1waWrUbsO8=

  18. Seleziona Configura per salvare le impostazioni e chiudere la finestra di dialogo. Quindi seleziona Fatto per tornare alla pagina Autenticazione, che ora mostra le configurazioni della nuova piattaforma.

  19. Seleziona nuovamente Aggiungi una piattaforma.

  20. Nella finestra di dialogo Configura piattaforma, seleziona iOS/macOS.

  21. Nella finestra di dialogo Configura l'app iOS o macOS, imposta il campo ID aggregazione su com.microsoft.WarehouseManagement.

  22. Seleziona Configura per salvare le impostazioni e chiudere la finestra di dialogo. Quindi seleziona Fatto per tornare alla pagina Autenticazione, che ora mostra le configurazioni della nuova piattaforma.

  23. Nella sezione Impostazioni avanzate, imposta Consenti flussi client pubblici su .

  24. Nell'elenco Gestisci, seleziona Autenticazioni API.

  25. Seleziona Aggiungi un'autorizzazione.

  26. Nella finestra di dialogo Richiedi autorizzazioni API, nella scheda API Microsoft, seleziona il riquadro Dynamics ERP quindi il riquadro Autorizzazioni delegate. In CustomService, seleziona la casella di controllo CustomService.FullAccess. Infine, seleziona Aggiungi autorizzazioni per salvare le modifiche.

  27. Nel riquadro di spostamento a sinistra, seleziona Microsoft Entra ID.

  28. Nell'elenco Gestisci, seleziona Applicazioni aziendali. Quindi, nel nuovo elenco Gestisci, seleziona Tutte le applicazioni.

  29. Nel modulo di ricerca, inserisci il nome che hai inserito per l'app in precedenza in questa procedura. Verifica che il valore ID applicazione per l'app trovata corrisponda all'ID client che hai copiato in precedenza. Quindi seleziona il collegamento nella colonna Nome per aprire le proprietà dell'app.

  30. Nell'elenco Gestisci, seleziona Proprietà.

  31. Imposta l'opzione Assegnazione richiesta? su e l'opzione Visibile agli utenti? su No. Seleziona Salva nella barra degli strumenti.

  32. Nell'elenco Gestisci, seleziona Utenti e gruppi.

  33. Nella barra degli strumenti, seleziona Aggiungi utente/gruppo.

  34. Nella pagina Aggiungi assegnazione, seleziona il collegamento sotto l'intestazione Utenti.

  35. Nella finestra di dialogo Utenti, seleziona ciascun utente che utilizzerai per autenticare i dispositivi con Supply Chain Management.

  36. Seleziona Seleziona per applicare le impostazioni e chiudere la finestra di dialogo. Quindi seleziona Assegna per applicare le impostazioni e chiudere la pagina Aggiungi assegnazione.

  37. Nell'elenco Sicurezza, seleziona Autorizzazioni.

  38. Seleziona Concedi consenso amministratore per <tuo tenant> e concedi il consenso dell'amministratore per conto dei tuoi utenti. Se non disponi delle autorizzazioni necessarie, torna all'elenco Gestisci, apri Proprietà e imposta l'opzione Assegnazione richiesta? opzione su Falso. Ciascun utente può quindi fornire il consenso individualmente.

Per ulteriori informazioni su come registrare un'applicazione in Microsoft Entra ID, consultare le seguenti risorse:

Configurare i record di dipendenti, utenti e addetti al magazzino in Supply Chain Management

Prima che gli addetti possano iniziare ad accedere utilizzando l'app per dispositivi mobili, ogni account di Microsoft Entra ID assegnato all'app aziendale in Azure deve avere un record dipendente, utente e addetto al magazzino corrispondente in Supply Chain Management. Per informazioni su come impostare questi record, vedi Account utente di dispositivi mobili.

Single Sign-On

Per utilizzare Single Sign-On, devi eseguire la versione dell'app per dispositivi mobili Warehouse Management 2.1.23.0 o successiva.

SSO consente agli utenti di accedere senza dover immettere una password. Funziona riutilizzando le credenziali del portale aziendale Intune (Android solo), dell'autenticatore Microsoft (Android e iOS) o di altre app sul dispositivo.

Nota

SSO richiede l'utilizzo dell'autenticazione nome utente/password.

Per utilizzare SSO, seguire eseguire uno di questi passaggi, a seconda di come si configura la connessione.

  • Se configuri manualmente la connessione nell'app per dispositivi mobili Warehouse Management, devi abilitare l'opzione Autenticazione negoziata nella pagina Modifica connessione dell'app per dispositivi mobili.
  • Se configuri la connessione utilizzando un file JavaScript Object Notation (JSON) o un codice a matrice per la connessione, devi includere "UseBroker": true nel tuo file JSON o codice a matrice.

Importante

  • Per utilizzare la distribuzione di massa su dispositivi mobili, è necessario abilitare SSO.
  • L'app per dispositivi mobili Warehouse Management non supporta la modalità del dispositivo condiviso.

Rimuovere l'accesso per un dispositivo che utilizza l'autenticazione basata sull'utente

Se un dispositivo è perso o compromesso, è necessario rimuovere l'accesso a Supply Chain Management dello stesso. Quando un dispositivo viene autenticato utilizzando il flusso del codice del dispositivo, è essenziale disabilitare l'utente associato in Microsoft Entra ID per revocare l'accesso a quel dispositivo in caso di smarrimento o compromissione. Disabilitando l'account utente in Microsoft Entra ID, revochi effettivamente l'accesso per qualsiasi dispositivo che utilizza il codice del dispositivo associato a tale account utente. Per questo motivo, ti consigliamo di averne un account utente Microsoft Entra ID per dispositivo.

Per disabilitare un account utente in Microsoft Entra ID, attenersi alla procedura seguente.

  1. Accedere al portale Azure.
  2. Nel riquadro di navigazione sinistro, seleziona Microsoft Entra ID e assicurati di essere nella directory corretta.
  3. Nell'elenco Gestisci, seleziona Utenti.
  4. Trova l'account utente associato al codice del dispositivo e seleziona il nome per aprire il profilo dell'utente.
  5. Dalla barra degli strumenti, seleziona Revoca sessioni per revocare le sessioni dell'account utente.

Nota

A seconda di come imposti il tuo sistema di autenticazione, potresti anche voler cambiare la password dell'account utente o disabilitare completamente l'account utente.

Risorse aggiuntive