Dienstbasierte Authentifizierung für die mobile Warehouse Management-App

Die mobile Warehouse Management-App unterstützt die folgenden Arten der benutzerbasierten Authentifizierung:

• Gerätecodeflowauthentifizierung
• Benutzername und Kennwortauthentifizierung

Szenarien zum Verwalten von Geräten, Microsoft Entra ID Benutzern und Mobilen Gerätebenutzern

Für Sicherheitszwecke verwendet die mobile Warehouse Management-App Microsoft Entra ID, um die Verbindung zwischen der App und Dynamics 365 Supply Chain Management zu authentifizieren. Es gibt zwei grundlegende Szenarien zum Verwalten von Microsoft Entra ID Benutzerkonten für Ihre verschiedenen Geräte und Benutzer: eine, bei der jedes Microsoft Entra ID Benutzerkonto ein eindeutiges Gerät darstellt und eines, bei dem jeder Microsoft Entra ID Benutzer einen eindeutigen menschlichen Mitarbeiter darstellt. In jedem Fall wird jede menschliche Arbeitskraft einen Lagerortarbeitskraft-Datensatz haben, der im Warehouse Management-Modul eingerichtet wurde, plus einen oder mehrere Benutzerkonten für mobile Geräte für jeden Lagerortarbeitskraft-Datensatz. Für Lagerarbeiterkonten mit mehr als einem Benutzerkonto für mobile Geräte können Sie eines davon als Standardbenutzerkonto für mobile Geräte festlegen. Die beiden Szenarien sind:

• Verwenden Sie ein Microsoft Entra ID-Benutzerkonto für jedes mobile Gerät – In diesem Szenario richten Administratoren die mobile Warehouse Management-App ein, um entweder die Gerätecode-Flow-Authentifizierung oder die Benutzername/Passwort-Authentifizierung zu nutzen, um über das Gerät-Microsoft-Entra-ID-Konto eine Verbindung mit Supply Chain Management herzustellen. (In diesem Szenario benötigen Mitarbeiter kein Microsoft Entra ID Benutzerkonto.) Die App zeigt dann eine Anmeldeseite an, auf der sich Mitarbeiter bei der App anmelden können, damit sie Zugriff auf die Arbeit und andere Datensätze erhalten können, die für sie an ihrem Standort gelten. Menschliche Arbeitskräfte melden sich mithilfe der Benutzer-ID und dem Kennwort eines der Benutzerkonten für mobile Geräte an, die ihrem Lagerortarbeitskraft-Datensatz zugewiesen sind. Da menschliche Arbeitskräfte immer eine Benutzer-ID eingeben müssen, spielt es keine Rolle, ob eines der Benutzerkonten für mobile Geräte als Standardkonto für den Lagerortarbeitskraft-Datensatz festgelegt ist. Wenn sich ein Mitarbeiter abmeldet, bleibt die App mit Supply Chain Management authentifiziert, zeigt aber erneut die Anmeldeseite an, sodass sich der nächste Mitarbeiter mit dem Benutzerkonto des mobilen Geräts anmelden kann.
• Verwenden Sie ein Microsoft Entra ID Benutzerkonto für jeden menschlichen Arbeiter – In diesem Szenario verfügt jeder menschliche Benutzer über ein Microsoft Entra ID Benutzerkonto, das mit seinem Lagerarbeitskonto in Supply Chain Management verknüpft ist. Daher kann die Microsoft Entra ID Benutzeranmeldung alles sein, was der Mitarbeiter benötigt, um die App mit Supply Chain Management zu authentifizieren und sich bei der App anzumelden, vorausgesetzt, dass eine default-Benutzer-ID für das Lagerarbeitskonto festgelegt ist. Dieses Szenario unterstützt auch single sign-on (SSO), da dieselbe Microsoft Entra ID Sitzung für andere Apps auf dem Gerät (z. B. Microsoft Teams oder Outlook) freigegeben werden kann, bis sich der Mitarbeiter vom Microsoft Entra ID Benutzerkonto abmeldet.

Gerätecodeflowauthentifizierung

Wenn Sie die Gerätecode-Authentifizierung verwenden, generiert die mobile Warehouse Management-App einen eindeutigen Gerätecode und zeigt ihn an. Der Administrator, der das Gerät einsetzt, muss diesen Gerätecode dann in ein Onlineformular eingeben, zusammen mit den Anmeldeinformationen (Name und Kennwort) für ein Microsoft Entra ID Benutzerkonto, das entweder das Gerät selbst oder den Mitarbeiter darstellt, der sich anmeldet (je nachdem, wie der Administrator das System implementiert). In einigen Fällen muss ein Administrator je nachdem, wie das Microsoft Entra ID Benutzerkonto konfiguriert ist, auch die Anmeldung genehmigen. Zusätzlich zum eindeutigen Gerätecode zeigt die mobile App die URL an, unter der der Administrator den Code und die Anmeldeinformationen für das Microsoft Entra ID Benutzerkonto eingeben muss.

Die Gerätecode-Authentifizierung vereinfacht den Authentifizierungsprozess, da Benutzende keine Zertifikate oder geheime Clientschlüssel haben. Es werden jedoch einige zusätzliche Anforderungen und Einschränkungen eingeführt:

• Erstellen Sie ein eindeutiges Microsoft Entra ID Benutzerkonto für jedes Gerät oder jeden Mitarbeiter. Darüber hinaus sollten diese Konten streng begrenzt sein, sodass sie nur Benutzeraktivitäten für mobile Lagergeräte ausführen können.
• Während sich ein Mitarbeiter mit der mobilen Warehouse Management-App anmeldet, zeigt die App einen generierten Gerätecode an. Dieser Code verliert nach 15 Minuten seine Gültigkeit und wird anschließend von der App ausgeblendet. Wenn der Code abläuft, bevor die Anmeldung abgeschlossen ist, muss die Arbeitskraft einen neuen Code generieren, indem sie in der App erneut Verbinden auswählt.
• Geräte werden automatisch abgemeldet, wenn sie 90 Tage lang nicht verwendet oder darauf zugegriffen werden. Abgemeldete Geräte müssen erneut authentifiziert werden, bevor sie wieder verwendet werden können. Weitere Informationen finden Sie unter Aktualisierungstoken in der Microsoft Identity Platform.
• Einmaliges Anmelden (Single Sign-On, SSO) wird nicht unterstützt, wenn Sie die Gerätecodeflow-Authentifizierung zusammen mit einem MDM-System (Mobile Mass Deployment) (wie etwa Intune) verwenden, um die mobile Warehouse Management-App zu verteilen. Sie können weiterhin ein MDM-System verwenden, um die App an jedes Mobilgerät zu liefern und eine connections.json-Datei bereitzustellen, die Verbindungen mithilfe von Gerätecode einrichtet. Der einzige Unterschied besteht darin, dass sich die Arbeitskräfte manuell anmelden müssen, wenn sie die App verwenden möchten. (Dieser Schritt wird nur einmal benötigt.)

Benutzername/Kennwortauthentifizierung

Wenn Sie die Authentifizierung mit Benutzername/Kennwort verwenden, muss jeder Mitarbeiter den Microsoft Entra ID Benutzernamen und das Kennwort eingeben, der entweder mit dem Gerät oder mit sich selbst verknüpft ist (abhängig vom Szenario Authentication Sie verwenden). Abhängig von der Einrichtung des Lagerortarbeitskraft-Datensatzes müssen sie möglicherweise auch eine Benutzerkonto-ID und ein Kennwort für ein mobiles Gerät eingeben. Diese Authentifizierungsmethode unterstützt das einmalige Anmelden (SSO), was auch den Komfort von Mobile Mass Deployment (MDM) erweitert.

Manuelles Erstellen einer Anwendungsregistrierung in Microsoft Entra ID

Die mobile Warehouse Management-App verwendet eine Microsoft Entra ID Anwendungsregistrierung, um sich zu authentifizieren und eine Verbindung mit Ihrer Supply Chain Management Umgebung herzustellen. Sie können eine globale Anwendung verwenden, die von Microsoft bereitgestellt und verwaltet wird, oder Sie können Ihre eigene Anwendung in Microsoft Entra ID registrieren, indem Sie das Verfahren in diesem Abschnitt befolgen.

Das folgende Verfahren zeigt eine Möglichkeit zum Registrieren einer Anwendung in Microsoft Entra ID. Detaillierte Informationen und Alternativen finden Sie unter den Links nach dem Verfahren.

1. In einem Webbrowser gehen Sie zu https://portal.azure.com.

2. Geben Sie den Namen und das Kennwort des Benutzers ein, der Zugriff auf das Azure-Abonnement hat.

3. Verwenden Sie das Suchfeld oben auf der Seite, um den dienst Microsoft Entra ID zu suchen und zu öffnen.

4. Stellen Sie sicher, dass Sie mit der Instanz von Microsoft Entra ID arbeiten, die von Supply Chain Management verwendet wird.

5. Erweitern Sie im linken Navigationsbereich Manage, und wählen Sie App registrations aus.

6. Wählen Sie auf der Symbolleiste Neue Registrierung aus, um den Assistenten Anwendung registrieren zu öffnen.

7. Geben Sie einen Namen für die Anwendung ein, wählen Sie die Option Nur Konten in diesem organisatorischen Verzeichnis und dann Registrieren aus.

8. Ihre neue App-Registrierung wird geöffnet. Notieren Sie sich den Wert der Anwendungs-(Client-)ID, da Sie ihn zu einem späteren Zeitpunkt benötigen. Dies ID wird später in diesem Artikel als Client-ID bezeichnet.

9. Wählen Sie in der Liste Verwalten die Option Authentifizierung aus.

10. Führen Sie auf der Seite " Authentifizierung " für die neue App einen der folgenden Schritte aus, um den Gerätecodefluss für Ihre Anwendung zu aktivieren:

    • Wenn Sie die alte Azure Portalauthentifizierung verwenden, legen Sie Allow public client flows auf Yes fest, und wählen Sie Speichern aus.
    • Wenn Sie die neue Authentifizierungsumgebung verwenden, öffnen Sie die Registerkarte "Einstellungen ", legen Sie "Öffentliche Clientflüsse auf Aktiviert zulassen" fest, und wählen Sie " Speichern" aus.

11. Führen Sie einen der folgenden Schritte aus, um eine neue Plattformkonfiguration für die mobile Warehouse Management-App hinzuzufügen:

    • Wenn Sie die alte Authentifizierungsoberfläche verwenden, wählen Sie "Plattform hinzufügen" aus.
    • Wenn Sie die neue Authentifizierungsumgebung verwenden, öffnen Sie die Registerkarte " Umleitungs-URI-Konfiguration ", und wählen Sie "Umleitungs-URI hinzufügen" aus.

12. Wählen Sie im Dialogfeld "Mobile" und "Desktopanwendungen" aus.

13. Legen Sie das eingegebene Eingabefeld auf einen der folgenden Werte fest:

    • Wenn Sie Version 3.x oder eine frühere Version der mobilen Warehouse Management-App verwenden, legen Sie das Feld auf den folgenden Wert fest:

      ms-appx-web://microsoft.aad.brokerplugin/S-1-15-2-3857744515-191373067-2574334635-916324744-1634607484-364543842-2321633333
      

    • Wenn Sie Version 4.0 oder höher der mobilen Warehouse Management-App verwenden, legen Sie das Feld auf den folgenden Wert fest, wobei {clientId} die Client-ID ist, die Sie zuvor in diesem Verfahren kopiert haben:

      ms-appx-web://microsoft.aad.brokerplugin/{clientId}
      

    Wählen Sie "Konfigurieren" aus, um Ihre Einstellungen zu speichern und das Dialogfeld zu schließen, um zur Seite " Authentifizierung " zurückzukehren, auf der jetzt Ihre neuen Plattformkonfigurationen angezeigt werden.

14. Führen Sie einen der folgenden Schritte aus, um eine weitere neue Plattformkonfiguration für die mobile Warehouse Management-App hinzuzufügen:

    • Wenn Sie die alte Authentifizierungsoberfläche verwenden, wählen Sie "Plattform hinzufügen" aus.
    • Wenn Sie die neue Authentifizierungsumgebung verwenden, öffnen Sie die Registerkarte " Umleitungs-URI-Konfiguration ", und wählen Sie "Umleitungs-URI hinzufügen" aus.

15. Wählen Sie im Dialogfeld Android aus. Legen Sie dann die folgenden Felder fest:

    • Paketname – Geben Sie den folgenden Wert ein (Groß-/Kleinschreibung wird beachtet):

      com.Microsoft.Warehousemanagement
      

    • Signaturhash: Geben Sie den folgenden Wert ein:

      Xo8WBi6jzSxKDVR4drqm84yr9iU=
      

    Wählen Sie "Konfigurieren" aus, um Ihre Einstellungen zu speichern und das Dialogfeld zu schließen, um zur Seite " Authentifizierung " zurückzukehren, auf der jetzt Ihre neuen Plattformkonfigurationen angezeigt werden.

16. Wiederholen Sie die beiden vorherigen Schritte, um eine weitere Android-Plattformkonfiguration hinzuzufügen, doch legen Sie diesmal die folgenden Werte fest:

    • Paketname – Geben Sie den folgenden Wert ein (Groß-/Kleinschreibung und anders als bei der vorherigen Konfiguration):

      com.microsoft.warehousemanagement
      

    • Signaturhash: Geben Sie den folgenden Wert ein:

      hpavxC1xAIAr5u39m1waWrUbsO8=
      

    Tipp

    • Der erste Signaturhash für Android (Xo8WBi6jzSxKDVR4drqm84yr9iU=) fügt Unterstützung für die vermittelte Authentifizierung in der mobilen Warehouse Management-App Version 4.0.28 oder höher hinzu. Der zweite Hash (hpavxC1xAIAr5u39m1waWrUbsO8=) ist erforderlich, um ältere Versionen der App zu unterstützen.
    • Die Werte des Paketnamens unterscheiden nach Groß-/Kleinschreibung; die erforderliche Groß-/Kleinschreibung ist je nach Android-Plattformkonfiguration unterschiedlich. Die Werte sind andernfalls ähnlich.

17. Führen Sie einen der folgenden Schritte aus, um eine weitere neue Plattformkonfiguration für die mobile Warehouse Management-App hinzuzufügen:

    • Wenn Sie die alte Authentifizierungsoberfläche verwenden, wählen Sie "Plattform hinzufügen" aus.
    • Wenn Sie die neue Authentifizierungsumgebung verwenden, öffnen Sie die Registerkarte " Umleitungs-URI-Konfiguration ", und wählen Sie "Umleitungs-URI hinzufügen" aus.

18. Wählen Sie im Dialogfeld iOS /macOS aus.

19. Legen Sie das Feld "Bundle-ID " auf den folgenden Wert fest:

    com.microsoft.WarehouseManagement
    

20. Wählen Sie "Konfigurieren" aus, um Ihre Einstellungen zu speichern. Schließen Sie das Dialogfeld, um zur Seite " Authentifizierung " zurückzukehren, auf der jetzt Ihre neuen Plattformkonfigurationen angezeigt werden.

21. Erweitern Sie im linken Navigationsbereich verwalten und wählen Sie API-Berechtigungen aus.

22. Wählen Sie "Berechtigung hinzufügen" aus.

23. Im Dialogfeld Berechtigungen für API anfordern wählen Sie auf der Registerkarte Microsoft APIs die Kachel Dynamics ERP und dann die Kachel Delegierte Berechtigungen aus. Aktivieren Sie unter CustomService das Kontrollkästchen CustomService.FullAccess. Wählen Sie abschließend Berechtigungen hinzufügen aus, um Ihre Änderungen zu speichern.

24. Verwenden Sie das Suchfeld oben auf der Seite, um den dienst Microsoft Entra ID zu suchen und zu öffnen.

25. Erweitern Sie im linken Navigationsbereich " Verwalten" , und wählen Sie "Unternehmensanwendungen" aus. Wählen Sie dann in der neuen Liste Verwalten die Option Alle Anwendungen aus.

26. Geben Sie im Suchformular den Namen ein, den Sie zuvor in diesem Verfahren für die App eingegeben haben. Bestätigen Sie, dass der Wert Anwendungs-ID für die gefundene App mit der Client-ID übereinstimmt, die Sie zuvor kopiert haben. Wählen Sie dann in der Spalte Name den Link aus, um die Eigenschaften für die App zu öffnen.

27. Erweitern Sie im linken Navigationsbereich " Verwalten" , und wählen Sie "Eigenschaften" aus.

28. Setzen Sie die Option Zuweisung erforderlich? auf Ja und die Option Für Benutzer sichtbar? auf Nein. Wählen Sie dann in der Symbolleiste Speichern aus.

29. Erweitern Sie im linken Navigationsbereich "Verwalten" , und wählen Sie "Benutzer und Gruppen" aus.

30. Wählen Sie in der Symbolleiste Benutzer/Gruppe hinzufügen aus.

31. Wählen Sie auf der Seite Zuweisung hinzufügen den Link unter der Überschrift Benutzer aus.

32. Wählen Sie im Dialogfeld Users jeden Benutzer aus, den Sie zum Authentifizieren von Geräten mit Supply Chain Management verwenden.

33. Wählen Sie "Auswählen" , um Ihre Einstellungen anzuwenden und das Dialogfeld zu schließen. Wählen Sie dann Zuweisen aus, um Ihre Einstellungen anzuwenden, und schließen Sie die Seite Zuordnung hinzufügen.

34. Wählen Sie in der Liste Sicherheit die Option Berechtigungen aus.

35. Wählen Sie Administratoreinwilligung gewähren für<Ihren Mandanten> aus, und erteilen Sie die Administratoreinwilligung im Namen Ihrer Benutzenden. Wenn Ihnen die erforderlichen Berechtigungen fehlen, kehren Sie zur Liste Verwalten zurück, öffnen Sie die Eigenschaften und legen Sie die Option Zuweisung erforderlich? auf Falsch fest. Jeder Benutzer kann dann individuell seine Einwilligung erteilen.

Weitere Informationen zum Registrieren einer Anwendung in Microsoft Entra ID finden Sie in den folgenden Ressourcen:

• Anweisungen zum Verwenden von Windows PowerShell zum Registrieren einer Anwendung in Microsoft Entra ID finden Sie unter Azure PowerShell verwenden, um ein Dienstprinzipal mit einem Zertifikat zu erstellen.

• Ausführliche Informationen zum manuellen Registrieren einer Anwendung in Microsoft Entra ID finden Sie in den folgenden Artikeln:

  • Registern Sie eine Anwendung in Microsoft Entra ID
  • Microsoft Entra-App registrieren und einen Dienstprinzipal erstellen

Einrichten von Mitarbeiter-, Benutzer- und Lagerarbeiterdatensätzen Supply Chain Management

Bevor sich Mitarbeiter über die mobile App anmelden können, muss jedes Microsoft Entra ID Konto, das Sie der Unternehmens-App in Azure zuweisen, über einen entsprechenden Mitarbeiterdatensatz, einen Benutzerdatensatz und einen Lagerarbeiterdatensatz in Supply Chain Management verfügen. Informationen zum Einrichten dieser Datensätze finden Sie unter Benutzerkonten für mobile Geräte.

Einmaliges Anmelden

Um das einmalige Anmelden (SSO) verwenden zu können, müssen Sie die mobile Warehouse Management-App Version 2.1.23.0 oder höher ausführen.

Mit SSO können sich Benutzer anmelden, ohne ein Kennwort einzugeben. Es funktioniert durch erneutes Verwenden von Anmeldeinformationen von Intune Company Portal (Android nur), Microsoft Authenticator (Android und iOS) oder anderen Apps auf dem Gerät.

Um SSO nutzen zu können, führen Sie einen dieser Schritte aus, je nachdem, wie Sie die Verbindung konfigurieren.

• Wenn Sie in der mobilen Warehouse Management-App die Verbindung manuell konfigurieren, müssen Sie die Option Vermittelte Authentifizierung auf der Seite Verbindung bearbeiten der mobilen App aktivieren.
• Wenn Sie die Verbindung mithilfe einer JavaScript Object Notation(JSON)-Datei oder eines QR-Codes konfigurieren, müssen Sie "UseBroker": true in Ihre JSON-Datei oder Ihren QR-Code einfügen.

Zugriff für ein Gerät entfernen, das die benutzerbasierte Authentifizierung verwendet

Wenn ein Gerät verloren geht oder kompromittiert wird, müssen Sie dessen Fähigkeit zum Zugriff auf Supply Chain Management entfernen. Wenn ein Gerät mithilfe des Gerätecodeflusses authentifiziert wird, müssen Sie das zugeordnete Benutzerkonto in Microsoft Entra ID deaktivieren, um den Zugriff für dieses Gerät zu widerrufen, wenn es jemals verloren geht oder kompromittiert wird. Durch Deaktivieren des Benutzerkontos in Microsoft Entra ID widerrufen Sie den Zugriff auf jedes Gerät, das den diesem Benutzerkonto zugeordneten Gerätecode verwendet. Verwenden Sie aus diesem Grund ein Microsoft Entra ID Benutzerkonto pro Gerät.

Führen Sie die folgenden Schritte aus, um ein Benutzerkonto in Microsoft Entra ID zu deaktivieren:

1. Melden Sie sich beim portal Azure an.
2. Wählen Sie im linken Navigationsbereich Microsoft Entra ID aus, und stellen Sie sicher, dass Sie sich im richtigen Verzeichnis befinden.
3. Wählen Sie in der Liste Verwalten die Option Benutzer aus.
4. Suchen Sie das Benutzerkonto, das dem Gerätecode zugeordnet ist, und wählen Sie den Namen aus, um das Profil des Benutzenden zu öffnen.
5. Wählen Sie in der Symbolleiste Sitzungen widerrufen aus, um die Sitzungen des Benutzerkontos zu widerrufen.

Verwandte Informationen

• Häufig gestellte Fragen zur benutzerbasierten Authentifizierung
• Installieren Sie die mobile Warehouse Management-App