Autenticação baseada no usuário para o aplicativo móvel Warehouse Management

O aplicativo móvel Warehouse Management dá suporte aos seguintes tipos de autenticação baseada no usuário:

• Autenticação de fluxo de código do dispositivo
• Autenticação de nome de usuário e senha

Cenários para gerenciar dispositivos, usuários do Microsoft Entra ID e usuários de dispositivos móveis

O aplicativo móvel de Gerenciamento de Armazéns usa Microsoft Entra ID para autenticar com Dynamics 365 Supply Chain Management. Escolha um dos dois cenários para gerenciar contas Microsoft Entra ID. Em ambos os cenários, cada funcionário do armazém tem um registro de trabalho de armazém no módulo de gerenciamento do Warehouse com uma ou mais contas de usuário de dispositivo móvel.

Usar uma conta de usuário Microsoft Entra ID por dispositivo

Nesse cenário, cada dispositivo móvel tem sua própria conta de Microsoft Entra ID. Os trabalhadores não precisam de contas Microsoft Entra ID individuais.

Funciona assim:

1. O administrador configura o aplicativo com device code flow ou username/password autenticação usando a conta Microsoft Entra ID do dispositivo.
2. Depois que o aplicativo for autenticado, os trabalhadores entrarão usando suas credenciais de conta de usuário do dispositivo móvel (ID de usuário e senha).
3. Quando um trabalhador sai, o aplicativo permanece autenticado com o Gerenciamento da Cadeia de Suprimentos e mostra a página de login do próximo trabalhador.

Essa abordagem funciona melhor quando vários trabalhadores compartilham dispositivos em um local.

Usar uma conta de usuário Microsoft Entra ID por trabalho

Nesse cenário, cada trabalhador tem sua própria conta de Microsoft Entra ID vinculada ao registro de trabalho do armazém em Gerenciamento da Cadeia de Suprimentos.

Funciona assim:

1. O trabalhador entra com suas credenciais de Microsoft Entra ID.
2. Se uma ID de usuário padrão estiver configurada para a conta do trabalhador no depósito, esse logon único autenticará o aplicativo e o registrará como trabalhador em um único passo.
3. A mesma sessão Microsoft Entra ID pode ser compartilhada entre outros aplicativos no dispositivo (como Microsoft Teams ou Outlook).

Essa abordagem dá suporte ao SSO ( logon único ) e é melhor quando os trabalhadores usam dispositivos dedicados ou quando você precisa de controles de identidade mais rígidos.

Autenticação de fluxo de código do dispositivo

Quando você usa a autenticação de código do dispositivo, o aplicativo móvel Warehouse Management gera e exibe um código exclusivo do dispositivo. O administrador que está configurando o dispositivo deve inserir esse código de dispositivo em um formulário online, juntamente com as credenciais (nome e senha) de uma conta de usuário Microsoft Entra ID que representa o próprio dispositivo ou o trabalhador humano que está entrando (dependendo de como o administrador implementa o sistema). Em alguns casos, dependendo da forma como a conta de usuário do Microsoft Entra ID é configurada, um administrador também pode ter de aprovar a entrada. Além do código exclusivo do dispositivo, o aplicativo móvel exibe a URL na qual o administrador deve inserir o código e as credenciais da conta de usuário do Microsoft Entra ID.

A autenticação de código do dispositivo simplifica o processo de autenticação porque os usuários não precisam gerenciar certificados ou segredos do cliente. No entanto, ela introduz alguns requisitos e restrições adicionais:

• Crie uma conta de usuário Microsoft Entra ID exclusiva para cada dispositivo ou trabalho humano. Além disso, limite estritamente essas contas para que elas possam executar apenas atividades de usuário de dispositivo móvel do armazém.
• Enquanto um trabalhador está entrando usando o aplicativo móvel de Gerenciamento de Warehouse, o aplicativo mostra um código de dispositivo gerado. Esse código expira após 15 minutos e, em seguida, é ocultado pelo aplicativo. Se o código expirar antes da conclusão da entrada, o trabalhador deverá gerar um novo código selecionando Conectar novamente no aplicativo.
• Os dispositivos serão desconectados automaticamente se não forem usados ou acessados por 90 dias. Dispositivos desconectados devem ser reautenticados antes de serem usados novamente. Saiba mais em Atualizar tokens na plataforma de identidade da Microsoft.
• Não há suporte para logon único (SSO) quando você usa a autenticação de fluxo de código do dispositivo com um sistema móvel de implantação em massa (MDM) (como Intune) para distribuir o aplicativo móvel Gerenciamento de Depósito. Você ainda pode usar um sistema MDM para entregar o aplicativo a cada dispositivo móvel e entregar um connections.json arquivo que configura conexões usando o código do dispositivo. A única diferença é que os trabalhadores devem se conectar manualmente quando começarem a usar o aplicativo. (Esta etapa é necessária apenas uma vez.)

Autenticação de nome de usuário/senha

Quando você usa a autenticação de nome de usuário/senha, cada trabalhador deve inserir o nome de usuário e a senha do Microsoft Entra ID associados ao dispositivo ou a eles mesmos (dependendo do cenário de autenticação que você está usando). Eles também podem precisar inserir uma ID de conta de usuário e senha do dispositivo móvel, dependendo da configuração do registro de trabalhador do depósito. Esse método de autenticação oferece suporte ao logon único (SSO), que também melhora a conveniência da implantação em massa móvel (MDM).

Criar manualmente um registro de aplicativo no Microsoft Entra ID

O aplicativo móvel de Gerenciamento de Armazéns usa um registro de aplicativo do Microsoft Entra ID para autenticar e conectar-se ao seu ambiente de Gerenciamento da Cadeia de Suprimentos. Você pode usar um aplicativo global fornecido e mantido pelo Microsoft ou pode registrar seu próprio aplicativo no Microsoft Entra ID seguindo o procedimento desta seção.

O procedimento a seguir mostra uma maneira de registrar um aplicativo no Microsoft Entra ID. Para obter informações detalhadas e alternativas, use os links após o procedimento.

1. Em um navegador da Web, vá para https://portal.azure.com.

2. Insira o nome e a senha do usuário que tem acesso à assinatura do Azure.

3. Use o campo de pesquisa na parte superior da página para localizar e abrir o serviço Microsoft Entra ID.

4. Trabalhe com a instância do Microsoft Entra ID usada pelo Gerenciamento da Cadeia de Suprimentos.

5. No painel de navegação esquerdo, expanda Manage e selecione Registros de aplicativo.

6. Na barra de ferramentas, selecione Novo registro para abrir o assistente Registrar um aplicativo.

7. Insira um nome para o aplicativo, selecione Contas somente neste diretório organizacional e clique em Registrar.

8. Seu novo cadastro de aplicativo foi aberto. Anote o valor da ID do aplicativo (cliente), pois você precisará dele mais tarde. A ID será mencionada posteriormente neste artigo como a ID do cliente.

9. Na lista Gerenciar, selecione Autenticação.

10. Na página Autenticação do novo aplicativo, abra a guia Configurações , defina Permitir fluxos de cliente públicos como Habilitado e selecione Salvar.

11. Abra a guia Configuração do URI de Redirecionamento e selecione Adicionar URI de redirecionamento.

12. Na caixa de diálogo, selecione Aplicativos móveis e de área de trabalho.

13. Defina o campo de entrada com o seguinte valor, em que {clientId} é a ID do cliente copiada anteriormente neste procedimento:

    ms-appx-web://microsoft.aad.brokerplugin/{clientId}
    

    Selecione Configurar para salvar suas configurações e fechar a caixa de diálogo para retornar à página Autenticação, que agora mostra suas novas configurações de plataforma.

14. Na guia Configuração do URI de Redirecionamento , selecione Adicionar URI de redirecionamento.

15. Na caixa de diálogo, selecione Android. Defina os seguintes campos:

    • Nome do pacote – insira o seguinte valor, respeitando letras maiúsculas e minúsculas:

      com.Microsoft.WarehouseManagement
      

    • Hash de assinatura – insira o seguinte valor:

      hpavxC1xAIAr5u39m1waWrUbsO8=
      

    Selecione Configurar para salvar suas configurações e fechar a caixa de diálogo para retornar à página Autenticação, que agora mostra suas novas configurações de plataforma.

16. Na guia Configuração do URI de Redirecionamento , selecione Adicionar URI de redirecionamento.

17. Na caixa de diálogo, selecione iOS/macOS.

18. Defina o campo ID do Pacote com o seguinte valor:

    com.microsoft.WarehouseManagement
    

19. Selecione Configurar para salvar suas configurações. Feche a caixa de diálogo para retornar à página Autenticação , que agora mostra suas novas configurações de plataforma.

20. No painel de navegação esquerdo, expanda Gerenciar e selecione permissões de API.

21. Selecione Adicionar uma permissão.

22. Na caixa de diálogo Solicitar permissões de API, na guia APIs da Microsoft, selecione o bloco Dynamics ERP e, em seguida, o bloco Permissões Delegadas. Em CustomService, marque a caixa de seleção CustomService.FullAccess. Por fim, selecione Adicionar permissões para salvar as alterações.

23. Use o campo de pesquisa na parte superior da página para localizar e abrir o serviço Microsoft Entra ID.

24. No painel de navegação esquerdo, expanda Gerenciar e selecione aplicativos Empresariais. Em seguida, na nova lista Gerenciar, selecione Todos os aplicativos.

25. No formulário de pesquisa, insira o nome que você inseriu para o aplicativo anteriormente neste procedimento. Confirme se o valor da ID do aplicativo corresponde à ID do cliente copiada anteriormente. em seguida, selecione o link na coluna Nome para abrir as propriedades do aplicativo.

26. No painel de navegação esquerdo, expanda Gerenciar e selecione Propriedades.

27. Definir a opção Atribuição necessária? como Sim e a opção Visível para os usuários? como Não. Em seguida, selecione Salvar na barra de ferramentas.

28. No painel de navegação esquerdo, expanda Gerenciar e selecione Usuários e grupos.

29. Na barra de ferramentas, selecione Adicionar usuário/grupo.

30. Na página Adicionar Atribuição, selecione o link no cabeçalho Usuários.

31. Na caixa de diálogo Users, selecione cada usuário usado para autenticar dispositivos com Gerenciamento da Cadeia de Suprimentos.

32. Selecione Selecionar para aplicar suas configurações e fechar a caixa de diálogo. Em seguida, selecione Atribuir para aplicar suas configurações e feche a página Adicionar Atribuição.

33. Na lista Segurança, selecione Permissões.

34. Selecione Conceder consentimento do administrador para <seu locatário> e conceda consentimento de administrador em nome de seus usuários. Se você não tiver as permissões necessárias, retorne à lista Gerenciar , abra Propriedades e defina a opção Atribuição necessária? como Falso. Cada usuário poderá então fornecer consentimento individualmente.

Para obter mais informações sobre como registrar um aplicativo no Microsoft Entra ID, consulte os seguintes recursos:

• Para obter instruções que mostram como usar Windows PowerShell para registrar um aplicativo no Microsoft Entra ID, consulte Use Azure PowerShell para criar uma entidade de serviço com um certificado.

• Para obter detalhes completos sobre como registrar manualmente um aplicativo no Microsoft Entra ID, confira os seguintes artigos:

  • Register um aplicativo no Microsoft Entra ID
  • Registrar um aplicativo Microsoft Entra e criar um principal de serviço

Configurar registros de funcionários, usuários e trabalhadores de armazéns na Gestão de Cadeia de Suprimentos

Antes de os trabalhadores conseguirem acessar usando o aplicativo móvel, cada ID do Microsoft Entra que você atribuir ao aplicativo empresarial no Azure deve ter um registro de funcionário correspondente, um registro de usuário e um registro de trabalhador de armazém na Gestão da Cadeia de Suprimentos. Para obter informações sobre como configurar esses registros, consulte Contas de usuário do dispositivo móvel.

Logon único

O SSO (logon único) permite que os trabalhadores entrem no aplicativo móvel de Gerenciamento do Warehouse sem inserir uma senha. Ele funciona reutilizando credenciais de outro aplicativo no dispositivo, como intune Portal da Empresa, Microsoft Authenticator ou Microsoft Teams.

Habilitar SSO

Para habilitar o SSO, configure a autenticação agenciada usando um dos seguintes métodos:

• Configuração manual de conexão – habilite a opção Autenticação Agenciada na página Editar conexão do aplicativo.
• Arquivo JSON ou código QR – Inclua "UseBroker": true na configuração de conexão.

Pré-requisitos para SSO

A tabela a seguir lista os aplicativos do agente que devem ser instalados em um dispositivo para que o SSO funcione:

Remover acesso de um dispositivo que usa autenticação baseada no usuário

Se um dispositivo for perdido ou comprometido, revogue seu acesso ao Gerenciamento da Cadeia de Suprimentos imediatamente. Desabilitar a conta de usuário Microsoft Entra ID associada revoga o acesso a todos os dispositivos que usam essa conta. Essa limitação é a razão pela qual a abordagem de uma conta por dispositivo é recomendada. Ele permite isolar e revogar o acesso de um único dispositivo sem afetar outras pessoas.

Para revogar o acesso, siga estas etapas:

1. Entre no portal do Azure.
2. No painel de navegação esquerdo, selecione Microsoft Entra ID e verifique se você está no diretório correto.
3. Na lista Gerenciar, selecione Usuários.
4. Para abrir o perfil do usuário, localize a conta de usuário associada ao código do dispositivo e selecione o nome.
5. Na barra de ferramentas, selecione Revogar sessões para revogar as sessões da conta de usuário.

Informações relacionadas

• Perguntas frequentes sobre a autenticação baseada em usuário
• Instalar o aplicativo móvel Warehouse Management