Metody ověřování založené na uživateli pro mobilní aplikaci Warehouse Management

Mobilní aplikace Warehouse Management podporuje následující typy ověřování na základě uživatele:

• Ověření toku kódu zařízení
• Ověření uživatelským jménem a heslem

Důležité

Všem účtům Microsoft Entra ID, které se používají k přihlášení, musí být udělena pouze minimální sada oprávnění, která potřebují k provádění svých úloh skladování. Oprávnění musí být přísně omezena na činnosti uživatelů mobilních zařízení ve skladu. K přihlášení do zařízení nikdy nepoužívejte účet správce.

Scénáře pro správu zařízení, uživatelů Microsoft Entra ID a uživatelů mobilních zařízení

Pro účely zabezpečení se používá mobilní aplikace Warehouse Management Microsoft Entra ID pro ověření spojení mezi aplikací a Dynamics 365 Supply Chain Management. Existují dva základní scénáře řízení uživatelských účtů Microsoft Entra ID pro vaše různá zařízení a uživatele: jeden, kde každý uživatelských účet Microsoft Entra ID představuje jedinečné zařízení, a jeden, kde každý uživatel Microsoft Entra ID představuje jedinečného lidského pracovníka. V každém případě bude mít každý lidský pracovník nastavený jeden záznam pracovník skladu v modulu Warehouse Management plus jeden nebo více uživatelských účtů mobilních zařízení pro každý záznam pracovníka skladu. U účtů pracovníků skladu, kteří mají více než jeden uživatelský účet pro mobilní zařízení, je možné nastavit jeden z nich jako výchozí uživatelský účet pro mobilní zařízení. Tyto dva scénáře jsou:

• Použít jeden uživatelský účet Microsoft Entra ID pro každé mobilní zařízení – V tomto scénáři správci nastaví mobilní aplikaci Warehouse Management tak, aby používala ověřování toku kódu zařízení nebo ověřování uživatelským jménem / heslem pro připojení k Supply Chain Management prostřednictvím účtu Microsoft Entra ID zařízení. (V tomto scénáři nepotřebují lidští pracovníci účet Microsoft Entra ID.) Aplikace poté zobrazí přihlašovací stránku, která umožní lidským pracovníkům přihlásit se do aplikace, aby mohli získat přístup k práci a dalším záznamům, které se na ně vztahují v jejich místě. Lidští pracovníci se přihlašují pomocí ID uživatele a hesla jednoho z uživatelských účtů mobilních zařízení přiřazených k jejich záznamu pracovníka skladu. Protože lidští pracovníci musí vždy zadat ID uživatele, nezáleží na tom, který z těchto uživatelských účtů mobilních zařízení je nastaven jako výchozí pro záznam pracovníka skladu. Když se lidský pracovník odhlásí, aplikace zůstane ověřená pomocí Supply Chain Management, ale znovu zobrazí přihlašovací stránku, takže se další lidský pracovník může přihlásit pomocí svého uživatelského účtu mobilního zařízení.
• Použít jeden uživatelský účet Microsoft Entra ID pro každého lidského pracovníka – V tomto scénáři má každý lidský uživatel uživatelský účet Microsoft Entra ID, který je propojen s jeho účtem pracovníka skladu v Supply Chain Management. Proto přihlášení uživatele pomocí Microsoft Entra ID může být vše, co lidský pracovník potřebuje k ověření aplikace pomocí Supply Chain Management a přihlášení do aplikace, za předpokladu, že výchozí uživatelské ID je nastaveno pro účet pracovníka skladu. Tento scénář také podporuje jednotné přihlášení (SSO), protože stejnou relaci Microsoft Entra ID lze sdílet mezi jinými aplikacemi v zařízení (např. Microsoft Teams nebo Outlook), dokud se lidský pracovník neodhlásí z uživatelského účtu Microsoft Entra ID.

Ověření toku kódu zařízení

Když používáte ověřování kódu zařízení, mobilní aplikace Warehouse Management vygeneruje a zobrazí jedinečný kód zařízení. Správce, který zařízení nastavuje, pak musí tento kód zařízení zadat do online formuláře spolu s přihlašovacími údaji (jméno a heslo) k uživatelskému účtu Microsoft Entra ID, který představuje buď samotné zařízení, nebo lidského pracovníka, který se přihlašuje (v závislosti na tom, jak správce implementoval systém). V některých případech, v závislosti na tom, jak je nakonfigurován uživatelský účet Microsoft Entra ID, může přihlášení schválit také správce. Kromě jedinečného kódu zařízení mobilní aplikace zobrazuje adresu URL, kam musí správce zadat kód, a přihlašovací údaje k uživatelskému účtu Microsoft Entra ID.

Ověřování kódem zařízení zjednodušuje proces ověřování, protože uživatelé nemusejí spravovat certifikáty ani tajné klíče klienta. Zavádí však několik dalších požadavků a omezení:

• Pro každé zařízení nebo lidského pracovníka musíte vytvořit jedinečný uživatelský účet Microsoft Entra ID. Navíc tyto účty nesmí být přísně omezeny, aby mohly provádět pouze činnosti uživatelů mobilních zařízení skladu.
• Pokud vygenerovaný kód zařízení, který není použit k ověření, vyprší po 15 minutách a mobilní aplikace Warehouse Management ho skryje. Aby mobilní aplikace vygenerovala nový kód, musí uživatel znovu stisknout Připojit.
• Pokud zařízení zůstane nečinné po dobu 90 dnů, bude automaticky odhlášeno.
• Tok kódu zařízení není podporován systémy pro hromadné nasazení (MDM), jako je Intune, protože kód je generován v okamžiku, kdy se jedno neověřené zařízení pokusí připojit k Supply Chain Management.

Ověření uživatelským jménem / heslem

Když používáte ověřování uživatelským jménem / heslem, musí každý lidský pracovník zadat uživatelské jméno a heslo Microsoft Entra ID spojené buď se zařízením, nebo s ním samým (v závislosti na scénáři ověření, který používáte). V závislosti na nastavení záznamu pracovníka skladu může být také nutné zadat ID a heslo uživatelského účtu mobilního zařízení. Tato metoda ověřování podporuje jednotné přihlášení (SSO), které také umožňuje mobilní hromadné nasazení (MDM).

Vytvoření aplikace webové služby v Microsoft Entra ID

Pokud chcete umožni interakci mobilní aplikace Warehouse Management s konkrétním serverem Supply Chain Management, je nutné zaregistrovat aplikaci webové služby pro klienta Supply Chain Management v Microsoft Entra ID. Následující postup ukazuje jeden způsob, jak dokončit tento úkol. Podrobné informace a alternativy naleznete v odkazech po postupu.

1. Přejděte ve webovém prohlížeči na https://portal.azure.com.

2. Zadejte jméno a heslo uživatele, kteří mají přístup k předplatnému Azure.

3. Na portálu Azure v levém navigačním podokně vyberte Microsoft Entra ID.

4. Ujistěte se, že pracujete s instancí Microsoft Entra ID, kterou používá Supply Chain Management.

5. V seznamu Spravovat zvolte Registrace aplikací.

6. Na panelu nástrojů vyberte Nová registrace a otevřete průvodce Zaregistrovat aplikaci.

7. Zadejte název aplikace, vyberte možnost Pouze účty v tomto organizačním adresáři a poté zvolte Registrovat.

8. Otevře se vaše nová registrace aplikace. Poznamenejte si hodnotu v poli ID aplikace (klienta), protože ji budete potřebovat později. Toto ID je dále v tomto článku označováno jako ID klienta.

9. V seznamu Spravovat zvolte Ověřování.

10. Na stránce Ověřování pro novou aplikaci nastavte možnost Zapnout následující mobilní a desktopové toky na hodnotu Ano, čímž zapnete tok kódu zařízení pro vaši aplikaci. Pak vyberte Uložit.

11. Vyberte Přidat platformu.

12. V dialogovém okně Konfigurace platformy vyberte Mobilní a desktopové aplikace.

13. V dialogovém okně Konfigurovat plochu + zařízení nastavte pole URI vlastního přesměrování na následující hodnotu:

    ms-appx-web://microsoft.aad.brokerplugin/S-1-15-2-3857744515-191373067-2574334635-916324744-1634607484-364543842-2321633333
    

14. Volbou Konfigurovat uložte nastavení a zavřete dialogová okna.

15. Vrátíte se na stránku Ověřování, která nyní obsahuje novou konfiguraci platformy. Znovu vyberte možnost Přidat platformu.

16. V dialogovém okně Konfigurace platformy vyberte možnost Android.

17. V dialogovém okně Konfigurace aplikace Android nastavte následující pole:

    • Název balíčku – Zadejte následující hodnotu:

      com.microsoft.warehousemanagement
      

    • Hash podpisu – Zadejte následující hodnotu:

      hpavxC1xAIAr5u39m1waWrUbsO8=
      

18. Volbou Konfigurovat uložte nastavení a zavřete dialogové okno. Poté se volbou Hotovo vrátíte se na stránku Ověřování, která nyní obsahuje nové konfigurace platformy.

19. Znovu vyberte možnost Přidat platformu.

20. V dialogovém okně Konfigurace platformy vyberte možnost iOS / macOS.

21. V dialogovém okně Konfigurace aplikace iOS nebo macOS nastavte pole ID balíčku na com.microsoft.WarehouseManagement.

22. Volbou Konfigurovat uložte nastavení a zavřete dialogové okno. Poté se volbou Hotovo vrátíte se na stránku Ověřování, která nyní obsahuje nové konfigurace platformy.

23. V části Pokročilé nastavení nastavte Povolit veřejné toky klienta na Ano.

24. V seznamu Spravovat zvolte Oprávnění rozhraní API.

25. Vyberte Přidat oprávnění.

26. V dialogovém okně Požadovat oprávnění rozhraní API vyberte na kartě Rozhraní API Microsoft dlaždici Dynamics ERP a poté dlaždici Delegovaná oprávnění. V části CustomService zaškrtněte políčko CustomService.FullAccess. Nakonec vyberte Přidat oprávnění pro uložení změn.

27. V levém navigačním podokně vyberte Microsoft Entra ID.

28. V seznamu Spravovat zvolte Podnikové aplikace. Poté v novém seznamu Spravovat vyberte kartu Všechny aplikace.

29. Do vyhledávacího formuláře zadejte název, který jste pro aplikaci zadali dříve v tomto postupu. Potvrďte, že hodnota ID aplikace pro nalezenou aplikaci odpovídá ID klienta, které jste zkopírovali dříve. Ve sloupci Název poté vyberte odkaz k otevření vlastností aplikace.

30. V seznamu Spravovat zvolte Vlastnosti.

31. Nastavte možnost Je vyžadováno přiřazení? na hodnotu Ano a možnost Viditelné pro uživatele? na Ne. Na panelu nástrojů potom vyberte Uložit.

32. V seznamu Spravovat zvolte Uživatelé a skupiny.

33. Na panelu nástrojů vyberte možnost Přidat uživatele/skupinu.

34. Na stránce Přidat přiřazení vyberte odkaz pod nadpisem Uživatelé.

35. V dialogovém okně Uživatelé vyberte každého uživatele, kterého budete používat k ověřování zařízení pomocí Supply Chain Management.

36. Vyberte Vybrat, pokud chcete použít své nastavení a zavřete dialogové okno. Poté vyberte Přiřadit, čímž použijete svá nastavení a zavřete stránku Přidat přiřazení.

37. V seznamu Zabezpečení vyberte Oprávnění.

38. Vyberte Udělit souhlas správce pro <vašeho tenanta> a udělte souhlas správce jménem svých uživatelů. Pokud vám chybí potřebná oprávnění, vraťte se do seznamu Spravovat, otevřete Vlastnosti a nastavte možnost Je vyžadováno přiřazení? na False. Každý uživatel pak může poskytnout souhlas individuálně.

Další informace o nastavení aplikací webových služeb v Microsoft Entra ID naleznete v následujících zdrojích:

• Pokyny, které ukazují, jak používat Windows PowerShell k nastavení aplikací webových služeb v Microsoft Entra ID naleznete v části Postup: Použití Azure PowerShell k vytvoření hlavní služby s certifikátem.

• Úplné podrobnosti o tom, jak ručně vytvořit aplikaci webové služby Microsoft Entra, ID naleznete v následujících článcích:

  • Rychlý start: registrace aplikace pomocí platformy identity Microsoft
  • Postup: Použití portálu k vytvoření aplikace Microsoft Entra ID a hlavní služby, které mají přístup ke zdrojům

Nastavení záznamů o zaměstnancích, uživatelích a pracovnících skladu Supply Chain Management

Než se pracovníci budou moci začít přihlašovat pomocí mobilní aplikace, musí mít každý účet Microsoft Entra ID, který jste přiřadili podnikové aplikaci v Azure, odpovídající záznam zaměstnance, záznam uživatele a záznam pracovníka skladu v Supply Chain Management. . Informace o nastavení těchto záznamů naleznete v části Uživatelské účty mobilních zařízení.

Jednotné přihlašování

Chcete-li používat jednotné přihlášení (SSO), musíte mít spuštěnu mobilní aplikaci Warehouse Management verze 2.1.23.0 nebo novější.

SSO umožňuje uživatelům přihlásit se bez nutnosti zadávat heslo. Funguje to opětovným použitím přihlašovacích údajů z Intune Company Portal (pouze Android) nebo Microsoft Authenticator (Android a iOS) nebo jiných aplikací na zařízení.

Poznámka

Jednotné přihlášení vyžaduje, abyste použili ověřování uživatelským jménem / heslem.

Postup v sekci Vytvoření aplikace webové služby v Microsoft Entra ID popisuje všechna nastavení, která jsou nutná k přípravě vašeho systému na použití jednotného přihlašování. Chcete-li však používat jednotné přihlašování, musíte také provést jeden z těchto kroků v závislosti na konfiguraci připojení.

• Jestliže připojení konfigurujete ručně v mobilní aplikaci Warehouse Management, musíte zapnout možnost Zprostředkované ověřování na stránce Upravit připojení mobilní aplikace.
• Pokud připojení konfigurujete pomocí souboru JavaScript Object Notation (JSON) nebo QR kódu, musíte do "UseBroker": true zahrnout soubor JSON nebo QR kód.

Důležité

• Chcete-li použít mobilní hromadné nasazení (MDM), musíte zapnout jednotné přihlašování.
• Mobilní aplikace Warehouse Management nepodporujerežim sdíleného zařízení.

Odebrání přístupu zařízení, které používá ověřování na základě uživatele

Ztraceným nebo narušeným zařízením je nutné odebrat možnost přístupu k aplikaci Supply Chain Management. Když je zařízení ověřeno pomocí toku kódu zařízení, je nezbytné, abyste deaktivovali přidružený uživatelský účet v Microsoft Entra ID, abyste zrušili přístup pro toto zařízení, pokud dojde ke ztrátě nebo kompromitaci. Deaktivací uživatelského účtu v Microsoft Entra ID účinně odeberete přístup jakémukoli zařízení, které používá kód zařízení přidružený k danému uživatelskému účtu. Z tohoto důvodu vám doporučujeme, abyste měli jeden uživatelský účet Microsoft Entra ID na zařízení.

Pokud chcete deaktivovat uživatelský účet v Microsoft Entra ID, postupujte takto.

1. Přihlaste se do portálu Azure.
2. V levém navigačním podokně vyberte možnost Microsoft Entra ID a ujistěte se, že jste ve správném adresáři.
3. V seznamu Spravovat zvolte Uživatelé.
4. Najděte uživatelský účet, který je přidružen ke kódu zařízení, a výběrem jména otevřete profil uživatele.
5. Na panelu nástrojů vyberte Odvolat relace pro odvolání relací uživatelského účtu.

Poznámka

V závislosti na tom, jak jste nastavili svůj ověřovací systém, můžete také chtít změnit heslo uživatelského účtu nebo úplně uživatelský účet deaktivovat.

Další zdroje

• Nejčastější dotazy k ověřování založeném na uživateli
• Instalace mobilní aplikace Warehouse Management
• Ověřování založené na službách pro mobilní aplikaci Warehouse Management