Autenticación basada en servicios para la aplicación móvil Warehouse Management

La aplicación móvil Warehouse Management admite los siguientes tipos de autenticación basada en usuario:

• Autenticación de flujo de código de dispositivo
• Autenticación con nombre de usuario y contraseña

Importante

Todas las cuentas de Microsoft Entra ID que se utilizan para iniciar sesión deben recibir solo el conjunto mínimo de permisos que requieren para realizar sus tareas de almacenamiento. Los permisos deben limitarse estrictamente a las actividades de los usuarios de dispositivos móviles del almacén. Nunca use una cuenta de administrador para iniciar sesión en los dispositivos.

Escenarios para administrar dispositivos, usuarios de Microsoft Entra ID y usuarios de dispositivos móviles

Por motivos de seguridad, la aplicación móvil de Warehouse Management utiliza Microsoft Entra ID para autenticar la conexión entre la aplicación y Dynamics 365 Supply Chain Management. Hay dos escenarios básicos para administrar cuentas de usuario de Microsoft Entra ID para sus diversos dispositivos y usuarios: una donde cada cuenta de usuario de Microsoft Entra ID representa un dispositivo único y una donde cada usuario de Microsoft Entra ID representa un trabajador humano único. En cada caso, cada trabajador humano tendrá un registro de trabajador de almacén configurado en el módulo Warehouse management, además de una o más cuentas de usuario de dispositivos móviles para cada registro de trabajador de almacén. Para las cuentas de trabajadores de almacén que tienen más de una cuenta de usuario de dispositivo móvil, es posible convertir una de ellas en la cuenta de usuario de dispositivo móvil predeterminada. Los dos escenarios son:

• Utilizar una cuenta de usuario de Microsoft Entra ID para cada dispositivo móvil: en este escenario, los administradores configuran la aplicación móvil de administración de almacenes para utilizar autenticación de flujo de código de dispositivo o autenticación de nombre de usuario/contraseña para conectarse a Supply Chain Management a través de la cuenta de Microsoft Entra ID del dispositivo. (En este escenario, los trabajadores humanos no necesitan una cuenta de usuario de Microsoft Entra). Luego, la aplicación muestra una página de inicio de sesión que permite a los trabajadores humanos iniciar sesión en la aplicación para que puedan obtener acceso al trabajo y otros registros que les corresponden en su ubicación. Los trabajadores humanos inician sesión utilizando el id. de usuario y la contraseña de una de las cuentas de usuario de dispositivos móviles que están asignadas a su registro de trabajador de almacén. Como los trabajadores humanos siempre deben especificar un id. de usuario, no importa cuál de estas cuentas de usuario de dispositivos móviles esté configurada como predeterminada para el registro de trabajador del almacén. Cuando un trabajador humano cierra sesión, la aplicación permanece autenticada con Supply Chain Management pero muestra la página de inicio de sesión nuevamente, para que el siguiente trabajador humano pueda iniciar sesión con su cuenta de usuario de dispositivo móvil.
• Utilice una cuenta de usuario de Microsoft Entra ID para cada trabajador humano: en este escenario, cada usuario humano tiene una cuenta de usuario de Microsoft Entra ID que está vinculada a su cuenta de trabajador de almacén en Supply Chain Management. Por lo tanto, el inicio de sesión de usuario con Microsoft Entra ID puede ser todo lo que el trabajador humano necesita para autenticar la aplicación con Supply Chain Management e iniciar sesión en la aplicación, siempre que exista un ID de usuario predeterminado configurado para la cuenta del trabajador del almacén. Este escenario también admite inicio de sesión único (SSO), porque la misma sesión de Microsoft Entra ID se puede compartir entre otras aplicaciones en el dispositivo (como Microsoft Teams o Outlook) hasta que el trabajador humano cierre sesión en la cuenta de usuario de Microsoft Entra ID.

Autenticación de flujo de código de dispositivo

Cuando utiliza la autenticación de código de dispositivo, la aplicación móvil Warehouse Management genera y muestra un código de dispositivo único. A continuación, el administrador que está configurando el dispositivo debe introducir este código de dispositivo en un formulario en línea, junto con las credenciales (nombre y contraseña) de una cuenta de usuario de Microsoft Entra ID que represente al propio dispositivo o al trabajador humano que se está registrando (dependiendo de cómo haya implementado el sistema el administrador). En algunos casos, dependiendo de cómo esté configurada la cuenta de usuario de Microsoft Entra ID, es posible que un administrador también deba aprobar el inicio de sesión. Además del código único del dispositivo, la aplicación móvil muestra la URL donde el administrador debe introducir el código y las credenciales de la cuenta de usuario de Microsoft Entra ID.

La autenticación de código de dispositivo simplifica el proceso de autenticación, porque los usuarios no tienen que administrar certificados o secretos de clientes. Sin embargo, introduce algunos requisitos y restricciones adicionales:

• Debe crear una cuenta de usuario de Microsoft Entra ID única para cada dispositivo o trabajador humano. Además, estas cuentas deben estar estrictamente limitadas para que solo puedan realizar actividades de usuarios de dispositivos móviles de almacén.
• Si un código de dispositivo generado que no se utiliza para la autenticación va a caducar después de 15 minutos y la aplicación móvil Warehouse Management lo ocultará. El usuario debe presionar Conectar una vez más para que la aplicación móvil genere un nuevo código.
• Si un dispositivo permanece inactivo durante 90 días, se cierra la sesión automáticamente.
• El flujo de código de dispositivo no es compatible con sistemas de implementación masiva móvil (MDM), como Intune, ya que el código se genera en el momento en que un dispositivo no autenticado intenta conectarse a Supply Chain Management.

Autenticación con nombre de usuario/contraseña

Cuando utiliza la autenticación de nombre de usuario/contraseña, cada trabajador humano debe introducir el nombre de usuario y la contraseña de Microsoft Entra ID asociados con el dispositivo o con ellos mismos (dependiendo del escenario de autenticación que está usando). Es posible que también deban introducir un ID de cuenta de usuario y una contraseña de dispositivo móvil, dependiendo de su configuración de registro de trabajador de almacén. Este método de autenticación admite inicio de sesión único (SSO), que también permite la implementación masiva móvil (MDM).

Creación de una web de aplicación de servicio en Microsoft Entra ID

Para habilitar la aplicación móvil Warehouse Management para interactuar con un servidor específico de Supply Chain Management, debe registrar una aplicación de servicio web para el inquilino de Supply Chain Management en Microsoft Entra ID. El siguiente procedimiento muestra una manera de completar una tarea. Para obtener información detallada y alternativas, consulte los vínculos tras el procedimiento.

1. En un explorador web, vaya a https://portal.azure.com.

2. Especifique el nombre y la contraseña del usuario que tiene acceso a la suscripción de Azure.

3. En el portal de Azure, en el panel de navegación izquierdo, seleccione Microsoft Entra ID.

4. Asegúrese de estar trabajando con la instancia de Microsoft Entra ID que utilice Supply Chain Management.

5. En la lista Administrar, seleccione Registros de aplicación.

6. En la barra de herramientas, seleccione Nuevo registro para abrir el asistente Registrar una solicitud.

7. Escriba un nombre para la aplicación, seleccione la opción Solo cuentas en el directorio de esta organización y luego elija Registrar.

8. Se abre su nuevo registro de aplicación. Anote el valor de Id. de aplicación (cliente), puesto que lo necesitará más adelante. Este id. se referirá más adelante en este artículo como Id. de cliente.

9. En la lista Administrar, seleccione Autenticación.

10. En la página Autenticación para la nueva aplicación, configure la opción Habilitar los siguientes flujos móviles y de escritorio en Sí para habilitar el flujo de código de dispositivo para su aplicación. A continuación, seleccione Guardar.

11. Seleccione Agregar una plataforma.

12. En el cuadro de diálogo Configurar plataforma, seleccione Aplicaciones móviles y de escritorio.

13. En el cuadro de diálogo Configurar escritorio + dispositivos, establezca el campo URI de redirección personalizada en el siguiente valor:

    ms-appx-web://microsoft.aad.brokerplugin/S-1-15-2-3857744515-191373067-2574334635-916324744-1634607484-364543842-2321633333
    

14. Seleccione Configurar para guardar su configuración y cerrar los cuadros de diálogo.

15. Regresa a la página Autenticación, que ahora muestra la nueva configuración de tu plataforma. Seleccione Agregar una plataforma de nuevo.

16. En el cuadro de diálogo Configurar plataforma, seleccione Android.

17. En el cuadro de diálogo Configurar su aplicación Android, seleccione los siguientes campos:

    • Nombre del paquete – Introduzca el siguiente valor:

      com.microsoft.warehousemanagement
      

    • Hash de firma : introduzca el siguiente valor:

      hpavxC1xAIAr5u39m1waWrUbsO8=
      

18. Seleccione Configurar para guardar su configuración y cerrar el cuadro de diálogo. Luego seleccione Hecho para volver a la página Autenticación, que ahora muestra las configuraciones de su nueva plataforma.

19. Seleccione Agregar una plataforma de nuevo.

20. En el cuadro de diálogo Configurar plataforma, seleccione iOS/Mac OS.

21. En el cuadro de diálogo Configura tu iOS o aplicación macOS, establezca el campo ID del paquete en com.microsoft.WarehouseManagement.

22. Seleccione Configurar para guardar su configuración y cerrar el cuadro de diálogo. Luego seleccione Hecho para volver a la página Autenticación, que ahora muestra las configuraciones de su nueva plataforma.

23. En la sección Ajustes avanzados, establezca Permitir flujos de clientes públicos en Sí.

24. En la lista Administrar, seleccione Permisos de API.

25. Seleccione Agregar un permiso.

26. En el cuadro de diálogo Solicitar permisos de API, en la pestaña API de Microsoft, seleccione el mosaico Dynamics ERP y luego el mosaico Permisos delegados. En CustomService, seleccione la casilla de verificación CustomService.FullAccess. Finalmente, seleccione Agregar permisos para guardar sus cambios.

27. En el panel de navegación izquierdo, seleccione Microsoft Entra ID.

28. En la lista Administrar, seleccione Aplicaciones empresariales. Luego, en la nueva lista Administrar, seleccione Todas las aplicaciones.

29. En el formulario de búsqueda, introduzca el nombre que introdujo para la aplicación anteriormente en este procedimiento. Confirme que el valor del Id. de aplicación para la aplicación encontrada coincida con el Id. de cliente que copió anteriormente. A continuación, seleccione el vínculo de la columna Nombre para abrir la página de propiedades de la aplicación.

30. En la lista Administrar, seleccione Propiedades.

31. Establezca la opción ¿Se requiere asignación? en Sí y la opción ¿Visible para los usuarios? en No. A continuación, seleccione Guardar en la barra de herramientas.

32. En la lista Administrar, seleccione Usuarios y grupos.

33. En la barra de herramientas, seleccione Agregar usuario/grupo.

34. En la página Agregar asignación, seleccione el vínculo debajo del encabezado Usuarios.

35. En el cuadro de diálogo Usuarios, seleccione cada usuario que usará para autenticar dispositivos con Supply Chain Management.

36. Seleccione Seleccionar para aplicar su configuración y cerrar el cuadro de diálogo de consulta. Luego seleccione Asignar para aplicar su configuración y cerrar la página Agregar asignación.

37. En la lista Seguridad, seleccione Permisos.

38. Seleccione Otorgar consentimiento del administrador para <su inquilino> y otorgue consentimiento de administrador en nombre de sus usuarios. Si no tiene los permisos necesarios, regrese a la lista Administrar, abra Propiedades y configure la opción ¿Se requiere asignación? para Falso. Luego, cada usuario puede dar su consentimiento individualmente.

Para obtener más información sobre cómo configurar aplicaciones de servicios web en Microsoft Entra ID, vea los siguientes recursos:

• Para obtener instrucciones que muestran cómo usar Windows PowerShell para configurar aplicaciones de servicio web en Microsoft Entra ID, consulte Procedimiento: usar Azure PowerShell para crear una entidad de servicio con un certificado.

• Para obtener detalles completos sobre cómo crear manualmente una aplicación de servicio web en Microsoft Entra ID, vea los siguientes artículos:

  • Inicio rápido: registrar una aplicación en la plataforma de identidad de Microsoft
  • Procedimiento: usar el portal para crear una aplicación de Microsoft Entra ID y entidad de servicio que puede acceder a los recursos

Configurar registros de empleados, usuarios y trabajadores del almacén en Supply Chain Management

Antes de que los trabajadores puedan comenzar a iniciar sesión mediante la aplicación móvil, cada cuenta de Microsoft Entra ID que asignó a la aplicación empresarial en Azure debe tener un registro de empleado, un registro de usuario y un registro de trabajador de almacén correspondientes en Supply Chain Management. . Para obtener información sobre cómo configurar estos registros, consulte Cuentas de usuario de dispositivos móviles.

Inicio de sesión único

Para utilizar el inicio de sesión único (SSO), debe ejecutar la versión de la aplicación móvil Warehouse Management 2.1.23.0 o posterior.

SSO permite a los usuarios iniciar sesión sin tener que ingresar una contraseña. Funciona reutilizando credenciales del Portal de empresa de Intune (Android únicamente) o Microsoft Authenticator (Android y iOS) u otras aplicaciones del dispositivo.

Nota

SSO requiere que utilice el nombre de usuario/contraseña de autenticación.

El procedimiento en Crear una aplicación de servicio web en Microsoft Entra ID describe todas las configuraciones necesarias para preparar su sistema para usar SSO. Sin embargo, para utilizar SSO, también debe seguir uno de estos pasos, dependiendo de cómo configure la conexión.

• Si configura manualmente la conexión en la aplicación móvil Warehouse Management, debe habilitar la opción Autenticación mediante agente en la página Editar conexión de la aplicación móvil.
• Si configura la conexión utilizando un archivo de notación de objetos JavaScript (JSON) o un código QR, debe incluir "UseBroker": true en su Archivo JSON o código QR.

Importante

• Para utilizar la implementación masiva móvil (MDM), debe habilitar SSO.
• La aplicación móvil Warehouse Management no admite el modo de dispositivo compartido.

Eliminar el acceso a un dispositivo que utiliza autenticación basada en usuario

Si se ha perdido un dispositivo o está en riesgo, debe eliminar su capacidad de acceder a Supply Chain Management. Cuando un dispositivo se autentica mediante el flujo de código del dispositivo, es esencial que desactive la cuenta de usuario asociada en Microsoft Entra ID para revocar el acceso a ese dispositivo si alguna vez se pierde o está en riesgo. Al deshabilitar la cuenta de usuario en Microsoft Entra ID, efectivamente revoca el acceso para cualquier dispositivo que use el código de dispositivo asociado con esa cuenta de usuario. Por ese motivo, le recomendamos que tenga una cuenta de usuario de Microsoft Entra ID por dispositivo.

Para deshabilitar una cuenta de usuario en Microsoft Entra ID, siga estos pasos.

1. Inicie sesión en el portal de Azure.
2. En el panel de navegación izquierdo, seleccione Microsoft Entra ID y asegúrese de estar en el directorio correcto.
3. En la lista Administrar, seleccione Usuarios.
4. Busque la cuenta de usuario asociada con el código del dispositivo y seleccione el nombre para abrir el perfil del usuario.
5. En la barra de herramientas, seleccione Revocar sesiones para revocar las sesiones de la cuenta de usuario.

Nota

Dependiendo de cómo configure su sistema de autenticación, es posible que también desee cambiar la contraseña de la cuenta de usuario o deshabilitar completamente la cuenta de usuario.

Recursos adicionales

• Preguntas frecuentes de autenticación basada en usuario
• Instalar la aplicación móvil Warehouse Management
• Autenticación basada en servicios para la aplicación móvil Warehouse Management