Käyttäjäperusteinen todennus Warehouse Management -mobiilisovelluksessa

Warehouse Management -mobiilisovellus tukee seuraavia käyttäjäperusteisen todennuksen tyyppejä:

• Laitekoodin työnkulun todennus
• Käyttäjänimen ja salasanan todennus

Tärkeää

Kaikille kirjautumiseen käytettäville Microsoft Entra ID -tileille on myönnettävä vain vähimmäisoikeudet, joita tarvitaan varastotehtävien suorittamiseen. Käyttöoikeudet on rajattava tarkasti varaston mobiililaitteen käyttäjän tehtäviin. Älä koskaan kirjaudu laitteisiin järjestelmänvalvojatilin avulla.

Laitteiden, Microsoft Entra ID -käyttäjien ja mobiililaitteen käyttäjien hallintaskenaariot

Tietoturvasyistä Warehouse Management -mobiilisovellus käyttää Microsoft Entra ID:tä sovelluksen ja Dynamics 365 Supply Chain Managementin välisen yhteyden todentamiseen. Erilaisten laitteiden ja käyttäjien Microsoft Entra ID -käyttäjätilien hallintaan on kaksi perusskenaariota: toisessa Microsoft Entra ID -käyttäjätilit ilmaisevat yksilöidyn laitteen ja toisessa kukin Microsoft Entra ID -käyttäjä ilmaisee yksilöidyn ihmistyöntekijän. Kummassakin tapauksessa kullekin ihmistyöntekijälle on määritetty yksi varastotyöntekijän tietue varastonhallintamoduulissa, minkä lisäksi kullakin varastotyöntekijätietueella on vähintään yksi mobiililaitteen käyttäjätili. Jos varastotyöntekijätilillä on enemmän kuin yksi mobiililaitteen käyttäjätili, yksi niistä voi määrittää mobiililaitteen oletuskäyttäjätiliksi. Skenaarioita on kaksi:

• Kullekin mobiililaitteelle käytetään yhtä Microsoft Entra ID -käyttäjätiliä – Tässä skenaariossa järjestelmänvalvojat määrittävät Warehouse Management -mobiilisovelluksen käyttämään joko laitekoodin työnkulkutodennusta tai käyttäjänimi- ja salasanatodennusta muodostettaessa yhteyttä Supply Chain Managementiin laitteen Microsoft Entra ID -tilin kautta. (Tässä skenaariossa ihmistyöntekijät eivät tarvitse Microsoft Entra ID -käyttäjätiliä). Sovellus näyttää sitten kirjautumissivun, jossa ihmistyöntekijät voivat kirjautua sovellukseen, minkä jälkeen he saavat käyttöönsä heitä koskevat sijainnin työ- ja muut tietueet. Ihmistyöntekijät käyttävät kirjautumiseen yhden heidän varastotyöntekijätietueeseensa määritetyn mobiililaitteen käyttäjätilin käyttäjätunnusta ja salasanaa. Koska ihmistyöntekijöiden on aina syötettävä käyttäjätunnus, joten sillä ei ole merkitystä, määritetäänkö jokin mobiililaitteen käyttäjätili varastotyöntekijätietueen oletusarvoksi. Kun ihmistyöntekijä kirjautuu ulos, sovellus pysyy todennettuna Supply Chain Managementissa mutta näkyvissä on taas kirjautumissivu, jotta seuraava ihmistyöntekijä voi kirjautua sisään käyttämällä mobiililaitteen käyttäjätiliä.
• Yhden Microsoft Entra ID -käyttäjätilin käyttäminen kullekin ihmistyöntekijälle – Tässä skenaariossa kullakin ihmiskäyttäjällä on Microsoft Entra ID -käyttäjätili, joka on linkitetty kyseiseen varastotyöntekijän tiliin Supply Chain Managementissa. Siten Microsoft Entra ID -käyttäjän kirjautuminen voi olla kaikki, mitä ihmistyöntekijä tarvitsee sekä sovelluksen Supply Chain Managementissa todentamiseen että sovellukseen kirjautumiseen, jos varastotyöntekijän tilille on määritetty oletusarvoinen käyttäjätunnus. Tämä skenaario tukee myös kertakirjautumista, koska sama Microsoft Entra ID -istunto voidaan jakaa sovellusten (kuten Microsoft Teamsin tai Outlookin) kesken laitteessa siihen saakka, että ihmistyöntekijä kirjautuu ulos Microsoft Entra ID -käyttäjätililtä.

Laitekoodin työnkulun todennus

Laitteen koodityönkulun todennusta käytettäessä Warehouse Management -mobiilisovellus luo ja näyttää yksilöivän laitekoodin. Laitteen asetuksia määrittävän järjestelmänvalvojan on sitten syötettävä tämä laitekoodi verkkolomakkeeseen samoin kuin Microsoft Entra ID -käyttäjätilin tunnistetiedot (nimi ja salasana), jotka edustavat joko itse laitetta tai kirjautuvaa ihmistyöntekijää (järjestelmänvalvojan käyttöönottamistavasta riippuen). Joissakin tilanteissa järjestelmänvalvojan on hyväksyttävä myös kirjautuminen sen mukaan, miten Microsoft Entra ID -käyttäjätili on määritetty. Mobiilisovelluksessa näkyy yksilöivän laitekoodin lisäksi URL-osoite, johon järjestelmänvalvojan on kirjoitettava Microsoft Entra ID -käyttäjätilin koodi ja tunnistetiedot.

Laitekoodin todennus yksinkertaistaa todennusprosessia, koska käyttäjien tarvitset hallita varmenteita tai asiakasohjelman salasanoja. Siinä esitellään kuitenkin muutamia lisävaatimuksia ja -rajoituksia:

• Kullekin laitteelle tai ihmistyöntekijälle on luotava yksilöivä Microsoft Entra ID -käyttäjätili. Näiden tilien on lisäksi oltava tiukasti rajoitettuja, jotta ne voivat suorittaa vain varaston mobiililaitteen käyttäjän tehtäviä.
• Jos luotua laitekoodia ei käytetä todennukseen, se vanhentuu 15 minuutin kuluttua ja Warehouse Management -mobiilisovellus piilottaa. Mobiilisovellus luo uuden koodin, kun käyttäjä valitse Yhdistä vielä kerran.
• Jos laite pysyy käyttämättömänä 90 päivän ajan, se kirjataan automaattisesti ulos.
• Mobiililaitteiden joukkokäyttöönottojärjestelmät (MDM), kuten Intune, eivät tue laitteen koodityönkulkua, koska koodi luodaan hetkellä, jolloin todentamaton laite yrittää muodostaa yhteyden Supply Chain Managementiin.

Käyttäjänimen ja salasanan todennus

Käyttäjänimi- ja salasanatodennusta käytettäessä kunkin ihmistyöntekijän on syötettävä joko laitteeseen tai työntekijään liitetty Microsoft Entra ID -käyttäjänimi ja -salasana (käytössä olevan todennusskenaarion mukaan). Lisäksi on ehkä syötettävä mobiililaitteen käyttäjätilin tunnus ja salasana varastotyöntekijätietueen määritysten mukaisesti. Tämä todennusmenetelmä tukee kertakirjautumista (SSO), mikä mahdollistaa myös mobiililaitteiden joukkokäyttöönoton (MDM).

Verkkosovelluksen luominen Microsoft Entra ID:ssä

Varastonhallinnan mobiilisovelluksen käyttö tietyn Supply Chain Management -palvelimen kanssa edellyttää, että verkkopalvelusovellus rekisteröidään Supply Chain Managementin vuokraajassa Microsoft Entra ID:ssä. Seuraavaksi näytetään yksi tapa, jolla sen voi tehdä. Lisätietoja ja muita tapoja on jäljempänä.

1. Siirry selaimessa osoitteeseen https://portal.azure.com.

2. Anna sen käyttäjän nimi ja salasana, jolla on Azure‑tilauksen käyttöoikeus.

3. Valitse Azure-portaalin vasemmassa siirtymisruudussa Microsoft Entra ID.

4. Varmista, että käytössä on Supply Chain Managementin käyttämä Microsoft Entra ID -esiintymä.

5. Valitse Hallinta-luettelossa Sovelluksen rekisteröinnit.

6. Avaa ohjattu Sovelluksen rekisteröinti -toiminto valitsemalla työkalurivillä Uusi rekisteröinti.

7. Anna sovelluksen nimi, valitse Vain tämän organisaatiohakemiston tilit -vaihtoehto ja valitse sitten Rekisteröi.

8. Uusi sovelluksen rekisteröinti avautuu. Kirjoita Sovelluksen (asiakasohjelman) tunnus -kohdan arvo muistiin, sillä tarvitset sitä myöhemmin. Tätä tunnusta kutsutaan myöhemmin tässä artikkelissa asiakasohjelman tunnukseksi.

9. Valitse Hallinta-luettelossa Todennus.

10. Määritä uuden sovelluksen Todennus-sivulla Ota käyttöön seuraavat mobiili- ja työpöytätyönkulut -asetuksen arvoksi Kyllä, kun haluat ottaa käyttöön sovelluksellesi laitekoodin työnkulun. Valitse sitten Tallenna.

11. Valitse Lisää ympäristö.

12. Valitse Määritä ympäristö -valintaikkunassa Mobiili- ja työpöytäsovellukset.

13. Määritä Määritä työpöytä + laitteet -valintaikkunassa Mukautetut uudelleenohjauksen URI:t -kenttään seuraava arvo:

    ms-appx-web://microsoft.aad.brokerplugin/S-1-15-2-3857744515-191373067-2574334635-916324744-1634607484-364543842-2321633333
    

14. Tallenna asetukset ja sulje valintaikkunat valitsemalla Määritä.

15. Palaat Todennus-sivulle, jolla nyt näkyy uuden ympäristösi määritys. Valitse Lisää ympäristö uudelleen.

16. Valitse Määritä ympäristö -valintaikkunassa Android.

17. Määritä Määritä Android-sovellus -valintaikkunassa seuraavat kentät:

    • Paketin nimi – Anna seuraava arvo:

      com.microsoft.warehousemanagement
      

    • Allekirjoituksen hajautusarvo – Anna seuraava arvo:

      hpavxC1xAIAr5u39m1waWrUbsO8=
      

18. Tallenna asetukset ja sulje valintaikkuna valitsemalla Määritä. Palaa sitten Todennus-sivulle, jolla nyt näkyvät uuden ympäristösi määritykset, valitsemalla Valmis.

19. Valitse Lisää ympäristö uudelleen.

20. Valitse Määritä ympäristö -valintaikkunassa iOS/macOS.

21. Määritä Määritä iOS- tai macOS-sovellus -valintaikkunassa Nipputunnus-kentän arvoksi com.microsoft.WarehouseManagement.

22. Tallenna asetukset ja sulje valintaikkuna valitsemalla Määritä. Palaa sitten Todennus-sivulle, jolla nyt näkyvät uuden ympäristösi määritykset, valitsemalla Valmis.

23. Määritä Lisäasetukset-osassa Salli julkisen asiakkaan työnkulut -asetukseksi Kyllä.

24. Valitse Hallinta-luettelossa API-oikeudet.

25. Valitse Lisää käyttöoikeus.

26. Valitse Pyydä API-käyttöoikeuksia -valintaikkunassa Microsoft API:t -välilehdessä Dynamics ERP -ruutu ja sitten Delegoidut käyttöoikeudet -ruutu. Valitse CustomService-kohdasta CustomService.FullAccess-valintaruutu. Tallenna muutokset valitsemalla lopuksi Lisää käyttöoikeudet.

27. Valitse vasemmanpuoleisessa siirtymisruudussa Microsoft Entra ID.

28. Valitse Hallinta-luettelossa Yrityssovellukset. Valitse sitten uudessa Hallinta-luettelossa Kaikki sovellukset.

29. Kirjoita hakulomakkeessa nimi, jonka annoit sovellukselle aiemmin tässä menettelyssä. Vahvista, että sovelluksen Sovellustunnus-arvo vastaa aiemmin kopioitua asiakasohjelman tunnusta. Valitse sitten Nimi-sarakkeessa linkki, jotta sovelluksen ominaisuudet avautuvat.

30. Valitse Hallinta-luettelossa Ominaisuudet.

31. Määritä Pakollinen määritys? -arvoksi Kyllä ja Käyttäjille näkyvissä? -asetuksen arvoksi Ei. Valitse sitten työkalurivillä Tallenna.

32. Valitse Hallinta-luettelossa Käyttäjät ja ryhmät.

33. Valitse työkalurivillä Lisää käyttäjä/ryhmä.

34. Valitse Lisää määritys -sivulla Käyttäjät-otsikon alla oleva linkki.

35. Valitse Käyttäjät-valintaikkunasta kaikki käyttäjät, joiden avulla todennat laitteet Supply Chain Managementin kanssa.

36. Ota asetukset käyttöön valitsemalla Valitse ja sulje kyselyn valintaikkuna. Ota sitten asetuksesi käyttöön valitsemalla Määritä ja sulje Lisää määritys -sivu.

37. Valitse Suojaus-luettelossa Käyttöoikeudet.

38. Valitse Myönnä järjestelmänvalvojan hyväksyntä <vuokraajallesi> ja myönnä järjestelmänvalvojan hyväksyntä käyttäjien puolesta. Jos tarvittavia käyttöoikeuksia ei ole, palaa Hallinta-luetteloon, avaa Ominaisuudet ja määritä Pakollinen määritys? -vaihtoehdon arvoksi Epätosi. Kukin käyttäjä voi sitten antaa suostumuksensa yksilöllisesti.

Lisätietoja verkkopalvelusovellusten määrittämisestä Microsoft Entra ID:ssä on seuraavissa resursseissa:

• Lisätietoja verkkopalvelusovellusten määrittämisestä Microsoft Entra ID:ssä Windows PowerShellin avulla on kohdassa Ohje: Varmennetta käyttävän palvelun päänimen luominen Azure PowerShellin avulla.

• Lisätietoja verkkopalvelusovelluksen luomisesta Microsoft Entra ID:ssä on seuraavissa artikkeleissa:

  • Pika-aloitus: Sovelluksen rekisteröinti Microsoftin käyttäjätietoympäristöön
  • Toimintaohje: Microsoft Entra ID -sovelluksen ja resursseja käyttävän palvelun päänimen luonti portaalin avulla

Työntekijä-, käyttäjä- ja varastotyöntekijätietueiden määrittäminen Supply Chain Managementissa

Ennen kuin käyttäjät voivat aloittaa kirjautumisen mobiilisovelluksen avulla, jokaisessa yrityssovellukselle Azuressa määritellyllä Microsoft Entra ID -tilillä on oltava vastaava työntekijätietue, käyttäjätietue ja varastotyöntekijätietue Supply Chain Managementissa. Tietoja näiden tietueiden määrittämisestä: Mobiililaitteiden käyttäjätilit.

Kertakirjautuminen

Kertakirjautumisen (SSO) käyttö edellyttää vähintään Warehouse Management -mobiilisovelluksen version 2.1.23.0 käyttöä.

SSO:n avulla käyttäjät voivat kirjautua salasanaa syöttämättä. Se toimii käyttämällä uudelleen Intune-yritysportaalin (vain Android), Microsoft Authenticatorin (Android ja iOS) tai muiden laitteen sovellusten tunnistetietoja.

Huomautus

Kertakirjautuminen edellyttää käyttäjänimen ja salasanan todennusta.

Verkkopalvelusovelluksen luominen Microsoft Entra ID:ssä -menettelyssä kuvataan kaikki asetukset, jotka tarvitaan järjestelmän SSO:n käyttöä varten valmisteluun. SSO:n käyttö edellyttää myös jonkin seuraavan ohjeen noudattamista sen mukaan, miten yhteys määritetään.

• Jos määrität yhteyden manuaalisesti Warehouse Management -mobiilisovelluksessa, sinun on otettava käyttöön Välitetty todennus -astus mobiilisovelluksen Muokkaa yhteyttä -sivulla.
• Jos yhteys määritetään käyttämällä JavaScript Object Notation (JSON) -tiedoston tai QR-koodin avulla, "UseBroker": true on sisällytettävä JSON-tiedostoon tai QR-koodiin.

Tärkeää

• Mobiililaitteen joukkokäyttöönoton (MDM) käyttäminen kertakirjautumisen käyttöönottoa.
• Warehouse Management -mobiilisovellus ei tue jaetun laitteen tilaa.

Käyttöoikeuksien poistaminen laitteelta, joka käyttää käyttäjäpohjaista todennusta

Jos laite katoaa tai vaarantuu, laitteen Supply Chain Managementin käyttöoikeus on poistettava. Kun laite todennetaan laitteen koodityönkulun avulla, liitetty käyttäjätili on ehdottomasti poistettava käytöstä Microsoft Entra ID:ssä, jotta laitteen käyttöoikeus voidaan peruuttaa, kun laite häviää tai vaarantuu. Käyttäjätilin poistaminen käytöstä Microsoft Entra ID:ssä peruuttaa käytännössä kaikki tähän käyttäjätiliin liitettyä laitekoodia käyttävät laitteet. Tämän vuoksi on suositeltavaa käyttää yhtä laitekohtaista Microsoft Entra ID -käyttäjätiliä.

Microsoft Entra ID -käyttäjätili poistetaan käytöstä seuraavasti.

1. Kirjaudu Azure-portaalin osoitteessa.
2. Valitse vasemmassa siirtymisruudussa Microsoft Entra ID ja varmista, että olet oikeassa hakemistossa.
3. Valitse Hallinta-luettelossa Käyttäjät.
4. Etsi laitekoodiin liitetty käyttäjätili ja avaa käyttäjän profiili valitsemalla nimi.
5. Peruuta käyttäjätilin istunnot valitsemalla työkalurivillä Peruuta istunnot.

Huomautus

Todennusjärjestelmän määrityksen perusteella on ehkä myös vaihdettava käyttäjätilin salasana tai poistaa käyttäjätili kokonaan käytöstä.

Lisäresurssit

• Käyttäjäpohjaisen todennuksen usein kysytyt kysymykset
• Warehouse Management ‑mobiilisovelluksen asentaminen
• Palvelupohjaiset todennusmenetelmät Warehouse Management -mobiilisovelluksessa