Authentification basée sur l’utilisateur pour l’application mobile Warehouse Management

L’application mobile Warehouse Management prend en charge les types d’authentification basée sur l’utilisateur suivant :

• Authentification basée sur le flux de code d’appareil
• Nom d’utilisateur et authentification par mot de passe

Important

Tous les comptes Microsoft Entra ID utilisés pour se connecter via le flux de code d’appareil ne doivent recevoir que l’ensemble minimal d’autorisations dont ils ont besoin pour effectuer leurs tâches d’entreposage. Les autorisations doivent être strictement limitées aux activités des utilisateurs d’appareils mobiles de l’entrepôt. N’utilisez jamais un compte administrateur pour vous connecter aux appareils.

Scénarios de gestion des appareils, utilisateurs Microsoft Entra ID et utilisateurs d’appareils mobiles

Pour des raisons de sécurité, l’application mobile Warehouse Management utilise Microsoft Entra ID pour authentifier la connexion entre l’application et Dynamics 365 Supply Chain Management. Il existe deux scénarios de base pour gérer les comptes d’utilisateur Microsoft Entra ID pour vos différents appareils et utilisateurs : un où chaque compte d’utilisateur Microsoft Entra ID représente un appareil unique et un où chaque utilisateur Microsoft Entra ID représente un collaborateur humain unique. Dans chaque cas, chaque collaborateur humain a un enregistrement de collaborateur d’entrepôt paramétré dans le module Gestion des entrepôts, plus un ou plusieurs comptes d’utilisateurs d’appareil mobile pour chaque enregistrement de collaborateur d’entrepôt. Pour les comptes de collaborateur d’entrepôt qui disposent de plusieurs comptes utilisateur d’appareil mobile, il est possible de faire de l’un d’entre eux le compte utilisateur d’appareil mobile par défaut. Les deux scénarios sont :

• Utilisez un compte utilisateur Microsoft Entra ID pour chaque appareil mobile : dans ce scénario, les administrateurs configurent l’application mobile Warehouse Management pour utiliser l’authentification du flux de code d’appareil ou l’authentification par nom d’utilisateur/mot de passe pour se connecter à Supply Chain Management via le compte Microsoft Entra ID de l’appareil. (Dans ce scénario, les collaborateurs n’ont pas besoin de compte utilisateur Microsoft Entra ID.) L’application affiche ensuite une page de connexion qui permet aux collaborateurs de se connecter à l’application afin qu’ils puissent accéder au travail et aux autres enregistrements qui s’appliquent à eux à leur emplacement. Les collaborateurs humains se connectent à l’aide de l’ID utilisateur et du mot de passe de l’un des comptes d’utilisateur d’appareil mobile attribués à leur enregistrement de collaborateur d’entrepôt. Parce que les collaborateurs doivent toujours saisir un ID utilisateur, peu importe lequel de ces comptes d’utilisateur d’appareil mobile est défini par défaut pour l’enregistrement du collaborateur d’entrepôt. Lorsqu’un collaborateur humain se déconnecte, l’application reste authentifiée auprès de Supply Chain Management, mais affiche à nouveau la page de connexion, afin que le prochain collaborateur puisse se connecter à l’aide de son compte utilisateur d’appareil mobile.
• Utiliser un compte d’utilisateur Microsoft Entra ID pour chaque collaborateur humain : dans ce scénario, chaque utilisateur humain dispose d’un compte utilisateur Microsoft Entra ID lié à son compte de collaborateur d’entrepôt dans Supply Chain Management. Par conséquent, la connexion de l’utilisateur Microsoft Entra ID peut suffire au collaborateur pour authentifier l’application auprès de Supply Chain Management et se connecter à l’application, à condition qu’un ID utilisateur par défaut soit défini pour le compte du collaborateur de l’entrepôt. Ce scénario prend également en charge l’authentification unique (SSO), car la même session Microsoft Entra ID peut être partagée entre d’autres applications sur l’appareil (telles que Microsoft Teams ou Outlook) jusqu’à ce que le collaborateur se déconnecte du compte utilisateur Microsoft Entra ID.

Authentification basée sur le flux de code d’appareil

Lorsque vous utilisez l’authentification par code d’appareil, l’application mobile Warehouse Management génère et affiche un code d’appareil unique. L’administrateur qui configure l’appareil doit ensuite saisir ce code d’appareil dans un formulaire en ligne, ainsi que les informations d’identification (nom et mot de passe) d’un compte utilisateur Microsoft Entra ID qui représente soit l’appareil lui-même, soit le collaborateur humain qui se connecte (en fonction de la manière dont l’administrateur a implémenté le système). Dans certains cas, selon la configuration du compte d’utilisateur Microsoft Entra ID, un administrateur peut également devoir approuver la connexion. En plus du code unique de l’appareil, l’application mobile affiche l’URL où l’administrateur doit saisir le code et les identifiants du compte utilisateur Microsoft Entra ID.

Cette authentification du code d’appareil simplifie le processus d’authentification, car cela n’oblige pas les utilisateurs à gérer les certificats ou les clés secrètes client. Cependant, il introduit quelques exigences et restrictions supplémentaires :

• Vous devez créer un compte d’utilisateur Microsoft Entra ID unique pour chaque appareil ou collaborateur humain. En outre, ces comptes doivent être strictement limités afin qu’ils ne puissent effectuer que les activités des utilisateurs d’appareils mobiles de l’entrepôt.
• Si un code d’appareil généré qui n’est pas utilisé pour l’authentification expire après 15 minutes et l’application mobile Warehouse Management le masque. L’utilisateur doit appuyer à nouveau sur Connecter pour que l’application mobile génère un nouveau code.
• Si un appareil reste inactif pendant 90 jours, il est automatiquement déconnecté.
• Le flux de code de l’appareil n’est pas pris en charge par les systèmes de déploiement de masse mobile (MDM) tels que Intune, car le code est généré dès qu’un appareil non authentifié tente de se connecter à Supply Chain Management.

Nom d’utilisateur et authentification par mot de passe

Lorsque vous utilisez l’authentification par nom d’utilisateur/mot de passe, chaque collaborateur humain doit saisir le nom d’utilisateur Microsoft Entra ID et le mot de passe associés à l’appareil ou à lui-même (en fonction du scénario d’authentification que vous utilisez). Ils devront peut-être également saisir un identifiant de compte utilisateur et un mot de passe sur un appareil mobile, en fonction de la configuration de l’enregistrement du collaborateur d’entrepôt. Cette méthode d’authentification prend en charge l’authentification unique (SSO), qui permet également le déploiement de masse mobile (MDM).

Créer une application de service Web dans Microsoft Entra ID

Pour permettre à l’application mobile Gestion des entrepôts d’interagir avec un serveur Supply Chain Management spécifique, vous devez enregistrer une application de service web pour le client Supply Chain Management dans Microsoft Entra ID. La procédure suivante montre comment effectuer cette tâche. Pour des informations détaillées et des alternatives, consultez les liens après la procédure.

1. Dans un navigateur Web, accédez à https://portal.azure.com.

2. Entrez le nom et le mot de passe de l’utilisateur qui a accès à l’abonnement Azure.

3. Dans le portail Azure, dans le volet gauche de navigation, sélectionnez Microsoft Entra ID.

4. Assurez-vous que vous utilisez l’instance Microsoft Entra ID utilisée par Supply Chain Management.

5. Dans la liste Gérer, cliquez sur Enregistrements d’application.

6. Dans la barre d’outils, sélectionnez Nouvelle inscription pour ouvrir l’assistant Enregistrer une application.

7. Entrez un nom pour l’application et sélectionnez l’option Comptes dans ce répertoire organisationnel uniquement, puis Enregistrer.

8. Votre nouvel enregistrement d’application s’ouvre. Notez la valeur dans le champ ID d’application (client), car vous en aurez besoin ultérieurement. Cet ID est appelé ID client plus loin dans cet article.

9. Dans la liste Gérer, cliquez sur Authentification.

10. Sur la page Authentification pour la nouvelle application, définissez l’option Activer les flux mobiles et de bureau suivants sur Oui pour activer le flux de code d’appareil pour votre application. Sélectionnez ensuite Enregistrer.

11. Sélectionnez Ajouter une plateforme.

12. Dans la boîte de dialogue Configurer la plateforme, sélectionnez la vignette Applications mobiles et de bureau.

13. Dans la boîte de dialogue Configurer les appareils Desktop +, définissez le champ URI de redirection personnalisés à la valeur suivante :

    ms-appx-web://microsoft.aad.brokerplugin/S-1-15-2-3857744515-191373067-2574334635-916324744-1634607484-364543842-2321633333
    

14. Sélectionnez Configurer pour enregistrer vos paramètres et fermer les boîtes de dialogue.

15. Vous revenez à la page Authentification , qui affiche désormais la nouvelle configuration de votre plateforme. Sélectionnez à nouveau Ajouter une plateforme.

16. Dans la boîte de dialogue Configurer la plateforme, sélectionnez Android.

17. Dans la boîte de dialogue Configurer votre application Android, définissez les champs suivants :

    • Nom du package : saisissez la valeur suivante :

      com.microsoft.warehousemanagement
      

    • Hachage de signature : saisissez la valeur suivante :

      hpavxC1xAIAr5u39m1waWrUbsO8=
      

18. Sélectionnez Configurer pour enregistrer vos paramètres et fermer la boîte de dialogue. Puis sélectionnez Terminé pour revenir à la page Authentification, qui affiche désormais les nouvelles configurations de votre plateforme.

19. Sélectionnez à nouveau Ajouter une plateforme.

20. Dans la boîte de dialogue Configurer la plateforme, sélectionnez iOS/macOS.

21. Dans la boîte de dialogue Configurer votre application iOS ou macOS, définissez le champ ID de l’offre groupée sur com.microsoft.WarehouseManagement.

22. Sélectionnez Configurer pour enregistrer vos paramètres et fermer la boîte de dialogue. Puis sélectionnez Terminé pour revenir à la page Authentification, qui affiche désormais les nouvelles configurations de votre plateforme.

23. Dans la section Paramètres avancés, définissez Autoriser les flux de clients publics sur Oui.

24. Dans la liste Gérer, cliquez sur Autorisations d’API.

25. Sélectionnez Ajouter une autorisation.

26. Dans la boîte de dialogue Demander des autorisations d’API, dans l’onglet API Microsoft , sélectionnez la vignette Dynamics ERP, puis la vignette Autorisations déléguées. Sous CustomService, cochez la case CustomService.FullAccess. Enfin, sélectionnez Ajouter des autorisations pour enregistrer vos modifications.

27. Dans le volet de navigation à gauche, sélectionnez Microsoft Entra ID.

28. Dans la liste Gérer, cliquez sur Applications d’entreprise. Ensuite, dans la nouvelle liste Gérer, sélectionnez l’onglet Toutes les applications.

29. Dans le formulaire de recherche, entrez le nom que vous avez saisi pour l’application plus tôt dans cette procédure. Confirmez que la valeur ID application pour l’application trouvée correspond à l’ID client que vous avez copié précédemment. Puis, sélectionnez le lien dans la colonne Nom pour ouvrir les propriétés pour l’application.

30. Dans la liste Gérer, sélectionnez Propriétés.

31. Définissez l’option Affectation requise ? sur Oui et l’option Visible par les utilisateurs ? sur Non. Puis sélectionnez Enregistrer dans la barre d’outils.

32. Dans la liste Gérer, cliquez sur Utilisateurs et groupes.

33. Dans la barre d’outils, sélectionnez Ajouter utilisateur/groupe.

34. Sur la page Ajouter une attribution, sélectionnez le lien sous l’en-tête Utilisateurs.

35. Dans la boîte de dialogue Utilisateurs, sélectionnez chaque utilisateur que vous utiliserez pour authentifier les appareils avec Supply Chain Management.

36. Sélectionnez Sélectionner pour appliquer vos paramètres et fermer la boîte de dialogue. Puis sélectionnez Affecter pour appliquer vos paramètres et fermer la page Ajouter une affectation.

37. Dans la liste Sécurité, sélectionnez Autorisations.

38. Sélectionnez Accorder le consentement administrateur à <votre locataire> et accordez le consentement administrateur au nom de vos utilisateurs. Si vous ne disposez pas des autorisations nécessaires, revenez à la liste Gérer, ouvrez Propriétés et définissez l’option Affectation requise ? sur Faux. Chaque utilisateur peut alors donner son consentement individuellement.

Pour plus d’informations sur la configuration des applications de service Web dans Microsoft Entra ID, consultez les ressources suivantes :

• Pour obtenir des instructions qui montrent comment utiliser Windows PowerShell pour configurer des applications de service Web dans Microsoft Entra ID, voir Comment : Utiliser Azure PowerShell pour créer un principal de service avec un certificat.

• Pour plus de détails sur la création manuelle d’une application de service Web dans Microsoft Entra ID, consultez les articles suivants :

  • Démarrage rapide : Enregistrer une application avec la plateforme d’identités Microsoft
  • Procédure : Utiliser le portail pour créer une application Microsoft Entra ID et un principal de service qui peut accéder aux ressources

Configurer les enregistrements Supply Chain Management des employés, des utilisateurs et des collaborateurs de l’entrepôt

Avant que les employés puissent commencer à se connecter à l’aide de l’application mobile, chaque compte Microsoft Entra ID que vous avez attribué à l’application d’entreprise dans Azure doit avoir un enregistrement d’employé, un enregistrement d’utilisateur et un enregistrement d’employé d’entrepôt correspondants dans Supply Chain Management. Pour plus d’informations sur la configuration de ces enregistrements, consultez Comptes d’utilisateurs d’appareils mobiles.

Authentification unique

Pour utiliser l’authentification unique (SSO), vous devez exécuter la version de l’application mobile Warehouse Management 2.1.23.0 ou une version ultérieure.

SSO permet aux utilisateurs de se connecter sans avoir à saisir de mot de passe. Il fonctionne en réutilisant les informations d’identification du portail d’entreprise Intune (Android uniquement) ou Microsoft Authenticator (Android et iOS) ou autres applications sur l’application.

Remarque

L’authentification unique nécessite que vous utilisiez une authentification par nom d’utilisateur/mot de passe.

La procédure dans Créer une application de service Web dans Microsoft Entra ID décrit tous les paramètres requis pour préparer votre système à utiliser SSO. Cependant, pour utiliser SSO, vous devez également suivre l’une de ces étapes, selon la manière dont vous configurez la connexion.

• Si vous configurez manuellement la connexion dans l’application mobile Warehouse Management, vous devez activer l’option Authentification négociée sur la page Modifier la connexion de l’application mobile.
• Si vous configurez la connexion à l’aide d’un fichier de connexion JavaScript Object Notation (JSON) ou d’un code QR, vous devez inclure "UseBroker": true dans votre fichier JSON ou code QR.

Important

• Pour utiliser le déploiement de masse mobile (MDM), vous devez activer l’authentification unique (SSO).
• L’application mobile Warehouse Management ne prend pas en charge le mode d’appareil partagé.

Supprimer l’accès à un appareil qui utilise l’authentification basée sur l’utilisateur

Si un appareil est perdu ou compromis, vous devez supprimer sa capacité d’accès à Supply Chain Management. Lorsqu’un appareil est authentifié à l’aide du flux de code d’appareil, il est essentiel que vous désactiviez le compte d’utilisateur associé dans Microsoft Entra ID pour révoquer l’accès à cet appareil s’il est perdu ou compromis. En désactivant le compte utilisateur dans Microsoft Entra ID, vous révoquez l’accès de tout appareil qui utilise le code d’appareil associé à ce compte utilisateur. Pour cette raison, nous vous recommandons d’avoir un compte utilisateur Microsoft Entra ID par appareil.

Pour désactiver un compte utilisateur dans Microsoft Entra ID, procédez comme suit.

1. Connectez-vous au portail Azure.
2. Dans le volet de navigation de gauche, sélectionnez Microsoft Entra ID et assurez-vous que vous êtes dans le bon répertoire.
3. Dans la liste Gérer, sélectionnez Utilisateurs.
4. Recherchez le compte utilisateur associé au code de l’appareil et sélectionnez le nom pour ouvrir le profil de l’utilisateur.
5. Dans la barre d’outils, sélectionnez Révoquer des sessions pour révoquer les sessions du compte d’utilisateur.

Remarque

Selon la façon dont vous configurez votre système d’authentification, vous pouvez également modifier le mot de passe de compte d’utilisateur ou désactiver complètement le compte d’utilisateur.

Ressources supplémentaires

• FAQ sur l’authentification basée sur l’utilisateur
• Installer l’application mobile Warehouse Management
• Authentification basée sur le service pour l’application mobile Warehouse Management