Проверка подлинности на основе пользователей для мобильного приложения Warehouse Management

Мобильное приложение Warehouse Management поддерживает следующие типы проверки подлинности на основе пользователей:

• Проверка подлинности на основе потока кода устройства
• Проверка подлинности по имени пользователя и паролю

Важно

Все учетные записи Microsoft Entra ID, используемые для входа должны иметь только минимальный набор разрешений, необходимый для выполнения складских задач. Разрешения должны быть строго ограничены действиями, характерными для пользователя мобильного устройства склада. Никогда не используйте учетную запись администратора для входа на устройства.

Сценарии управления устройствами, пользователями Microsoft Entra ID и пользователями мобильных устройств

В целях безопасности мобильное приложение Warehouse Mobile App использует Microsoft Entra ID для проверки подлинности подключения между приложением и Dynamics 365 Supply Chain Management. Существует два основных сценария управления учетными записями пользователей Microsoft Entra ID для различных устройств и пользователей: в первом сценарии каждая пользовательская учетная запись Microsoft Entra ID представляет уникальное устройство, а во втором каждый пользователь Microsoft Entra ID представляет собой уникального работника. В каждом случае у каждого работника есть одна запись работника склада, настроенная в модуле "Управление складом" и еще одна или несколько учетных записей пользователя мобильного устройства для каждой записи работника склада. Для учетных записей работников склада, которые имеют несколько учетных записей пользователя мобильного устройства, можно сделать одну из них учетной записью пользователя мобильного устройства по умолчанию. Возможные два сценария:

• Для каждого мобильного устройства используется одна учетная запись пользователя Microsoft Entra ID. В этом сценарии администраторы настраивают мобильное приложение Warehouse Management, чтобы использовать проверку подлинности на основе потока кода устройства или проверку подлинности по имени пользователя/паролю для подключения к Supply Chain Management через учетную запись Microsoft Entra ID устройства. (В этом сценарии работникам не нужна учетная запись пользователя Microsoft Entra ID.) Затем приложение отображает страницу входа, который позволит работникам войти в приложение, чтобы они могли получить доступ к работе и другим записям, относящимся к ним в их местоположении. Работники входят в систему, используя идентификатор пользователя и пароль одной из учетных записей пользователей мобильного устройства, назначенных для их записи работника склада. Так как работники должны всегда вводить ИД пользователя, не имеет значения, какая из этих учетных записей мобильного устройства установлена в качестве учетной записи по умолчанию для записи работника склада. Когда работник выходит из системы, приложение остается аутентифицированным в Supply Chain Management, но показывает страницу входа снова, чтобы следующий работник мог войти с помощью учетной записи пользователя мобильного устройства.
• Использование одной учетной записи пользователя Microsoft Entra ID для всех работников. В этом сценарии у каждого пользователя есть учетная запись пользователя Microsoft Entra ID, которая связана с его учетной записью работника склада в Supply Chain Management. Таким образом, вход пользователя Microsoft Entra ID может быть всем, что нужно сотруднику, чтобы проверить подлинность приложения в Supply Chain Management и войти в приложение при условии, что ИД пользователя по умолчанию установлен для учетной записи работника склада. Этот сценарий также поддерживает единый вход, поскольку один и тот же сеанс Microsoft Entra ID может использоваться совместно в других приложениях на устройстве (например, в Microsoft Teams или Outlook) до тех пор пока, работник не выйдет из учетной записи Microsoft Entra ID.

Проверка подлинности на основе потока кода устройства

При использовании проверки подлинности типа "с кодом устройства" мобильное приложение Warehouse Management генерирует и отображает уникальный код устройства. Настраивающий устройство администратор затем должен ввести этот код устройства в онлайн-форму вместе с учетными данными (именем и паролем) учетной записи пользователя Microsoft Entra ID, представляющей либо само устройство, либо работника, который выполняет вход (в зависимости от того, как администратор реализовал систему). В некоторых случаях, в зависимости от того, как настроена учетная запись Microsoft Entra ID, утвердить вход в систему также должен администратор. В дополнение к уникальному коду устройства мобильное приложение отображает URL-адрес, по которому администратор должен ввести код, и учетные данные учетной записи пользователя Microsoft Entra ID.

Проверка подлинности типа с кодом устройства упрощает процесс проверки подлинности, потому что пользователям не нужно управлять сертификатами или секретами клиента. Тем не менее с ним связано несколько дополнительных требований и ограничений:

• Вам нужно создать уникальную учетную запись пользователя Microsoft Entra ID для каждого устройства или работника. Кроме того, доступ этих учетных записей должен быть строго ограничен, чтобы они могли выполнять только действия пользователя мобильного устройства склада.
• Если срок действия созданного кода устройства, не используемого для проверки подлинности, истекает через 15 минут, и приложение Warehouse Management mobile app скрывает его. Пользователю необходимо еще раз нажать кнопку Подключить, чтобы в мобильном приложении был создан новый код.
• Если устройство не используется на протяжении 90 дней , оно автоматически выходит из системы.
• Поток с кодом устройства не поддерживается системами массового развертывания мобильных устройств (MDM), такими как Intune, так как код генерируется в момент, когда одно не прошедшее проверку подлинности устройство пытается подключиться к Supply Chain Management.

Проверка подлинности по имени пользователя и паролю

При использовании аутентификации по имени пользователя/паролю каждый работник должен ввести имя пользователя и пароль Microsoft Entra ID, связанные либо с устройством, либо с ним самим (в зависимости от используемого сценария проверки подлинности). Также может потребоваться ввести идентификатор учетной записи пользователя мобильного устройства и пароль, в зависимости от настройки записи работника склада. Этот метод проверки подлинности поддерживает единый вход, что также позволяет осуществлять массовое развертывание на мобильных устройствах (MDM).

Создание приложения веб-службы в Microsoft Entra ID

Чтобы мобильное приложение Warehouse Management могло взаимодействовать с определенным сервером Supply Chain Management, необходимо зарегистрировать приложение веб-службы для клиента Supply Chain Management в Microsoft Entra ID. Следующая процедура показывает один из способов выполнить эту задачу. Для получения дополнительных сведений и альтернативных режимов см. ссылки после процедуры.

1. В веб-браузере перейдите к https://portal.azure.com.

2. Введите имя и пароль пользователя, который имеет доступ к подписке Azure.

3. На портале Azure в левой области навигации выберите Microsoft Entra ID.

4. Убедитесь, что вы работаете с экземпляром Microsoft Entra ID, который используется Supply Chain Management.

5. В списке Управление выберите Регистрации приложений.

6. На панели инструментов выберите создать регистрацию, чтобы открыть мастер Регистрация приложения.

7. Введите имя приложения и выберите Только организации в этом организационном каталоге, а затем выберите Регистрация.

8. Открыта новая регистрация приложения. Запишите значение Код приложения (клиента), поскольку оно потребуется позже. Этот код далее в этой статье называется Код клиента.

9. В списке Управление выберите Проверка подлинности.

10. На странице Проверка подлинности для нового приложения установите для параметра Включить следующие мобильные и классические потоки значение Да, чтобы включить поток с кодом устройства для своего приложения. Затем выберите Сохранить.

11. Выберите Добавить платформу.

12. В диалоговом окне Настройка платформы выберите Мобильные и настольные приложения.

13. В диалоговом окне Настройка рабочего стол + устройства установите в поле Пользовательские URI перенаправления следующее значение:

    ms-appx-web://microsoft.aad.brokerplugin/S-1-15-2-3857744515-191373067-2574334635-916324744-1634607484-364543842-2321633333
    

14. Выберите Настроить, чтобы сохранить настройки и закрыть диалоговые окна.

15. Вы возвращаетесь на страницу Проверка подлинности, на которой отображается новая конфигурация платформы. Снова выберите Добавить платформу.

16. В диалоговом окне Настройка платформы выберите Android.

17. В диалоговом окне Настройка приложения Android задайте следующие поля:

    • Имя пакета – введите следующее значение:

      com.microsoft.warehousemanagement
      

    • Хэш подписи – введите следующее значение:

      hpavxC1xAIAr5u39m1waWrUbsO8=
      

18. Выберите Настроить, чтобы сохранить настройки и закрыть диалоговое окно. Затем выберите Готово, чтобы вернуться на страницу Проверка подлинности, на которой отображаются новые конфигурации платформы.

19. Снова выберите Добавить платформу.

20. В диалоговом окне Настройка платформы выберите iOS / macOS.

21. В диалоговом окне Настройка приложения iOS или macOS установите в поле Код набора значение com.microsoft.WarehouseManagement.

22. Выберите Настроить, чтобы сохранить настройки и закрыть диалоговое окно. Затем выберите Готово, чтобы вернуться на страницу Проверка подлинности, на которой отображаются новые конфигурации платформы.

23. В разделе Дополнительные параметры установите для параметра Разрешить потоки общедоступных клиентов значение Да.

24. В списке Управление выберите Разрешения API.

25. Выберите Добавить разрешение.

26. В диалоговом окне Запрос разрешений API на вкладке API Майкрософт выберите плитку Dynamics ERP, а затем плитку Делегированные разрешения. В разделе CustomService установите флажок CustomService.FullAccess. Наконец, выберите Добавить разрешения, чтобы сохранить изменения.

27. В левой области навигации выберите Microsoft Entra ID.

28. В списке Управление выберите Корпоративные приложения. Затем в новом списке Управление выберите Все приложения.

29. В форме поиска введите имя, введенное для приложения ранее в этой процедуре. Убедитесь, что значение ИД приложения для найденного приложения совпадает с ранее скопированным ИД клиента. Затем выберите ссылку в столбце Имя, чтобы открыть свойства приложения.

30. В списке Управление выберите Свойства.

31. Задайте для параметра Требуется ли назначение? значение Да, а для параметра Видно пользователям? — значение Нет. Затем выберите Сохранить на панели инструментов.

32. В списке Управление выберите Пользователи и группы.

33. На панели инструментов выберите Добавить пользователя/группу.

34. На странице Добавление назначениявыберите ссылку под заголовком Пользователи.

35. В диалоговом окне Пользователи выберите каждого пользователя, которого вы будете использовать для проверки подлинности устройств в Supply Chain Management.

36. Выберите Выбрать, чтобы применить настройки и закрыть диалоговое окно. Затем выберите Назначить, чтобы применить настройки и закрыть страницу Добавление назначения.

37. В списке Безопасность выберите Разрешения.

38. Выберите Предоставить согласие администратора <для клиента> и предоставьте согласие администратора от имени ваших пользователей. Если отсутствуют необходимые разрешения, вернитесь к списку Управление, откройте окно Свойства и задайте для параметра Требуется ли назначение? значение False. Затем каждый пользователь может предоставить разрешение по отдельности.

Дополнительные сведения о настройке приложений веб-служб в Microsoft Entra ID см. в следующих источниках:

• Инструкции, демонстрирующие использование Windows PowerShell для настройки приложений веб-служб в Microsoft Entra ID, см. в разделе Практическое руководство: использование Azure PowerShell для создания субъекта-службы с сертификатом.

• Полные сведения о том, как создать приложение веб-службы вручную в Microsoft Entra ID, см. в следующих статьях:

  • Краткое описание: регистрация приложения на платформе Microsoft Identity
  • Практическое руководство: использование портала для создания приложения Microsoft Entra ID и субъекта-службы, которые имеют доступ к ресурсам

Настройка записей сотрудника, пользователя и работника склада в Supply Chain Management

Прежде чем работники смогут начать вход с помощью мобильного приложения, у каждой учетной записи Microsoft Entra ID, назначенной вами корпоративному приложению в Azure, должна быть соответствующая запись сотрудника, запись пользователя и запись работника склада в Supply Chain Management. Сведения о настройке этих записей см. в разделе Учетные записи пользователей мобильного устройства.

Единый вход

Чтобы использовать единый вход (SSO), необходимо использовать мобильное приложение Warehouse Management версии 2.1.23.0 или более поздней.

SSO позволяет пользователям входить в систему без необходимости ввода пароля. Для этого повторно используются учетные данные с корпоративного портала Intune (только Android) или Microsoft Authenticator (Android и iOS) или других приложений на устройстве.

Примечание

Для единого входа требуется использовать аутентификацию по имени пользователя и паролю.

Процедура в разделе Создание приложения веб-службы в Microsoft Entra ID описывает все настройки, необходимые для подготовки системы к использованию SSO. Однако, чтобы использовать SSO, в зависимости от настройки подключения также необходимо выполнить один из следующих шагов.

• Если вы вручную настроили подключение в мобильном приложении Warehouse Management, вы должны включить параметр Брокерская проверка подлинности на странице мобильного приложения Редактировать подключение.
• Если подключение настраивается с помощью файла JavaScript Object Notation (JSON) или QR-кода, необходимо включить "UseBroker": true в файл JSON или QR-код.

Важно

• Для использования массового развертывания (MDM) на мобильных устройствах необходимо включить единый вход.
• Мобильное приложение Warehouse Management не поддерживает режим общего устройства.

Удаление доступа для устройства, которое использует проверку подлинности не основе пользователя

Если устройство было утеряно или взломано, необходимо лишить его возможности доступа к Supply Chain Management. Если устройство проходит проверку подлинности с использованием потока с кодом устройства, в случае утери или взлома этого устройства для отзыва доступа необходимо отключить связанную учетную запись пользователя в Microsoft Entra ID. Отключая учетную запись пользователя в Microsoft Entra ID, вы отзываете доступ у любого устройства, на котором используется связанный с этой учетной записью код устройства. По этой причине рекомендуется, чтобы каждому устройству соответствовала одна учетная запись пользователя Microsoft Entra ID.

Чтобы отключить учетную запись пользователя в Microsoft Entra ID, выполните следующие действия.

1. Выполните вход на портал Azure.
2. В левой области перехода выберите Microsoft Entra ID и убедитесь, что вы находитесь в правильном каталоге.
3. В списке Управление выберите Пользователи.
4. Найдите учетную запись пользователя, связанную с кодом устройства, и выберите его имя, чтобы открыть профиль пользователя.
5. На панели инструментов выберите Отозвать сеансы, чтобы отозвать сеансы учетной записи пользователя.

Примечание

В зависимости от того, как настроена ваша система проверки подлинности, имеет смысл также сменить пароль учетной записи пользователя, чтобы полностью отключить учетную запись пользователя.

Дополнительные ресурсы

• Вопросы и ответы по проверке подлинности на основе пользователей
• Установка мобильного приложения Warehouse Management
• Методы проверки подлинности на основе служб для мобильного приложения Warehouse Management