Autenticação baseada no utilizador para a aplicação móvel Warehouse Management

A aplicação móvel Warehouse Management suporta os seguintes tipos de autenticação baseada no utilizador:

• Autenticação de fluxo de código do dispositivo
• Autenticação de nome de utilizador e palavra-passe

Importante

Todas as contas do Microsoft Entra ID utilizadas para iniciar sessão têm de possuir apenas o conjunto mínimo de permissões necessário para executar as suas tarefas de armazém. As permissões deverão ser estritamente limitadas a atividades de utilizadores de dispositivo móvel de armazém. Nunca utilize uma conta de administrador para iniciar sessão em dispositivos.

Cenários para gerir dispositivos, utilizadores do Microsoft Entra ID e utilizadores de dispositivos móveis

Por motivos de segurança, a aplicação móvel Warehouse Management utiliza o Microsoft Entra ID para autenticar a ligação entre a aplicação e o Dynamics 365 Supply Chain Management. Existem dois cenários básicos para gerir contas de utilizador do Microsoft Entra ID para os seus vários dispositivos e utilizadores: um em que cada conta de utilizador do Microsoft Entra ID representa um dispositivo exclusivo e outro em que cada utilizador do Microsoft Entra ID representa um trabalhador humano exclusivo. Em cada caso, cada trabalhador humano terá um registo de trabalhador de armazém configurado no módulo do Warehouse Management, para além de uma ou mais contas de utilizador de dispositivo móvel por cada registo de trabalhador de armazém. Para contas de trabalhador de armazém que tenham mais do que uma conta de utilizador de dispositivo móvel, é possível tornar uma delas a conta de utilizador de dispositivo móvel predefinida. Os dois cenários são:

• Utilizar uma conta de utilizador do Microsoft Entra ID para cada dispositivo móvel — Neste cenário, os admins configuram a aplicação móvel Warehouse Management para usar a autenticação de fluxo de código de dispositivo ou autenticação por nome de utilizador/palavra-passe para se ligar ao Supply Chain Management através da conta do Microsoft Entra ID do dispositivo. (Neste cenário, os trabalhadores humanos não precisam de uma conta de utilizador do Microsoft Entra ID) Em seguida, a aplicação mostra uma página de início de sessão que permite aos trabalhadores humanos iniciar sessão na aplicação para que possam ter acesso ao trabalho e a outros registos que se aplicam a eles na sua localização. Os trabalhadores humanos iniciam sessão utilizando o ID de utilizador e a palavra-passe de uma das contas de utilizador do dispositivo móvel que estão atribuídas ao respetivo registo de trabalhador de armazém. Uma vez que os trabalhadores humanos têm sempre de introduzir um ID de utilizador, não importa se uma das contas de utilizador de dispositivo móvel está definida como a conta predefinida para o registo de trabalhador de armazém. Quando um trabalhador humano termina a sessão, a aplicação permanece autenticada com o Supply Chain Management, mas mostra novamente a página de início de sessão, para que o próximo trabalhador humano possa iniciar sessão utilizando a respetiva conta de utilizador de dispositivo móvel.
• Utilizar uma conta de utilizador do Microsoft Entra ID para cada trabalhador humano — Neste cenário, cada utilizador humano tem uma conta de utilizador do Microsoft Entra ID que está ligada à respetiva conta de trabalhador de armazém no Supply Chain Management. Portanto, o início de sessão do utilizador do Microsoft Entra ID pode ser tudo o que o trabalhador humano precisa para autenticar a aplicação com o Supply Chain Management e iniciar sessão na aplicação, desde que esteja definido um ID de utilizador predefinido para a conta de trabalhador do armazém. Este cenário também suporta o início de sessão único (SSO) porque a mesma sessão do Microsoft Entra ID pode ser partilhada entre outras aplicações no dispositivo (como o Microsoft Teams ou o Outlook) até que o trabalhador humano termine sessão da conta de utilizador do Microsoft Entra ID.

Autenticação de fluxo de código do dispositivo

Quando utiliza a autenticação de código do dispositivo, a aplicação móvel Warehouse Management gera e apresenta um código de dispositivo exclusivo. O admin que está a configurar o dispositivo deverá então inserir esse código de dispositivo num formulário online, juntamente com as credenciais (nome e palavra-passe) de uma conta de utilizador do Microsoft Entra ID que represente o próprio dispositivo ou o trabalhador humano que está a iniciar sessão (dependendo da forma como o administrador implementou o sistema). Em alguns casos, dependendo da forma como a conta de utilizador do Microsoft Entra ID esteja configurada, também poderá ser necessária a aprovação do início de sessão por parte de um administrador. Além do código de dispositivo exclusivo, a aplicação móvel mostra o URL onde o admin deverá inserir o código e as credenciais da conta de utilizador do Microsoft Entra ID.

A autenticação de código do dispositivo simplifica o processo de autenticação, uma vez que os utilizadores não têm de gerir certificados ou segredos de cliente. No entanto, introduz alguns requisitos e restrições adicionais:

• Deverá criar uma conta de utilizador exclusiva do Microsoft Entra ID para cada dispositivo ou trabalhador humano. Além disso, essas contas deverão ser estritamente limitadas para que apenas possam realizar atividades de utilizadores de dispositivo móvel de armazém.
• Se um código de dispositivo gerado que não é utilizado para autenticação expirar após 15 minutos e a aplicação móvel Warehouse Management o ocultar. O utilizador precisa de premir Ligar mais uma vez para que a aplicação móvel gere um novo código.
• Se um dispositivo permanecer inativo durante 90 dias, a respetiva sessão será automaticamente terminada.
• O fluxo de código do dispositivo não é suportado por sistemas de implementação móvel em massa (MDM), como o Intune, pois o código é gerado no momento em que um dispositivo não autenticado tenta ligar-se ao Supply Chain Management.

Autenticação de nome de utilizador/palavra-passe

Quando usa a autenticação de nome de utilizador/palavra-passe, cada trabalhador humano tem de introduzir o nome de utilizador e a palavra-passe do Microsoft Entra ID associados ao dispositivo ou a si mesmos (dependendo do cenário de autenticação que está a usar). Também podem ter de introduzir um ID de conta de utilizador e palavra-passe do dispositivo móvel, dependendo da configuração do registo de trabalhador de armazém. Este método de autenticação suporta o início de sessão único (SSO), que também permite a implementação em massa móvel (MDM).

Criar uma aplicação de serviço Web no Microsoft Entra ID

Para permitir que a aplicação móvel Warehouse Management interaja com um servidor específico do Supply Chain Management, deverá registar uma aplicação de serviço Web para o inquilino do Supply Chain Management no Microsoft Entra ID. O procedimento a seguir mostra uma forma de realizar esta tarefa. Para obter informações detalhadas e alternativas, consulte os ligações após o procedimento.

1. Num browser, vá para https://portal.azure.com.

2. Introduza o nome e a palavra-passe do utilizador que tem acesso à subscrição do Azure.

3. No portal do Azure, no painel de navegação da esquerda, selecione Microsoft Entra ID.

4. Certifique-se de que está a trabalhar com a instância do Microsoft Entra ID utilizada pelo Supply Chain Management.

5. Na lista Gerir, selecione Registos de aplicações.

6. Na barra de ferramentas, selecione Novo registo para abrir o assistente Registar uma aplicação.

7. Introduza um nome para a aplicação, selecione a opção Contas apenas neste diretório organizacional e, em seguida, selecione Registar.'

8. O seu novo registo de aplicações está aberto. Tome nota do valor ID da aplicação (cliente), pois precisará dele mais tarde. Este ID é referido adiante neste artigo como o ID de cliente.

9. Na lista Gerir, selecione Autenticação.

10. Na página Autenticação da nova aplicação, defina a opção Ativar os seguintes fluxos móveis e de ambiente de trabalho como Sim para ativar o fluxo de código do dispositivo para a sua aplicação. Em seguida, selecione Guardar.

11. Selecione Adicionar uma plataforma.

12. Na caixa de diálogo Configurar plataforma, selecione Aplicações móveis e de ambiente de trabalho.

13. Na caixa de diálogo Configurar ambiente de trabalho + dispositivos , defina o campo URL de redirecionamento personalizados com o seguinte valor:

    ms-appx-web://microsoft.aad.brokerplugin/S-1-15-2-3857744515-191373067-2574334635-916324744-1634607484-364543842-2321633333
    

14. Selecione Configurar para guardar as suas definições e fechar as caixas de diálogo.

15. Regressa à página Autenticação, que agora mostra a sua nova configuração de plataforma. Selecione Adicionar uma plataforma novamente.

16. Na caixa de diálogo Configurar plataforma, selecione Android.

17. Na caixa de diálogo Configurar a sua aplicação Android, defina os seguintes campos:

    • Nome do pacote – Introduza o seguinte valor:

      com.microsoft.warehousemanagement
      

    • Hash de assinatura – Introduza o seguinte valor:

      hpavxC1xAIAr5u39m1waWrUbsO8=
      

18. Selecione Configurar para guardar as suas definições e fechar a caixa de diálogo. Em seguida, selecione Concluído para regressar à página Autenticação, que agora mostra as novas configurações da plataforma.

19. Selecione Adicionar uma plataforma novamente.

20. Na caixa de diálogo Configurar plataforma, selecione iOS/macOS.

21. Na caixa de diálogo Configurar a sua aplicação iOS ou macOS, defina o campo ID do Grupo como com.microsoft.WarehouseManagement.

22. Selecione Configurar para guardar as suas definições e fechar a caixa de diálogo. Em seguida, selecione Concluído para regressar à página Autenticação, que agora mostra as novas configurações da plataforma.

23. Na secção Definições avançadas, defina Permitir fluxos de clientes públicos como Sim.

24. Na lista Gerir, selecione Permissões de API.

25. Selecione Adicionar uma permissão.

26. Na caixa de diálogo Solicitar permissões de API, no separador APIs Microsoft , selecione o mosaico Dynamics ERP e o mosaico Permissões delegadas. Em CustomService, marque a caixa de verificação CustomService.FullAccess. Por fim, selecione Adicionar permissões para guardar as suas alterações.

27. No painel de navegação da esquerda, selecione Microsoft Entra ID.

28. Na lista Gerir, selecione Aplicações empresariais. Em seguida, na nova lista Gerir, selecione Todas as aplicações.

29. No formulário de pesquisa, digite o nome que introduziu para a aplicação mais atrás neste procedimento. Confirme se o valor ID da Aplicação encontrado para a aplicação corresponde ao ID de cliente que copiou anteriormente. Em seguida, selecione a ligação na coluna Nome para abrir as propriedades da aplicação.

30. Na lista Gerir, selecione Propriedades.

31. Defina a opção Necessária atribuição? como Sim e a opção Visível para os utilizadores? como Não. Em seguida, selecione Guardar na barra de ferramentas.

32. Na lista Gerir, selecione Utilizadores e grupos.

33. Na barra de ferramentas, selecione Adicionar utilizador/grupo.

34. Na página Adicionar atribuição, selecione a ligação sob o título Utilizadores.

35. Na caixa de diálogo Utilizadores, selecione cada utilizador que usará para autenticar dispositivos junto do Supply Chain Management.

36. Selecione Selecionar para aplicar as definições e fechar a caixa de diálogo. Em seguida, selecione Atribuir para aplicar as suas definições e fechar a página Adicionar atribuição.

37. Na lista Segurança, selecione Permissões.

38. Selecione Conceder consentimento do administrador para <o seu inquilino> e conceda o consentimento do administrador em nome dos seus utilizadores. Se não tiver as permissões necessárias, regresse à lista Gerir, abra Propriedades e defina a opção Atribuição necessária? como False. Cada utilizador pode então fornecer o consentimento individualmente.

Para obter mais informações sobre como configurar aplicações de serviço Web no Microsoft Entra ID, consulte os seguintes recursos:

• Para obter instruções sobre a utilização do Windows PowerShell para configurar aplicações de serviço Web no Microsoft Entra ID, consulte Como: Utilizar o Azure PowerShell para criar um principal de serviço com um certificado.

• Para obter informações completas sobre como criar manualmente uma aplicação de serviço Web no Microsoft Entra ID, consulte os seguintes artigos:

  • Início Rápido: Registar uma aplicação com a plataforma de identidade da Microsoft
  • Como: Usar o portal para criar uma aplicação Microsoft Entra ID e um principal de serviço que possa aceder a recursos

Configurar registos de colaborador, de utilizador e de trabalhador de armazém no Supply Chain Management

Antes de os trabalhadores poderem começar a iniciar sessão com a aplicação móvel, cada conta Microsoft Entra ID que atribuiu à aplicação empresarial no Azure tem de ter um registo de colaborador, registo de utilizador e registo de trabalhador de armazém correspondente no Supply Chain Management. Para informações sobre como configurar estes registos, consulte Contas de utilizador de dispositivo móvel.

Início de sessão único

Para utilizar o início de sessão único (SSO), tem de estar a executar a versão 2.1.23.0 ou posterior da aplicação móvel Warehouse Management.

O SSO permite que os utilizadores iniciem sessão sem precisar de introduzir uma palavra-passe. Funciona ao reutilizar credenciais do Portal da Empresa do Intune (apenas Android), o Microsoft Authenticator (Android e iOS) ou de outras aplicações no dispositivo.

Nota

O SSO requer que use a autenticação de nome de utilizador/palavra-passe.

O procedimento em Criar uma aplicação de serviço Web no Microsoft Entra ID descreve todas as definições necessárias para preparar o seu sistema para usar o SSO. No entanto, para usar o SSO, também tem de seguir um destes passos, dependendo de como configura a ligação.

• Se configurar manualmente a ligação na aplicação móvel Warehouse Management, tem de ativar a opção Autenticação Mediada na página Editar ligação da aplicação móvel.
• Se configurar a ligação utilizando um ficheiro JSON (JavaScript Object Notation) ou código QR, tem de incluir "UseBroker": true no seu ficheiro JSON ou código QR.

Importante

• Para usar a implementação em massa móvel (MDM), tem de ativar o SSO.
• A aplicação móvel Warehouse Management não suporta o modo de dispositivo partilhado.

Remover o acesso de um dispositivo que utilize a autenticação baseada no utilizador

Se um dispositivo for perdido ou ficar comprometido, tem de remover a respetiva capacidade de aceder ao Supply Chain Management. Quando um dispositivo é autenticado utilizando o fluxo de código do dispositivo, é essencial que desative a conta de utilizador associada no Microsoft Entra ID, de modo a revogar o acesso desse dispositivo caso seja perdido ou comprometido. Ao desativar a conta de utilizador no Microsoft Entra ID, está efetivamente a revogar o acesso de qualquer dispositivo que utilize o código de dispositivo associado a essa conta de utilizador. Por esse motivo, recomendamos que tenha uma conta de utilizador do Microsoft Entra ID por dispositivo.

Para desativar uma conta de utilizador no Microsoft Entra ID, siga estes passos.

1. Inicie sessão no portal do Azure.
2. No painel de navegação da esquerda, selecione Microsoft Entra ID, certificando-se de que se encontra no diretório certo.
3. Na lista Gerir, selecione Utilizadores.
4. Procure a conta de utilizador associada ao código do dispositivo e selecione o nome para abrir o perfil do utilizador.
5. Na barra de ferramentas, selecione Revogar sessões para revogar as sessões de conta de utilizador.

Nota

Consoante a forma como configurar o seu sistema de autenticação, poderá querer alterar a palavra-passe da conta de utilizador ou desativar completamente a respetiva conta.

Recursos adicionais

• FAQ sobre autenticação baseada no utilizador
• Instalar a aplicação móvel Warehouse Management
• Autenticação baseada no serviço para a aplicação móvel Warehouse Management