Onlangs hebben we beveiligingsverbeteringen gepubliceerd om de gegevensbescherming van uw organisatie te verbeteren.
In Mobile CRM, Inspecties en Routes apps die verbinding maken met een Dynamics backend, zult u een nieuw standaard authenticatieproces tegenkomen – OAuth, dat ook van invloed is op externe apps en locatietracering.
Dit is wat je moet weten over deze wijzigingen en hoe je verder moet gaan met het OAuth verificatieproces.
Wat is er veranderd?
Vorig jaar is Microsoft begonnen met het afschaffen van de oudere WS-Trust authenticatiemethode voor het verbinden met Dataverse (voorheen Common Data Services) en deze te vervangen door het veiligere OAuth proces. Dit heeft ook gevolgen voor de mobiele apps van Resco en de synchronisatie van Resco CRM met Dynamics.
Daarom moeten gebruikers die zich aanmelden bij de mobiele apps van Resco nu standaard de OAuth2-verificatiemethode gebruiken. Multi-factor authenticatie is ook beschikbaar.
Accounts die gebruikt worden voor externe projecten en locatie tracking moeten ook OAuth authenticatie gebruiken in plaats van WS-Trust. Voor deze accounts wordt de ROPC flow (Resource Owner Password Credentials) gebruikt en de accounts moeten aan bepaalde eisen voldoen.
Hoe meld ik me aan met OAuth2 in Resco-apps?
Voordat u de OAuth2-authenticatiemethode gebruikt om Resco-apps te verbinden met Dynamics 365/CRM Online, moet u de app toegang geven tot de Microsoft Azure Active Directory.
Azure Active Directory wordt gebruikt om te controleren of de applicatie toegang heeft tot de bedrijfsgegevens die zijn opgeslagen in de Dynamics 365/CRM Online tenant. Gebruik de volgende link om globale toestemming te geven aan alle gebruikers om toegang te krijgen tot de gegevens.
Je moet echter wel Global Administrator van je tenant zijn om een globale toestemming te kunnen geven. Het is niet voldoende om alleen een Systeembeheerder rol te hebben in Dynamics 365/CRM Online.
Daarnaast moeten alle app-gebruikers die verbonden zijn met hun Resco mobiele apps als Standaardgebruiker, met multi-factor authenticatie ingeschakeld voor hun gebruikersaccount, ook overschakelen naar OAuth2. Dit is ook vereist als ze een foutmelding zoals hieronder krijgen bij toegang tot het CRM:
“Vanwege een configuratiewijziging door uw beheerder of omdat u naar een nieuwe locatie bent verhuisd, moet u multi-factor authenticatie gebruiken.”
Hoe ga je te werk bij de authenticatie van externe projecten en het volgen van locaties?
De depreciatie van WS-Trust door Microsoft heeft ook gevolgen voor de authenticatie van externe projecten en locatiebepaling. In plaats van een legacy login met WS-Trust, moeten alle klanten overstappen op OAuth met behulp van ROPC flow (multi-factor authenticatie is niet geschikt voor deze use case).
Om OAuth te kunnen gebruiken, moeten gebruikers echter toestemming geven. Er zijn twee soorten toestemming:
- Individuele toestemming voor een bepaalde mobiele gebruiker
- Admin-toestemming (organisatiebreed)
Voor externe projecten en locatiediensten is individuele toestemming van de mobiele gebruiker voldoende:
- Voor externe projecten is toestemming vereist voor de account die wordt gebruikt voor verificatie en licenties.
- Voor locatietracering is toestemming vereist voor de account die wordt gebruikt wanneer u uw organisatie registreert voor locatietracering.
Toestemmingen kunnen verder worden beperkt door scopes. In deze gevallen is alleen toestemming nodig voor toegang tot Dynamics. De scope is https://{hostname}/user_impersonation, bijvoorbeeld https://resco.crm4.dynamics.com/user_impersonation. Gebruik als {hostname} de hostnaam van uw Dynamics instance.
Er zijn verschillende manieren waarop toestemming kan worden gegeven:
- U kunt uw Resco Mobile CRM-app synchroniseren met dit account. Dit zal echter toestemming geven met meer scopes dan nodig is voor externe gebruikers of locatie-tracking scenario’s.
- Een eenvoudigere manier is om de volgende link te openen in een webbrowser, in te loggen en toestemming te geven. Ga naar:dit adres.Zorg ervoor dat u {hostname} vervangt door uw Dynamics hostnaam. Sommige organisaties staan geen individuele toestemming van gebruikers toe; in dat geval moet u inloggen als globale beheerder en toestemming geven namens uw organisatie.
- Er is ook een directe link voor toestemming van de beheerder. In dit geval moet u inloggen als globale beheerder. Gebruik als tenant ID de domeinnaam of GUID; en gebruik ook de juiste Dynamics hostnaam.
Na de succesvolle configuratie van OAuth zou je net zo snel als voorheen moeten kunnen inloggen op je apps, maar nu nog veiliger.
Wat is er nog meer nieuw?
Als je meer wilt weten over de beveiliging van de mobiele oplossingen van Resco, kun je aanvullende documentatie vinden op Resco wiki.