View a markdown version of this page

Einrichtung von Amazon Quick auf dem Desktop für Unternehmensbereitstellungen - Amazon Quick
So funktioniert die Anmeldung für UnternehmenVoraussetzungenSchritt 1: Erstellen Sie eine OIDC-Anwendung in Ihrem IdentitätsanbieterSchritt 2: Erstellen Sie einen vertrauenswürdigen Token-Aussteller im IAM Identity CenterSchritt 3: Konfigurieren Sie den Erweiterungszugriff in der Amazon Quick Management ConsoleSchritt 4: Laden Sie die Desktop-Anwendung herunter und verteilen Sie sieFehlerbehebung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichtung von Amazon Quick auf dem Desktop für Unternehmensbereitstellungen

   Gilt für: Enterprise Edition und Standard Edition 
   Zielgruppe: Systemadministratoren 

Um Amazon Quick on Desktop für Unternehmensbereitstellungen zu verwenden, müssen Administratoren Enterprise Single Sign-On (SSO) so konfigurieren, dass sich Benutzer in der Organisation mit ihren Unternehmensanmeldedaten anmelden können. Dieses Setup verbindet den OpenID Connect (OIDC) -kompatiblen Identitätsanbieter (IdP) Ihres Unternehmens mit Amazon Quick.

Anmerkung

Wenn Sie ein Free- oder Plus-Konto verwenden, gilt dieser Abschnitt nicht für Sie. Fahren Sie fort mit Erste Schritte.

Die Einrichtung umfasst die folgenden Schritte in der angegebenen Reihenfolge:

  1. Erstellen Sie eine OIDC-Anwendung in Ihrem IdP.

  2. Erstellen Sie einen Trusted Token Issuer (TTI) in IAM Identity Center (nur erforderlich für Konten, die IAM Identity Center zur Authentifizierung verwenden).

  3. Konfigurieren Sie den Erweiterungszugriff in der Amazon Quick-Managementkonsole.

  4. Verteilen Sie die Desktop-Anwendung an Ihre Benutzer.

Dieses Handbuch enthält IdP-specific Anweisungen für Microsoft Entra ID, Okta und Ping Identity (PingFederate und PingOne). Die Anweisungen für Ihren spezifischen Identitätsanbieter finden Sie weiter unten.

So funktioniert die Anmeldung für Unternehmen

Die Amazon Quick Desktop-Anwendung verwendet das OIDC-Protokoll, um Benutzer zu authentifizieren. Wenn ein Benutzer die Enterprise-Anmeldung wählt, öffnet die Anwendung ein Browserfenster und leitet zum Autorisierungsendpunkt Ihres IdP weiter. Die Anwendung tauscht dann den resultierenden Autorisierungscode mithilfe von Proof Key for Code Exchange (PKCE) gegen Token aus.

Amazon Quick validiert das Token und ordnet den Benutzer einer Identität in Ihrem Konto zu. Bei Konten, die IAM Identity Center verwenden, ordnet der TTI den email Anspruch im OIDC-Token dem emails.value Attribut im Identitätsspeicher zu. Bei Konten, die den IAM-Verbund verwenden, ordnet Amazon Quick den Benutzer direkt per E-Mail zu. In beiden Fällen muss die E-Mail-Adresse in Ihrem IdP genau mit der E-Mail-Adresse des Benutzers in Amazon Quick übereinstimmen.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie über Folgendes verfügen:

  • Ein AWS Konto mit einem aktiven Amazon Quick-Abonnement, das IAM Identity Center oder IAM-Verbund zur Authentifizierung verwendet. Die Heimatregion (Identitätsregion) des Amazon Quick-Kontos muss USA Ost (Nord-Virginia) (us-east-1) sein.

  • Administratorzugriff auf Ihr Amazon Quick-Konto.

  • Zugriff auf Ihren IdP mit Berechtigungen zum Erstellen von OIDC-Anwendungsregistrierungen.

Wichtig

Die Heimatregion (Identitätsregion) des Amazon Quick-Kontos muss USA Ost (Nord-Virginia) (us-east-1) sein. Alle Inferenzen für die Desktop-Anwendung verwenden ebenfalls diese Region. Amazon Quick on the Web kann zwar in anderen Regionen verwendet werden, die Desktop-Anwendung stellt jedoch sowohl zur Authentifizierung als auch zur Inferenz eine Verbindung zu us-east-1 her.

Schritt 1: Erstellen Sie eine OIDC-Anwendung in Ihrem Identitätsanbieter

Registrieren Sie eine öffentliche OIDC-Client-Anwendung in Ihrem IdP. Die Amazon Quick Desktop-Anwendung verwendet diesen Client, um Benutzer über den Autorisierungscodefluss mit PKCE zu authentifizieren. Es ist kein geheimer Client-Schlüssel erforderlich.

Die Desktop-Anwendung benötigt Aktualisierungstoken, um langlebige Sitzungen aufrechtzuerhalten. Wie Aktualisierungstoken konfiguriert werden, hängt von Ihrem IdP ab:

  • Microsoft Entra ID — Der offline_access Geltungsbereich muss gewährt werden. Andernfalls müssen sich Benutzer häufig erneut authentifizieren.

  • Okta — Der Gewährungstyp „Aktualisierungstoken“ muss in der Anwendung aktiviert sein, und der offline_access Gültigkeitsbereich muss gewährt werden.

  • Ping Identity — Der Gewährungstyp „Aktualisierungstoken“ muss aktiviert und der offline_access Geltungsbereich muss gewährt werden. Dafür PingFederate muss die Einstellung Return ID Token On Refresh Grant ebenfalls in der OIDC-Richtlinie aktiviert sein.

Wählen Sie die Anweisungen für Ihren Identitätsanbieter aus.

Microsoft Entra ID

Ausführliche Anweisungen finden Sie unter Registrieren einer Anwendung in der Microsoft Entra-Dokumentation.

Um die Registrierung der Entra ID-App zu erstellen

  1. Navigieren Sie im Azure-Portal zu Microsoft Entra ID → App-Registrierungen → Neue Registrierung.

  2. Konfigurieren Sie die folgenden Einstellungen:

    Einstellung Wert
    Name Amazon Quick Desktop
    Unterstützte Kontotypen Nur Konten in diesem Organisationsverzeichnis (Einzelmandant)
    URI-Plattform umleiten Öffentlich client/native (mobil und Desktop)
    URI umleiten http://localhost:18080

  3. Wählen Sie Registrieren aus.

  4. Notieren Sie sich auf der Übersichtsseite die Anwendungs-ID (Client) und die Verzeichnis-ID (Mandanten-ID). Sie benötigen diese Werte in späteren Schritten.

Dies ist eine öffentliche Kundenregistrierung. PKCE wird automatisch von Entra ID für öffentliche Kunden durchgesetzt.

Um API-Berechtigungen zu konfigurieren

  1. Navigieren Sie in der App-Registrierung zu API-Berechtigungen → Eine Berechtigung hinzufügen → Microsoft Graph → Delegierte Berechtigungen.

  2. Fügen Sie die folgenden Berechtigungen hinzu:openid,email,profile,offline_access.

  3. Wählen Sie Add permissions (Berechtigungen hinzufügen) aus.

  4. Wenn Ihre Organisation dies erfordert, wählen Sie Administratorzustimmung für [Ihre Organisation] gewähren aus.

Um die Authentifizierungseinstellungen zu konfigurieren

  1. Navigieren Sie in der App-Registrierung zu Authentifizierung.

  2. Stellen Sie unter Erweiterte Einstellungen die Option Öffentliche Client-Datenflüsse zulassen auf Ja ein.

  3. Vergewissern Sie http://localhost:18080 sich, dass dies unter Mobil- und Desktopanwendungen aufgeführt ist.

  4. Wählen Sie Speichern.

Ihre OIDC-Endpunkte verwenden das folgende Format. Ersetzen Sie es <TENANT_ID> durch Ihre Verzeichnis-ID (Mandanten-ID).

Feld Value (Wert)
URL des Ausstellers https://login.microsoftonline.com/<TENANT_ID>/v2.0
Endpunkt der Autorisierung https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/authorize
Token-Endpunkt https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/token
JWKS URI https://login.microsoftonline.com/<TENANT_ID>/discovery/v2.0/keys

Okta

Eine ausführliche Anleitung finden Sie in der Okta-Dokumentation unter OpenID Connect-App-Integrationen erstellen.

So erstellen Sie die native Okta OIDC-Anwendung

  1. Navigieren Sie in der Okta Admin-Konsole zu Anwendungen → Anwendungen → App-Integration erstellen.

  2. Wählen Sie OIDC - OpenID Connect als Anmeldemethode aus.

  3. Wählen Sie Native Application als Anwendungstyp aus und wählen Sie dann Weiter.

  4. Konfigurieren Sie die folgenden Einstellungen:

    Einstellung Wert
    Name der App-Integration Amazon Quick Desktop
    Art des Zuschusses Autorisierungscode und Aktualisierungstoken
    Sign-in URIs umleiten http://localhost:18080
    Aufgaben Weisen Sie sie den entsprechenden Benutzern oder Gruppen zu

  5. Wählen Sie Speichern.

  6. Notieren Sie sich auf der Registerkarte Allgemein die Client-ID.

PKCE (S256) wird von Okta für native Anwendungen automatisch durchgesetzt.

Um Bereiche zu konfigurieren

  1. Navigieren Sie in der Okta Admin-Konsole zu Sicherheit → API → Autorisierungsserver und wählen Sie Ihren Autorisierungsserver aus (z. B. den Standardserver).

  2. Stellen Sie auf der Registerkarte Bereiche sicher, dass die folgenden Bereiche aktiviert sind:openid,,,email. profile offline_access

  3. Vergewissern Sie sich auf der Registerkarte Zugriffsrichtlinien, ob die dieser Anwendung zugewiesene Richtlinie die Typen Authorization Code und Refresh Token Gewährung zulässt.

Um die Authentifizierungseinstellungen zu überprüfen

  1. Gehen Sie in der App-Integration zur Registerkarte Allgemein.

  2. Vergewissern Sie sich unter Allgemeine Einstellungen, dass der Anwendungstyp Nativ, die Client-Authentifizierung auf Keine (öffentlicher Client) und PKCE erforderlich ist.

  3. Bestätigen Sie unter LOGIN, dass dieser URI als Umleitungs-URI aufgeführt http://localhost:18080 ist.

  4. Wählen Sie Speichern, wenn Sie Änderungen vorgenommen haben.

Ihre OIDC-Endpunkte verwenden das folgende Format. <OKTA_DOMAIN>Ersetzen Sie es durch Ihre Okta-Domain (z. B.). your-org.okta.com

Feld Value (Wert)
URL des Ausstellers https://<OKTA_DOMAIN>/oauth2/default
Endpunkt der Autorisierung https://<OKTA_DOMAIN>/oauth2/default/v1/authorize
Token-Endpunkt https://<OKTA_DOMAIN>/oauth2/default/v1/token
JWKS URI https://<OKTA_DOMAIN>/oauth2/default/v1/keys

Ping Identity

Wählen Sie die Anweisungen für Ihr Ping Identity-Produkt aus.

PingFederate

Eine ausführliche Anleitung finden Sie in PingFederate der Ping Identity-Dokumentation unter Einrichten einer OIDC-Anwendung.

Um den OIDC-Client zu erstellen PingFederate

  1. Gehen Sie in der PingFederate Administrationskonsole zu Anwendungen → OAuth → Clients und wählen Sie Client hinzufügen.

  2. Geben Sie im Feld Client-ID eine eindeutige Kennung für diesen Client ein.

  3. Geben Sie im Feld Name Amazon Quick Desktop ein.

  4. Wählen Sie für Client-Authentifizierung die Option Keine aus.

  5. Geben Sie im Abschnitt Umleitungs-URI die Eingabe ein http://localhost:18080 und wählen Sie Hinzufügen aus.

  6. Wählen Sie in der Liste Zulässige Zuschusstypen die Optionen Autorisierungscode und Aktualisierungstoken aus.

  7. Aktivieren Sie das Kontrollkästchen Proof Key for Code Exchange (PKCE) erforderlich.

  8. Gewähren Sie unter Allgemeine Geltungsbereiche Folgendes:openid,,email,profile. offline_access

  9. Wählen Sie Speichern.

  10. Notieren Sie sich die Client-ID. Sie benötigen diesen Wert in späteren Schritten.

Um die OIDC-Richtlinie zu konfigurieren

  1. Gehen Sie in der PingFederate Administrationskonsole zu Anwendungen → OAuth → OpenID Connect Policy Management.

  2. Wählen Sie die mit diesem Client verknüpfte OIDC-Richtlinie aus, oder wählen Sie Richtlinie hinzufügen, um eine zu erstellen.

  3. Aktivieren Sie das Kontrollkästchen „ID-Token bei Refresh Grant zurückgeben“. Dadurch wird sichergestellt, dass die Desktop-Anwendung beim Aktualisieren der Sitzung ein neues ID-Token mit aktuellen Ansprüchen erhält.

  4. Stellen Sie unter Attributvertrag sicher, dass der email Anspruch enthalten ist und dem entsprechenden Benutzerattribut in Ihrer Authentifizierungsquelle zugeordnet ist. Der email Anspruch muss in Tokens enthalten sein, die sowohl bei der Erstauthentifizierung als auch bei der Gewährung von Aktualisierungstoken ausgestellt wurden.

  5. Wählen Sie Speichern.

Ihre OIDC-Endpunkte verwenden das folgende Format. Ersetzen Sie es <PINGFEDERATE_HOST> durch Ihren Server-Hostnamen PingFederate .

Feld Value (Wert)
URL des Ausstellers https://<PINGFEDERATE_HOST>
Endpunkt der Autorisierung https://<PINGFEDERATE_HOST>/as/authorization.oauth2
Token-Endpunkt https://<PINGFEDERATE_HOST>/as/token.oauth2
JWKS URI https://<PINGFEDERATE_HOST>/pf/JWKS

PingOne

Eine ausführliche Anleitung finden Sie unter Anwendung bearbeiten — Nativ in der Ping Identity-Dokumentation.

So erstellen Sie die native PingOne OIDC-Anwendung

  1. Gehen Sie in der PingOne Admin-Konsole zu Anwendungen → Anwendungen und wählen Sie das Pluszeichen.

  2. Geben Sie Amazon Quick Desktop den Namen der Anwendung ein.

  3. Wählen Sie im Abschnitt Anwendungstyp die Option Nativ und dann Speichern aus.

  4. Wählen Sie auf der Registerkarte Konfiguration die Option Bearbeiten und konfigurieren Sie die folgenden Einstellungen:

    Einstellung Wert
    Art der Antwort Code
    Art des Zuschusses Autorisierungscode und Aktualisierungstoken
    PKCE-Durchsetzung S256
    URIs umleiten http://localhost:18080
    Authentifizierungsmethode für Token-Endgeräte Keine

  5. Wählen Sie Speichern.

  6. Fügen Sie auf der Registerkarte Ressourcen die folgenden Bereiche hinzu:openid,, emailprofile,offline_access.

  7. Stellen Sie auf der Registerkarte Attributzuordnungen sicher, dass das email Attribut der E-Mail-Adresse des Benutzers zugeordnet ist.

  8. Schalten Sie die Anwendung auf Aktiviert um.

  9. Notieren Sie sich die Client-ID und die Umgebungs-ID auf der Registerkarte Konfiguration.

Anmerkung

Die PingOne Domain variiert je nach Region. Die folgenden Beispiele verwenden.com. Ersetzen Sie die Domain durch die Domain für Ihre Umgebung (z. B..ca,.eu, oder.asia).

Ihre OIDC-Endpunkte verwenden das folgende Format. Ersetzen Sie es <ENV_ID> durch Ihre Umgebungs-ID PingOne .

Feld Value (Wert)
URL des Ausstellers https://auth.pingone.com/<ENV_ID>/as
Endpunkt der Autorisierung https://auth.pingone.com/<ENV_ID>/as/authorize
Token-Endpunkt https://auth.pingone.com/<ENV_ID>/as/token
JWKS URI https://auth.pingone.com/<ENV_ID>/as/jwks

Schritt 2: Erstellen Sie einen vertrauenswürdigen Token-Aussteller im IAM Identity Center

Anmerkung

Dieser Schritt ist nur erforderlich, wenn Ihr Amazon Quick-Konto AWS Identity and Access Management Identity Center zur Authentifizierung verwendet. Wenn Ihr Konto den IAM-Verbund verwendet, überspringen Sie diesen Schritt und fahren Sie mit Schritt 3 fort.

Das TTI weist IAM Identity Center an, Tokens von Ihrem IdP als vertrauenswürdig einzustufen und sie IAM Identity Center-Benutzern zuzuordnen. Sie können den TTI in der AWS Identity and Access Management Identity Center-Konsole oder mit der AWS CLI erstellen.

Weitere Informationen finden Sie unter Einrichtung eines vertrauenswürdigen Token-Ausstellers im AWS Identity and Access Management Identity Center-Benutzerhandbuch.

So erstellen Sie den TTI in der IAM Identity Center-Konsole

  1. Öffnen Sie die AWS Identity and Access Management Identity Center-Konsole.

  2. Wählen Sie Einstellungen aus.

  3. Wählen Sie auf der Seite Einstellungen die Registerkarte Authentifizierung.

  4. Wählen Sie unter Vertrauenswürdige Token-Aussteller die Option Vertrauenswürdigen Token-Aussteller erstellen aus.

  5. Konfigurieren Sie auf der Seite Einen externen IdP zur Ausgabe vertrauenswürdiger Token einrichten unter Informationen zum vertrauenswürdigen Token-Aussteller Folgendes:

    Feld Value (Wert)
    URL des Ausstellers Die URL des OIDC-Ausstellers aus Schritt 1 (siehe Tabelle unten)
    Name des vertrauenswürdigen Token-Emittenten AmazonQuickDesktop

  6. Konfigurieren Sie unter Attribute zuordnen die Attributzuordnung, die IAM Identity Center für die Suche nach Benutzern verwendet:

    Feld Value (Wert)
    Identitätsanbieter-Attribut Der Anspruch im IdP-Token, der den Benutzer identifiziert (z. B.email)
    IAM Identity Center-Attribut Das entsprechende Attribut im IAM Identity Center-Identitätsspeicher (zum Beispiel) emails.value
    Wichtig

    Das Identity Provider-Attribut muss mit einem Anspruch übereinstimmen, den Ihr IdP in das Token einbezieht, und das IAM Identity Center-Attribut muss den Benutzer in Ihrem Identitätsspeicher eindeutig identifizieren. Die gängigste Zuordnung ist emailemails.value, aber Ihre Organisation verwendet möglicherweise ein anderes Attribut, z. sub B. einen benutzerdefinierten Anspruch. Der Wert im Token-Anspruch muss exakt mit dem Wert des entsprechenden Attributs in IAM Identity Center übereinstimmen.

  7. Wählen Sie Vertrauenswürdigen Token-Aussteller erstellen aus.

  8. Notieren Sie sich den ARN des vertrauenswürdigen Token-Ausstellers. Sie benötigen ihn im nächsten Schritt.

Um den TTI mit der AWS CLI zu erstellen, führen Sie alternativ den folgenden Befehl aus. <IDC_INSTANCE_ARN>Ersetzen Sie durch den Amazon Resource Name (ARN) Ihrer IAM Identity Center-Instance und <ISSUER_URL> durch die Aussteller-URL aus Schritt 1.

aws sso-admin create-trusted-token-issuer \
  --instance-arn <IDC_INSTANCE_ARN> \
  --name "AmazonQuickDesktop" \
  --trusted-token-issuer-type OIDC_JWT \
  --trusted-token-issuer-configuration '{
    "OidcJwtConfiguration": {
      "IssuerUrl": "<ISSUER_URL>",
      "ClaimAttributePath": "email",
      "IdentityStoreAttributePath": "emails.value",
      "JwksRetrievalOption": "OPEN_ID_DISCOVERY"
    }
  }'

Notieren Sie sich das TrustedTokenIssuerArn aus der Ausgabe. Sie benötigen ihn im nächsten Schritt.

In der folgenden Tabelle ist die Aussteller-URL für jeden Identitätsanbieter aufgeführt.

Identitätsanbieter URL des Ausstellers
Microsoft Entra ID https://login.microsoftonline.com/<TENANT_ID>/v2.0
Okta https://<OKTA_DOMAIN>/oauth2/default
PingFederate https://<PINGFEDERATE_HOST>
PingOne https://auth.pingone.com/<ENV_ID>/as

Schritt 3: Konfigurieren Sie den Erweiterungszugriff in der Amazon Quick Management Console

Um den Erweiterungszugriff hinzuzufügen

  1. Melden Sie sich bei der Amazon Quick Management Console an.

  2. Wählen Sie unter Berechtigungen die Option Erweiterungszugriff aus.

  3. Wählen Sie Erweiterungszugriff hinzufügen aus.

  4. (Optional) Wenn Ihr Konto IAM Identity Center verwendet, wird der Schritt Trusted Token Issuer Setup angezeigt. Geben Sie Folgendes ein:

    Feld Value (Wert)
    ARN des vertrauenswürdigen Token-Emittenten Das TrustedTokenIssuerArn aus Schritt 2
    Aud-Anspruch Die Client-ID aus Schritt 1

    Dieser Schritt wird nicht für Konten angezeigt, die den IAM-Verbund verwenden.

  5. Wählen Sie die Desktop-Anwendung für die Schnellerweiterung aus und klicken Sie auf Weiter.

  6. Geben Sie die Details der Amazon Quick-Erweiterung ein:

    Feld Value (Wert)
    Name Ein Name für diesen Erweiterungszugriff
    Description (Optional) Eine Beschreibung
    URL des Ausstellers Die URL des OIDC-Ausstellers aus Schritt 1
    Endpunkt der Autorisierung Die URL des OIDC-Autorisierungsendpunkts aus Schritt 1
    Token-Endpunkt Die URL des OIDC-Token-Endpunkts aus Schritt 1
    JWKS URI Der JSON Web Key Set URI aus Schritt 1
    Client-ID Die OIDC-Client-ID aus Schritt 1

  7. Wählen Sie Hinzufügen aus.

    Wichtig

    Vergewissern Sie sich, dass alle Werte korrekt sind, bevor Sie Hinzufügen wählen. Die Konfiguration für den Erweiterungszugriff kann nach der Erstellung nicht bearbeitet werden. Wenn ein Wert falsch ist, müssen Sie den Erweiterungszugriff löschen und einen neuen erstellen.

Um die Erweiterung zu erstellen

  1. Wählen Sie in der Amazon Quick-Konsole im linken Navigationsbereich unter Apps und Daten Connect die Option Erweiterungen aus.

  2. Wählen Sie Erweiterung hinzufügen.

  3. Wählen Sie die Desktop-Anwendung für den schnellen Erweiterungszugriff aus, die Sie zuvor erstellt haben. Wählen Sie Next.

  4. Wählen Sie Erstellen aus.

Schritt 4: Laden Sie die Desktop-Anwendung herunter und verteilen Sie sie

Nachdem Sie die Enterprise-Anmeldung konfiguriert haben, überprüfen Sie das Setup, indem Sie die Desktop-Anwendung selbst herunterladen und installieren. Wählen Sie auf dem Anmeldebildschirm Enterprise Login und authentifizieren Sie sich mit Ihren Unternehmensanmeldedaten, um zu bestätigen, dass die Konfiguration funktioniert. Anweisungen zum Herunterladen und Installieren finden Sie unter. Erste Schritte

Wenn die Anmeldung fehlschlägt, überprüfen Sie die in Schritt 3 eingegebenen Werte mit den OIDC-Endpunkten aus Schritt 1. Wenn ein Wert falsch ist, löschen Sie den Erweiterungszugriff unter Berechtigungen → Erweiterungszugriff und wiederholen Sie Schritt 3 mit den richtigen Werten.

Nachdem Sie die Einrichtung überprüft haben, verweisen Sie Ihre Benutzer auf Anweisungen Erste Schritte zum Herunterladen, Installieren und Anmelden.

Fehlerbehebung

redirect_mismatch-Fehler

Stellen Sie sicher, dass die Umleitungs-URI in Ihrem IdP exakt ist http://localhost:18080 und als öffentlicher Client oder native Plattform konfiguriert ist.

Der Benutzer wurde nach der Anmeldung nicht gefunden

Die E-Mail im IdP-Token muss exakt mit der E-Mail-Adresse eines Benutzers in IAM Identity Center übereinstimmen. Stellen Sie sicher, dass der Benutzer bereitgestellt wurde und dass die E-Mail-Adressen in beiden Systemen identisch sind.

Fehler bei der Token-Validierung

Stellen Sie sicher, dass die Aussteller-URL im TTI genau mit der Aussteller-URL in der OIDC-Konfiguration Ihres IdP übereinstimmt.

Einwilligungs- oder Genehmigungsfehler (Microsoft Entra ID)

Erteilen Sie die Zustimmung des Administrators für die erforderlichen API-Berechtigungen im Azure-Portal. Navigieren Sie zur Seite mit den API-Berechtigungen der App-Registrierung und wählen Sie Administratorzustimmung für [Ihre Organisation] gewähren aus.

Die Sitzung läuft häufig ab

Stellen Sie sicher, dass Ihr IdP für die Ausgabe von Aktualisierungstoken konfiguriert ist. Für Microsoft Entra ID ist der offline_access Bereich erforderlich. Für Okta muss der Gewährungstyp „Aktualisierungstoken“ aktiviert und der offline_access Geltungsbereich muss gewährt werden. Für Ping Identity muss der Gewährungstyp „Aktualisierungstoken“ aktiviert und der offline_access Geltungsbereich muss gewährt werden. Stellen Sie außerdem sicher PingFederate, dass in der OIDC-Richtlinie die Option Return ID Token On Refresh Grant ausgewählt ist.

invalid_scopeFehler (Okta)

Stellen Sie sicher, dass offline_access dies auf Ihrem Autorisierungsserver aktiviert ist. Navigieren Sie zu Sicherheit → API → Autorisierungsserver → Standard → Bereiche und vergewissern Sie sich, dass der Bereich vorhanden ist. Stellen Sie außerdem sicher, dass die Zugriffsrichtlinie für die Anwendung den Gewährungstyp „Aktualisierungstoken“ zulässt.

Anwendung nicht aktiviert (PingOne)

Wenn die Authentifizierung sofort fehlschlägt, ohne die PingOne Anmeldeseite aufzurufen, stellen Sie sicher, dass der Anwendungsschalter in der PingOne Admin-Konsole auf Aktiviert gesetzt ist.

Fehlender E-Mail-Anspruch nach der Aktualisierung () PingFederate

Stellen Sie sicher, dass der email Anspruch im Attributvertrag der OIDC-Richtlinie enthalten und dem richtigen Benutzerattribut zugeordnet ist. Die Zuordnung muss den email Anspruch sowohl für die Erstauthentifizierung als auch für die Gewährung von Aktualisierungstoken enthalten.