Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Einrichtung von Amazon Quick auf dem Desktop für Unternehmensbereitstellungen
<a name="desktop-enterprise-setup"></a>


|  | 
| --- |
|    Gilt für: Enterprise Edition und Standard Edition  | 


|  | 
| --- |
|    Zielgruppe: Systemadministratoren  | 

Um Amazon Quick on Desktop für Unternehmensbereitstellungen zu verwenden, müssen Administratoren Enterprise Single Sign-On (SSO) so konfigurieren, dass sich Benutzer in der Organisation mit ihren Unternehmensanmeldedaten anmelden können. Dieses Setup verbindet den OpenID Connect (OIDC) -kompatiblen Identitätsanbieter (IdP) Ihres Unternehmens mit Amazon Quick.

**Anmerkung**  
Wenn Sie ein Free- oder Plus-Konto verwenden, gilt dieser Abschnitt nicht für Sie. Fahren Sie fort mit [Erste Schritte](getting-started-desktop.md).

Die Einrichtung umfasst die folgenden Schritte in der angegebenen Reihenfolge:

1. Erstellen Sie eine OIDC-Anwendung in Ihrem IdP.

1. Erstellen Sie einen Trusted Token Issuer (TTI) in IAM Identity Center (nur erforderlich für Konten, die IAM Identity Center zur Authentifizierung verwenden).

1. Konfigurieren Sie den Erweiterungszugriff in der Amazon Quick-Managementkonsole.

1. Verteilen Sie die Desktop-Anwendung an Ihre Benutzer.

Dieses Handbuch enthält IdP-specific Anweisungen für Microsoft Entra ID, Okta und Ping Identity (PingFederate und PingOne). Die Anweisungen für Ihren spezifischen Identitätsanbieter finden Sie weiter unten.

## So funktioniert die Anmeldung für Unternehmen
<a name="desktop-enterprise-how-it-works"></a>

Die Amazon Quick Desktop-Anwendung verwendet das OIDC-Protokoll, um Benutzer zu authentifizieren. Wenn ein Benutzer die **Enterprise-Anmeldung** wählt, öffnet die Anwendung ein Browserfenster und leitet zum Autorisierungsendpunkt Ihres IdP weiter. Die Anwendung tauscht dann den resultierenden Autorisierungscode mithilfe von Proof Key for Code Exchange (PKCE) gegen Token aus.

Amazon Quick validiert das Token und ordnet den Benutzer einer Identität in Ihrem Konto zu. Bei Konten, die IAM Identity Center verwenden, ordnet der TTI den `email` Anspruch im OIDC-Token dem `emails.value` Attribut im Identitätsspeicher zu. Bei Konten, die den IAM-Verbund verwenden, ordnet Amazon Quick den Benutzer direkt per E-Mail zu. In beiden Fällen muss die E-Mail-Adresse in Ihrem IdP genau mit der E-Mail-Adresse des Benutzers in Amazon Quick übereinstimmen.

## Voraussetzungen
<a name="desktop-enterprise-prerequisites"></a>

Bevor Sie beginnen, stellen Sie sicher, dass Sie über Folgendes verfügen:
+ Ein AWS Konto mit einem aktiven Amazon Quick-Abonnement, das IAM Identity Center oder IAM-Verbund zur Authentifizierung verwendet. Die Heimatregion (Identitätsregion) des Amazon Quick-Kontos muss USA Ost (Nord-Virginia) (us-east-1) sein.
+ Administratorzugriff auf Ihr Amazon Quick-Konto.
+ Zugriff auf Ihren IdP mit Berechtigungen zum Erstellen von OIDC-Anwendungsregistrierungen.

**Wichtig**  
Die Heimatregion (Identitätsregion) des Amazon Quick-Kontos muss USA Ost (Nord-Virginia) (us-east-1) sein. Alle Inferenzen für die Desktop-Anwendung verwenden ebenfalls diese Region. Amazon Quick on the Web kann zwar in anderen Regionen verwendet werden, die Desktop-Anwendung stellt jedoch sowohl zur Authentifizierung als auch zur Inferenz eine Verbindung zu us-east-1 her.

## Schritt 1: Erstellen Sie eine OIDC-Anwendung in Ihrem Identitätsanbieter
<a name="desktop-enterprise-step1"></a>

Registrieren Sie eine öffentliche OIDC-Client-Anwendung in Ihrem IdP. Die Amazon Quick Desktop-Anwendung verwendet diesen Client, um Benutzer über den Autorisierungscodefluss mit PKCE zu authentifizieren. Es ist kein geheimer Client-Schlüssel erforderlich.

Die Desktop-Anwendung benötigt Aktualisierungstoken, um langlebige Sitzungen aufrechtzuerhalten. Wie Aktualisierungstoken konfiguriert werden, hängt von Ihrem IdP ab:
+ **Microsoft Entra ID** — Der `offline_access` Geltungsbereich muss gewährt werden. Andernfalls müssen sich Benutzer häufig erneut authentifizieren.
+ **Okta** — Der Gewährungstyp „Aktualisierungstoken“ muss in der Anwendung aktiviert sein, und der `offline_access` Gültigkeitsbereich muss gewährt werden.
+ **Ping Identity** — Der Gewährungstyp „Aktualisierungstoken“ muss aktiviert und der `offline_access` Geltungsbereich muss gewährt werden. Dafür PingFederate muss die Einstellung **Return ID Token On Refresh Grant** ebenfalls in der OIDC-Richtlinie aktiviert sein.

Wählen Sie die Anweisungen für Ihren Identitätsanbieter aus.

### Microsoft Entra ID
<a name="desktop-enterprise-entra-id"></a>

Ausführliche Anweisungen finden Sie unter [Registrieren einer Anwendung](https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app) in der Microsoft Entra-Dokumentation.

**Um die Registrierung der Entra ID-App zu erstellen**

1. Navigieren Sie im Azure-Portal zu **Microsoft Entra ID → App-Registrierungen → Neue Registrierung**.

1. Konfigurieren Sie die folgenden Einstellungen:    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/quick/latest/userguide/desktop-enterprise-setup.html)

1. Wählen Sie **Registrieren** aus.

1. Notieren Sie sich auf der **Übersichtsseite** die **Anwendungs-ID (Client) und die Verzeichnis-ID** **(Mandanten-ID)**. Sie benötigen diese Werte in späteren Schritten.

Dies ist eine öffentliche Kundenregistrierung. PKCE wird automatisch von Entra ID für öffentliche Kunden durchgesetzt.

**Um API-Berechtigungen zu konfigurieren**

1. Navigieren Sie in der App-Registrierung zu **API-Berechtigungen → Eine Berechtigung hinzufügen → Microsoft Graph → Delegierte Berechtigungen**.

1. Fügen Sie die folgenden Berechtigungen hinzu:`openid`,`email`,`profile`,`offline_access`.

1. Wählen Sie **Add permissions** (Berechtigungen hinzufügen) aus.

1. Wenn Ihre Organisation dies erfordert, wählen Sie **Administratorzustimmung für [Ihre Organisation] gewähren** aus.

**Um die Authentifizierungseinstellungen zu konfigurieren**

1. Navigieren Sie in der App-Registrierung zu **Authentifizierung**.

1. Stellen Sie unter **Erweiterte Einstellungen** die Option **Öffentliche Client-Datenflüsse zulassen** auf **Ja** ein.

1. Vergewissern Sie `http://localhost:18080` sich, dass dies unter **Mobil- und Desktopanwendungen** aufgeführt ist.

1. Wählen Sie **Speichern**.

Ihre OIDC-Endpunkte verwenden das folgende Format. Ersetzen Sie es `<TENANT_ID>` durch Ihre Verzeichnis-ID (Mandanten-ID).


| Feld | Value (Wert) | 
| --- | --- | 
| URL des Ausstellers | https://login.microsoftonline.com/<TENANT\_ID>/v2.0 | 
| Endpunkt der Autorisierung | https://login.microsoftonline.com/<TENANT\_ID>/oauth2/v2.0/authorize | 
| Token-Endpunkt | https://login.microsoftonline.com/<TENANT\_ID>/oauth2/v2.0/token | 
| JWKS URI | https://login.microsoftonline.com/<TENANT\_ID>/discovery/v2.0/keys | 

### Okta
<a name="desktop-enterprise-okta"></a>

Eine ausführliche Anleitung finden Sie in der Okta-Dokumentation unter [OpenID Connect-App-Integrationen erstellen](https://help.okta.com/en-us/content/topics/apps/apps_app_integration_wizard_oidc.htm).

**So erstellen Sie die native Okta OIDC-Anwendung**

1. Navigieren Sie in der Okta Admin-Konsole zu **Anwendungen → Anwendungen → App-Integration erstellen**.

1. Wählen Sie **OIDC - OpenID Connect als Anmeldemethode** aus.

1. **Wählen Sie **Native Application als Anwendungstyp** aus und wählen Sie dann Weiter.**

1. Konfigurieren Sie die folgenden Einstellungen:    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/quick/latest/userguide/desktop-enterprise-setup.html)

1. Wählen Sie **Speichern**.

1. Notieren Sie sich auf der Registerkarte **Allgemein** die **Client-ID**.

PKCE (S256) wird von Okta für native Anwendungen automatisch durchgesetzt.

**Um Bereiche zu konfigurieren**

1. Navigieren Sie in der Okta Admin-Konsole zu **Sicherheit → API → Autorisierungsserver** und wählen Sie Ihren Autorisierungsserver aus (z. B. den **Standardserver**).

1. Stellen Sie auf der Registerkarte **Bereiche** sicher, dass die folgenden Bereiche aktiviert sind:`openid`,,,`email`. `profile` `offline_access`

1. Vergewissern Sie sich auf der Registerkarte **Zugriffsrichtlinien**, ob die dieser Anwendung zugewiesene Richtlinie die Typen `Authorization Code` und `Refresh Token` Gewährung zulässt.

**Um die Authentifizierungseinstellungen zu überprüfen**

1. Gehen Sie in der App-Integration zur Registerkarte **Allgemein**.

1. Vergewissern Sie sich unter **Allgemeine Einstellungen**, dass der Anwendungstyp **Nativ**, die Client-Authentifizierung auf **Keine** (öffentlicher Client) und PKCE **erforderlich** ist.

1. Bestätigen Sie unter **LOGIN**, dass dieser URI als Umleitungs-URI aufgeführt `http://localhost:18080` ist.

1. Wählen Sie **Speichern**, wenn Sie Änderungen vorgenommen haben.

Ihre OIDC-Endpunkte verwenden das folgende Format. `<OKTA_DOMAIN>`Ersetzen Sie es durch Ihre Okta-Domain (z. B.). `your-org.okta.com`


| Feld | Value (Wert) | 
| --- | --- | 
| URL des Ausstellers | https://<OKTA\_DOMAIN>/oauth2/default | 
| Endpunkt der Autorisierung | https://<OKTA\_DOMAIN>/oauth2/default/v1/authorize | 
| Token-Endpunkt | https://<OKTA\_DOMAIN>/oauth2/default/v1/token | 
| JWKS URI | https://<OKTA\_DOMAIN>/oauth2/default/v1/keys | 

### Ping Identity
<a name="desktop-enterprise-ping-identity"></a>

Wählen Sie die Anweisungen für Ihr Ping Identity-Produkt aus.

#### PingFederate
<a name="desktop-enterprise-pingfederate"></a>

Eine ausführliche Anleitung finden Sie [in PingFederate der Ping Identity-Dokumentation unter Einrichten einer OIDC-Anwendung](https://docs.pingidentity.com/solution-guides/customer_use_cases/htg_oidc_app_setup_pf.html).

**Um den OIDC-Client zu erstellen PingFederate**

1. **Gehen Sie in der PingFederate Administrationskonsole zu **Anwendungen → OAuth → Clients** und wählen Sie Client hinzufügen.**

1. Geben Sie im Feld **Client-ID** eine eindeutige Kennung für diesen Client ein.

1. Geben Sie im Feld **Name** `Amazon Quick Desktop` ein.

1. Wählen Sie für **Client-Authentifizierung** die Option **Keine** aus.

1. Geben Sie im Abschnitt **Umleitungs-URI** die Eingabe ein `http://localhost:18080` und wählen Sie **Hinzufügen** aus.

1. Wählen Sie in der Liste **Zulässige Zuschusstypen** die Optionen **Autorisierungscode** und **Aktualisierungstoken** aus.

1. Aktivieren Sie das Kontrollkästchen **Proof Key for Code Exchange (PKCE) erforderlich**.

1. Gewähren Sie unter **Allgemeine Geltungsbereiche** Folgendes:`openid`,,`email`,`profile`. `offline_access`

1. Wählen Sie **Speichern**.

1. Notieren Sie sich die **Client-ID.** Sie benötigen diesen Wert in späteren Schritten.

**Um die OIDC-Richtlinie zu konfigurieren**

1. Gehen Sie in der PingFederate Administrationskonsole zu **Anwendungen → OAuth → OpenID Connect** Policy Management.

1. Wählen Sie die mit diesem Client verknüpfte OIDC-Richtlinie aus, oder wählen Sie Richtlinie **hinzufügen**, um eine zu erstellen.

1. Aktivieren Sie das Kontrollkästchen „**ID-Token bei Refresh Grant zurückgeben**“. Dadurch wird sichergestellt, dass die Desktop-Anwendung beim Aktualisieren der Sitzung ein neues ID-Token mit aktuellen Ansprüchen erhält.

1. Stellen Sie unter **Attributvertrag** sicher, dass der `email` Anspruch enthalten ist und dem entsprechenden Benutzerattribut in Ihrer Authentifizierungsquelle zugeordnet ist. Der `email` Anspruch muss in Tokens enthalten sein, die sowohl bei der Erstauthentifizierung als auch bei der Gewährung von Aktualisierungstoken ausgestellt wurden.

1. Wählen Sie **Speichern**.

Ihre OIDC-Endpunkte verwenden das folgende Format. Ersetzen Sie es `<PINGFEDERATE_HOST>` durch Ihren Server-Hostnamen PingFederate .


| Feld | Value (Wert) | 
| --- | --- | 
| URL des Ausstellers | https://<PINGFEDERATE\_HOST> | 
| Endpunkt der Autorisierung | https://<PINGFEDERATE\_HOST>/as/authorization.oauth2 | 
| Token-Endpunkt | https://<PINGFEDERATE\_HOST>/as/token.oauth2 | 
| JWKS URI | https://<PINGFEDERATE\_HOST>/pf/JWKS | 

#### PingOne
<a name="desktop-enterprise-pingone"></a>

Eine ausführliche Anleitung finden Sie unter [Anwendung bearbeiten — Nativ](https://docs.pingidentity.com/pingone/applications/p1_edit_application_native.html) in der Ping Identity-Dokumentation.

**So erstellen Sie die native PingOne OIDC-Anwendung**

1. Gehen Sie in der PingOne Admin-Konsole zu **Anwendungen → Anwendungen** und wählen Sie das **Pluszeichen**.

1. Geben Sie `Amazon Quick Desktop` den Namen der Anwendung ein.

1. Wählen Sie im Abschnitt **Anwendungstyp** die Option **Nativ** und dann **Speichern** aus.

1. Wählen Sie auf der Registerkarte **Konfiguration** die Option **Bearbeiten** und konfigurieren Sie die folgenden Einstellungen:    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/quick/latest/userguide/desktop-enterprise-setup.html)

1. Wählen Sie **Speichern**.

1. Fügen Sie auf der Registerkarte **Ressourcen** die folgenden Bereiche hinzu:`openid`,, `email``profile`,`offline_access`.

1. Stellen Sie auf der Registerkarte **Attributzuordnungen** sicher, dass das `email` Attribut der E-Mail-Adresse des Benutzers zugeordnet ist.

1. **Schalten Sie die Anwendung auf Aktiviert um.**

1. Notieren Sie sich die **Client-ID** und die **Umgebungs-ID** auf der Registerkarte **Konfiguration**.

**Anmerkung**  
Die PingOne Domain variiert je nach Region. Die folgenden Beispiele verwenden`.com`. Ersetzen Sie die Domain durch die Domain für Ihre Umgebung (z. B.`.ca`,`.eu`, oder`.asia`).

Ihre OIDC-Endpunkte verwenden das folgende Format. Ersetzen Sie es `<ENV_ID>` durch Ihre Umgebungs-ID PingOne .


| Feld | Value (Wert) | 
| --- | --- | 
| URL des Ausstellers | https://auth.pingone.com/<ENV\_ID>/as | 
| Endpunkt der Autorisierung | https://auth.pingone.com/<ENV\_ID>/as/authorize | 
| Token-Endpunkt | https://auth.pingone.com/<ENV\_ID>/as/token | 
| JWKS URI | https://auth.pingone.com/<ENV\_ID>/as/jwks | 

## Schritt 2: Erstellen Sie einen vertrauenswürdigen Token-Aussteller im IAM Identity Center
<a name="desktop-enterprise-step2"></a>

**Anmerkung**  
Dieser Schritt ist nur erforderlich, wenn Ihr Amazon Quick-Konto AWS Identity and Access Management Identity Center zur Authentifizierung verwendet. Wenn Ihr Konto den IAM-Verbund verwendet, überspringen Sie diesen Schritt und fahren Sie mit Schritt 3 fort.

Das TTI weist IAM Identity Center an, Tokens von Ihrem IdP als vertrauenswürdig einzustufen und sie IAM Identity Center-Benutzern zuzuordnen. Sie können den TTI in der AWS Identity and Access Management Identity Center-Konsole oder mit der AWS CLI erstellen.

Weitere Informationen finden Sie unter [Einrichtung eines vertrauenswürdigen Token-Ausstellers](https://docs.aws.amazon.com/singlesignon/latest/userguide/setuptrustedtokenissuer.html) im *AWS Identity and Access Management Identity Center-Benutzerhandbuch*.

**So erstellen Sie den TTI in der IAM Identity Center-Konsole**

1. Öffnen Sie die [AWS Identity and Access Management Identity Center-Konsole](https://console.aws.amazon.com/singlesignon).

1. Wählen Sie **Einstellungen** aus.

1. Wählen Sie auf der Seite **Einstellungen** die Registerkarte **Authentifizierung**.

1. Wählen Sie unter **Vertrauenswürdige Token-Aussteller die** Option **Vertrauenswürdigen Token-Aussteller erstellen** aus.

1. **Konfigurieren Sie auf der Seite Einen externen IdP zur Ausgabe vertrauenswürdiger Token** einrichten unter **Informationen zum vertrauenswürdigen Token-Aussteller** Folgendes:    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/quick/latest/userguide/desktop-enterprise-setup.html)

1. Konfigurieren Sie unter **Attribute zuordnen** die Attributzuordnung, die IAM Identity Center für die Suche nach Benutzern verwendet:    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/quick/latest/userguide/desktop-enterprise-setup.html)
**Wichtig**  
Das Identity Provider-Attribut muss mit einem Anspruch übereinstimmen, den Ihr IdP in das Token einbezieht, und das IAM Identity Center-Attribut muss den Benutzer in Ihrem Identitätsspeicher eindeutig identifizieren. Die gängigste Zuordnung ist `email` →`emails.value`, aber Ihre Organisation verwendet möglicherweise ein anderes Attribut, z. `sub` B. einen benutzerdefinierten Anspruch. Der Wert im Token-Anspruch muss exakt mit dem Wert des entsprechenden Attributs in IAM Identity Center übereinstimmen.

1. Wählen Sie **Vertrauenswürdigen Token-Aussteller erstellen** aus.

1. Notieren Sie sich den **ARN des vertrauenswürdigen Token-Ausstellers**. Sie benötigen ihn im nächsten Schritt.

Um den TTI mit der AWS CLI zu erstellen, führen Sie alternativ den folgenden Befehl aus. `<IDC_INSTANCE_ARN>`Ersetzen Sie durch den Amazon Resource Name (ARN) Ihrer IAM Identity Center-Instance und `<ISSUER_URL>` durch die Aussteller-URL aus Schritt 1.

```
aws sso-admin create-trusted-token-issuer \
  --instance-arn <IDC_INSTANCE_ARN> \
  --name "AmazonQuickDesktop" \
  --trusted-token-issuer-type OIDC_JWT \
  --trusted-token-issuer-configuration '{
    "OidcJwtConfiguration": {
      "IssuerUrl": "<ISSUER_URL>",
      "ClaimAttributePath": "email",
      "IdentityStoreAttributePath": "emails.value",
      "JwksRetrievalOption": "OPEN_ID_DISCOVERY"
    }
  }'
```

Notieren Sie sich das `TrustedTokenIssuerArn` aus der Ausgabe. Sie benötigen ihn im nächsten Schritt.

In der folgenden Tabelle ist die Aussteller-URL für jeden Identitätsanbieter aufgeführt.


| Identitätsanbieter | URL des Ausstellers | 
| --- | --- | 
| Microsoft Entra ID | https://login.microsoftonline.com/<TENANT\_ID>/v2.0 | 
| Okta | https://<OKTA\_DOMAIN>/oauth2/default | 
| PingFederate | https://<PINGFEDERATE\_HOST> | 
| PingOne | https://auth.pingone.com/<ENV\_ID>/as | 

## Schritt 3: Konfigurieren Sie den Erweiterungszugriff in der Amazon Quick Management Console
<a name="desktop-enterprise-step3"></a>

**Um den Erweiterungszugriff hinzuzufügen**

1. Melden Sie sich bei der Amazon Quick Management Console an.

1. Wählen Sie unter **Berechtigungen** die Option **Erweiterungszugriff** aus.

1. Wählen Sie **Erweiterungszugriff hinzufügen** aus.

1. (Optional) Wenn Ihr Konto IAM Identity Center verwendet, wird der Schritt **Trusted Token Issuer Setup angezeigt**. Geben Sie Folgendes ein:    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/quick/latest/userguide/desktop-enterprise-setup.html)

   Dieser Schritt wird nicht für Konten angezeigt, die den IAM-Verbund verwenden.

1. Wählen Sie die **Desktop-Anwendung für die Schnellerweiterung** aus und klicken Sie auf **Weiter**.

1. Geben Sie die Details der Amazon Quick-Erweiterung ein:    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/quick/latest/userguide/desktop-enterprise-setup.html)

1. Wählen Sie **Hinzufügen** aus.
**Wichtig**  
**Vergewissern Sie sich, dass alle Werte korrekt sind, bevor Sie Hinzufügen wählen.** Die Konfiguration für den Erweiterungszugriff kann nach der Erstellung nicht bearbeitet werden. Wenn ein Wert falsch ist, müssen Sie den Erweiterungszugriff löschen und einen neuen erstellen.

**Um die Erweiterung zu erstellen**

1. Wählen Sie in der Amazon Quick-Konsole im linken Navigationsbereich unter **Apps und Daten Connect** die Option **Erweiterungen** aus.

1. Wählen **Sie Erweiterung hinzufügen**.

1. Wählen Sie die **Desktop-Anwendung für den schnellen** Erweiterungszugriff aus, die Sie zuvor erstellt haben. Wählen Sie **Next**.

1. Wählen Sie **Erstellen** aus.

## Schritt 4: Laden Sie die Desktop-Anwendung herunter und verteilen Sie sie
<a name="desktop-enterprise-step4"></a>

Nachdem Sie die Enterprise-Anmeldung konfiguriert haben, überprüfen Sie das Setup, indem Sie die Desktop-Anwendung selbst herunterladen und installieren. Wählen Sie auf dem Anmeldebildschirm **Enterprise Login** und authentifizieren Sie sich mit Ihren Unternehmensanmeldedaten, um zu bestätigen, dass die Konfiguration funktioniert. Anweisungen zum Herunterladen und Installieren finden Sie unter. [Erste Schritte](getting-started-desktop.md)

Wenn die Anmeldung fehlschlägt, überprüfen Sie die in Schritt 3 eingegebenen Werte mit den OIDC-Endpunkten aus Schritt 1. Wenn ein Wert falsch ist, löschen Sie den Erweiterungszugriff unter **Berechtigungen → Erweiterungszugriff** und wiederholen Sie Schritt 3 mit den richtigen Werten.

Nachdem Sie die Einrichtung überprüft haben, verweisen Sie Ihre Benutzer auf Anweisungen [Erste Schritte](getting-started-desktop.md) zum Herunterladen, Installieren und Anmelden.

## Fehlerbehebung
<a name="desktop-enterprise-troubleshooting"></a>

`redirect_mismatch`-Fehler  
Stellen Sie sicher, dass die Umleitungs-URI in Ihrem IdP exakt ist `http://localhost:18080` und als öffentlicher Client oder native Plattform konfiguriert ist.

Der Benutzer wurde nach der Anmeldung nicht gefunden  
Die E-Mail im IdP-Token muss exakt mit der E-Mail-Adresse eines Benutzers in IAM Identity Center übereinstimmen. Stellen Sie sicher, dass der Benutzer bereitgestellt wurde und dass die E-Mail-Adressen in beiden Systemen identisch sind.

Fehler bei der Token-Validierung  
Stellen Sie sicher, dass die Aussteller-URL im TTI genau mit der Aussteller-URL in der OIDC-Konfiguration Ihres IdP übereinstimmt.

Einwilligungs- oder Genehmigungsfehler (Microsoft Entra ID)  
Erteilen Sie die Zustimmung des Administrators für die erforderlichen API-Berechtigungen im Azure-Portal. Navigieren Sie zur Seite mit den **API-Berechtigungen** der App-Registrierung und wählen Sie **Administratorzustimmung für [Ihre Organisation] gewähren** aus.

Die Sitzung läuft häufig ab  
Stellen Sie sicher, dass Ihr IdP für die Ausgabe von Aktualisierungstoken konfiguriert ist. Für Microsoft Entra ID ist der `offline_access` Bereich erforderlich. Für Okta muss der Gewährungstyp „Aktualisierungstoken“ aktiviert und der `offline_access` Geltungsbereich muss gewährt werden. Für Ping Identity muss der Gewährungstyp „Aktualisierungstoken“ aktiviert und der `offline_access` Geltungsbereich muss gewährt werden. Stellen Sie außerdem sicher PingFederate, dass in der OIDC-Richtlinie die Option **Return ID Token On Refresh Grant** ausgewählt ist.

`invalid_scope`Fehler (Okta)  
Stellen Sie sicher, dass `offline_access` dies auf Ihrem Autorisierungsserver aktiviert ist. Navigieren Sie zu **Sicherheit → API → Autorisierungsserver → Standard → Bereiche und vergewissern** Sie sich, dass der Bereich vorhanden ist. Stellen Sie außerdem sicher, dass die Zugriffsrichtlinie für die Anwendung den Gewährungstyp „Aktualisierungstoken“ zulässt.

Anwendung nicht aktiviert (PingOne)  
Wenn die Authentifizierung sofort fehlschlägt, ohne die PingOne Anmeldeseite aufzurufen, stellen Sie sicher, dass der Anwendungsschalter in der PingOne Admin-Konsole auf **Aktiviert** gesetzt ist.

Fehlender E-Mail-Anspruch nach der Aktualisierung () PingFederate  
Stellen Sie sicher, dass der `email` Anspruch im **Attributvertrag** der OIDC-Richtlinie enthalten und dem richtigen Benutzerattribut zugeordnet ist. Die Zuordnung muss den `email` Anspruch sowohl für die Erstauthentifizierung als auch für die Gewährung von Aktualisierungstoken enthalten.