View a markdown version of this page

Configuración de Amazon Quick en ordenadores de sobremesa para despliegues empresariales - Amazon Quick
Cómo funciona el inicio de sesión empresarialRequisitos previosPaso 1: Cree una aplicación OIDC en su proveedor de identidadPaso 2: Cree un emisor de token de confianza en el IAM Identity CenterPaso 3: Configurar el acceso a la extensión en la consola de administración de Amazon QuickPaso 4: Descargue y distribuya la aplicación de escritorioResolución de problemas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de Amazon Quick en ordenadores de sobremesa para despliegues empresariales

   Se aplica a: Enterprise Edition y Standard Edition 
   Público al que va dirigido: administradores de sistemas 

Para usar Amazon Quick on desktop para implementaciones empresariales, los administradores deben configurar el inicio de sesión único (SSO) empresarial para que los usuarios de la organización puedan iniciar sesión con sus credenciales corporativas. Esta configuración conecta el proveedor de identidad (IdP) compatible con OpenID Connect (OIDC) de su organización con Amazon Quick.

nota

Si utilizas una cuenta gratuita o una cuenta Plus, esta sección no se aplica a tu caso. Siga en Introducción.

La configuración implica los siguientes pasos, en orden:

  1. Cree una aplicación OIDC en su IdP.

  2. Cree un emisor de token de confianza (TTI) en el centro de identidad de IAM (solo es necesario para las cuentas que utilizan el centro de identidad de IAM para la autenticación).

  3. Configure el acceso a la extensión en la consola de administración de Amazon Quick.

  4. Distribuya la aplicación de escritorio a sus usuarios.

Esta guía proporciona IdP-specific instrucciones para Microsoft Entra ID, Okta y Ping Identity (PingFederate y PingOne). Consulta las instrucciones para tu proveedor de identidad específico a continuación.

Cómo funciona el inicio de sesión empresarial

La aplicación de escritorio Amazon Quick utiliza el protocolo OIDC para autenticar a los usuarios. Cuando un usuario selecciona el inicio de sesión empresarial, la aplicación abre una ventana del navegador y la redirige al punto de autorización de su IdP. A continuación, la aplicación intercambia el código de autorización resultante por tokens mediante Proof Key for Code Exchange (PKCE).

Amazon Quick valida el token y asigna al usuario a una identidad de tu cuenta. En el caso de las cuentas que utilizan el Centro de Identidad de IAM, el TTI asigna la email afirmación del token OIDC al emails.value atributo del almacén de identidades. En el caso de las cuentas que utilizan la federación de IAM, Amazon Quick asigna directamente al usuario por correo electrónico. En ambos casos, la dirección de correo electrónico de tu IDP debe coincidir exactamente con la dirección de correo electrónico del usuario de Amazon Quick.

Requisitos previos

Antes de empezar, compruebe que dispone de lo siguiente:

  • Una AWS cuenta con una suscripción a Amazon Quick activa que utiliza el Centro de identidad de IAM o la federación de IAM para la autenticación. La región de origen de la cuenta Amazon Quick (región de identidad) debe ser EE. UU. Este (Virginia del Norte) (us-east-1).

  • Acceso de administrador a tu cuenta de Amazon Quick.

  • Acceso a su IdP con permisos para crear registros de aplicaciones OIDC.

importante

La región de origen de la cuenta Amazon Quick (región de identidad) debe ser EE. UU. Este (Virginia del Norte) (us-east-1). Todas las inferencias para la aplicación de escritorio también utilizan esta región. Si bien Amazon Quick en la web se puede utilizar en otras regiones, la aplicación de escritorio se conecta a us-east-1 tanto para la autenticación como para la inferencia.

Paso 1: Cree una aplicación OIDC en su proveedor de identidad

Registre una aplicación cliente OIDC pública en su IdP. La aplicación de escritorio Amazon Quick utiliza este cliente para autenticar a los usuarios mediante el flujo de códigos de autorización con PKCE. No se requiere ningún secreto de cliente.

La aplicación de escritorio requiere tokens de actualización para mantener sesiones de larga duración. La forma en que se configuran los tokens de actualización depende de su IdP:

  • Microsoft Entra ID: se debe conceder el offline_access alcance. Sin él, los usuarios deben volver a autenticarse con frecuencia.

  • Okta: el tipo de concesión Refresh Token debe estar habilitado en la aplicación y el offline_access alcance debe estar otorgado.

  • Identidad de ping: el tipo de concesión del token de actualización debe estar habilitado y el offline_access alcance debe estar otorgado. En este PingFederate caso, la configuración de la concesión de devolución del token de ID al actualizar también debe estar habilitada en la política de la OIDC.

Elige las instrucciones para tu proveedor de identidad.

ID de Microsoft Entra

Para obtener instrucciones detalladas, consulte Registrar una aplicación en la documentación de Microsoft Entra.

Para crear el registro de la aplicación Entra ID

  1. En el portal de Azure, vaya a Microsoft Entra ID → Registros de aplicaciones → Nuevo registro.

  2. Configure los siguientes ajustes:

    Opción Valor
    Name Amazon Quick Desktop
    Tipos de cuentas compatibles Solo cuentas de este directorio organizativo (arrendatario único)
    Plataforma de URL de redireccionamiento Pública client/native (móvil y de escritorio)
    URL de redireccionamiento http://localhost:18080

  3. Elija Registro.

  4. En la página de descripción general, anote el ID de la aplicación (cliente) y el ID del directorio (inquilino). Necesitará estos valores en los pasos posteriores.

Se trata de un registro de cliente público. Entra ID aplica automáticamente el PKCE para los clientes públicos.

Para configurar los permisos de la API

  1. En el registro de la aplicación, vaya a Permisos de API → Añadir un permiso → Microsoft Graph → Permisos delegados.

  2. Agregue los siguientes permisos:openid,, emailprofile,offline_access.

  3. Elija Añadir permisos.

  4. Si su organización lo requiere, elija Otorgar el consentimiento de administrador para [su organización].

Para configurar los ajustes de autenticación

  1. En el registro de la aplicación, vaya a Autenticación.

  2. En Configuración avanzada, establece Permitir flujos de clientes públicos en .

  3. Verifica http://localhost:18080 que aparezca en la lista de Aplicaciones móviles y de escritorio.

  4. Seleccione Save.

Los puntos finales del OIDC utilizan el siguiente formato. <TENANT_ID>Sustitúyalo por tu ID de directorio (inquilino).

Campo Valor
URL del emisor https://login.microsoftonline.com/<TENANT_ID>/v2.0
Punto de conexión de autorización https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/authorize
Punto de conexión de token https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/token
JWKS URI https://login.microsoftonline.com/<TENANT_ID>/discovery/v2.0/keys

Okta

Para obtener instrucciones detalladas, consulte Crear integraciones de aplicaciones OpenID Connect en la documentación de Okta.

Para crear la aplicación nativa OIDC de Okta

  1. En la consola de administración de Okta, vaya a Aplicaciones → Aplicaciones → Crear integración de aplicaciones.

  2. Seleccione OIDC - OpenID Connect como método de inicio de sesión.

  3. Seleccione Aplicación nativa como tipo de aplicación y, a continuación, elija Siguiente.

  4. Configure los siguientes ajustes:

    Opción Valor
    Nombre de la integración de la aplicación Amazon Quick Desktop
    Tipo de subvención Código de autorización y token de actualización
    Sign-in redirigir los URI http://localhost:18080
    Asignaciones Asigne a los usuarios o grupos apropiados

  5. Seleccione Save.

  6. En la pestaña General, anote el ID de cliente.

Okta aplica automáticamente el PKCE (S256) para las aplicaciones nativas.

Para configurar los ámbitos

  1. En la consola de administración de Okta, vaya a Seguridad → API → Servidores de autorización y seleccione su servidor de autorización (por ejemplo, el predeterminado).

  2. En la pestaña Ámbitos, compruebe que los siguientes ámbitos estén activados:openid,,,email. profile offline_access

  3. En la pestaña Políticas de acceso, compruebe que la política asignada a esta aplicación permita los tipos de Refresh Token concesión Authorization Code y.

Para comprobar la configuración de autenticación

  1. En la integración de aplicaciones, vaya a la pestaña General.

  2. En Configuración general, confirme que el tipo de aplicación es nativo, que la autenticación del cliente es Ninguna (cliente público) y que se requiere el PKCE.

  3. En INICIO DE SESIÓN, confirme http://localhost:18080 que aparezca como URI de redireccionamiento.

  4. Selecciona Guardar si has realizado algún cambio.

Los puntos finales del OIDC utilizan el siguiente formato. <OKTA_DOMAIN>Sustitúyalo por tu dominio de Okta (por ejemplo,). your-org.okta.com

Campo Valor
URL del emisor https://<OKTA_DOMAIN>/oauth2/default
Punto de conexión de autorización https://<OKTA_DOMAIN>/oauth2/default/v1/authorize
Punto de conexión de token https://<OKTA_DOMAIN>/oauth2/default/v1/token
JAKS URI https://<OKTA_DOMAIN>/oauth2/default/v1/keys

Ping Identity

Elige las instrucciones para tu producto de Ping Identity.

PingFederate

Para obtener instrucciones detalladas, consulte Configuración de una aplicación OIDC PingFederate en la documentación de Ping Identity.

Para crear el cliente OIDC PingFederate

  1. En la consola PingFederate administrativa, vaya a Aplicaciones → OAuth → Clientes y elija Agregar cliente.

  2. En el campo ID de cliente, introduce un identificador único para este cliente.

  3. En el campo Nombre, escriba Amazon Quick Desktop.

  4. Para la autenticación del cliente, seleccione Ninguna.

  5. En la sección URI de redirección, introduzca http://localhost:18080 y seleccione Añadir.

  6. En la lista de tipos de concesión permitidos, seleccione Código de autorización y Actualice el token.

  7. Seleccione la casilla de verificación Requerir clave de prueba para el intercambio de códigos (PKCE).

  8. En Common Scopes, conceda lo siguiente:openid,,,email. profile offline_access

  9. Seleccione Save.

  10. Anote el ID de cliente. Necesitará este valor en pasos posteriores.

Para configurar la política de OIDC

  1. En la consola PingFederate administrativa, vaya a Aplicaciones → OAuth → OpenID Connect Policy Management.

  2. Seleccione la política OIDC asociada a este cliente o elija Agregar política para crear una.

  3. Seleccione la casilla de verificación Return ID Token On Refresh Grant. Esto garantiza que la aplicación de escritorio reciba un token de identificación nuevo con las notificaciones actuales al actualizar la sesión.

  4. En el apartado Contrato de atributos, comprueba que la email afirmación esté incluida y asignada al atributo de usuario correspondiente en tu fuente de autenticación. La email afirmación debe estar presente en los tokens emitidos durante la autenticación inicial y la concesión de los tokens de actualización.

  5. Seleccione Save.

Sus puntos de conexión OIDC utilizan el siguiente formato. Sustitúyalo por el <PINGFEDERATE_HOST> nombre de host del servidor. PingFederate

Campo Valor
URL del emisor https://<PINGFEDERATE_HOST>
Punto de conexión de autorización https://<PINGFEDERATE_HOST>/as/authorization.oauth2
Punto de conexión de token https://<PINGFEDERATE_HOST>/as/token.oauth2
JWKS URI https://<PINGFEDERATE_HOST>/pf/JWKS

PingOne

Para obtener instrucciones detalladas, consulte Edición de una aplicación nativa en la documentación de Ping Identity.

Para crear la aplicación nativa del PingOne OIDC

  1. En la consola de PingOne administración, vaya a Aplicaciones → Aplicaciones y seleccione el icono +.

  2. Amazon Quick DesktopIntrodúzcalo como nombre de la aplicación.

  3. En la sección Tipo de aplicación, seleccione Nativa y, a continuación, seleccione Guardar.

  4. En la pestaña Configuración, elija Editar y configure los siguientes ajustes:

    Opción Valor
    Tipo de respuesta Código
    Tipo de subvención Código de autorización y token de actualización
    Cumplimiento de la PKCE S256
    URI de redirección http://localhost:18080
    Método de autenticación Token Endpoint Ninguno

  5. Seleccione Save.

  6. En la pestaña Recursos, agregue los siguientes ámbitos:openid,, emailprofile,offline_access.

  7. En la pestaña Asignaciones de atributos, compruebe que el email atributo esté asignado a la dirección de correo electrónico del usuario.

  8. Cambie la aplicación a Habilitada.

  9. Anote el ID de cliente y el ID de entorno en la pestaña Configuración.

nota

El PingOne dominio varía según la región. En los ejemplos que aparecen a continuación se utiliza.com. Sustituya el dominio por el de su entorno (por ejemplo,.ca,.eu, o.asia).

Sus puntos de conexión OIDC utilizan el siguiente formato. Sustitúyalo por <ENV_ID> el ID de su entorno. PingOne

Campo Valor
URL del emisor https://auth.pingone.com/<ENV_ID>/as
Punto de conexión de autorización https://auth.pingone.com/<ENV_ID>/as/authorize
Punto de conexión de token https://auth.pingone.com/<ENV_ID>/as/token
JAKS URI https://auth.pingone.com/<ENV_ID>/as/jwks

Paso 2: Cree un emisor de token de confianza en el IAM Identity Center

nota

Este paso solo es necesario si tu cuenta de Amazon Quick utiliza AWS Identity and Access Management Identity Center para la autenticación. Si su cuenta utiliza la federación de IAM, omita este paso y continúe con el paso 3.

El TTI indica al Centro de Identidad de IAM que confíe en los tokens de su IdP y cómo asignarlos a los usuarios del Centro de Identidad de IAM. Puede crear el TTI en la consola de AWS Identity and Access Management Identity Center o con la AWS CLI.

Para obtener más información, consulte Configuración de un emisor de token de confianza en la Guía del usuario de AWS Identity and Access Management Identity Center.

Para crear el TTI en la consola de IAM Identity Center

  1. Abra la consola de AWS Identity and Access Management Identity Center.

  2. Seleccione Configuración.

  3. En la página de configuración, seleccione la pestaña Autenticación.

  4. En Emisores de tokens de confianza, seleccione Crear emisor de tokens de confianza.

  5. En la página Configurar un IdP externo para emitir tokens de confianza, en Detalles del emisor de token de confianza, configure lo siguiente:

    Campo Valor
    URL del emisor La URL del emisor del OIDC del paso 1 (consulta la tabla siguiente)
    Nombre del emisor del token de confianza AmazonQuickDesktop

  6. En Atributos del mapa, configure el mapeo de atributos que el Centro de Identidad de IAM utiliza para buscar usuarios:

    Campo Valor
    Atributo del proveedor de identidad La afirmación en el token de IdP que identifica al usuario (por ejemplo,) email
    Atributo del Centro de Identidad de IAM El atributo correspondiente en el almacén de identidades del Centro de Identidad de IAM (por ejemplo,) emails.value
    importante

    El atributo del proveedor de identidad debe coincidir con una afirmación que su IdP incluya en el token, y el atributo del Centro de identidad de IAM debe identificar de forma exclusiva al usuario en su almacén de identidades. El mapeo más común es emailemails.value, pero su organización puede usar un atributo diferente, como una sub afirmación personalizada. El valor de la declaración del token debe coincidir exactamente con el valor del atributo correspondiente en el Centro de Identidad de IAM.

  7. Seleccione Crear emisor de tokens de confianza.

  8. Anote el ARN del emisor del token de confianza. Lo necesitará en el siguiente paso.

Como alternativa, para crear el TTI con la AWS CLI, ejecute el siguiente comando. <IDC_INSTANCE_ARN>Sustitúyala por el Amazon Resource Name (ARN) de la instancia de IAM Identity Center <ISSUER_URL> y por la URL del emisor del paso 1.

aws sso-admin create-trusted-token-issuer \
  --instance-arn <IDC_INSTANCE_ARN> \
  --name "AmazonQuickDesktop" \
  --trusted-token-issuer-type OIDC_JWT \
  --trusted-token-issuer-configuration '{
    "OidcJwtConfiguration": {
      "IssuerUrl": "<ISSUER_URL>",
      "ClaimAttributePath": "email",
      "IdentityStoreAttributePath": "emails.value",
      "JwksRetrievalOption": "OPEN_ID_DISCOVERY"
    }
  }'

Anote lo que aparece en el TrustedTokenIssuerArn resultado. Lo necesitará en el siguiente paso.

En la siguiente tabla se muestra la URL del emisor de cada proveedor de identidad.

Proveedor de identidades URL del emisor
ID de Microsoft Entra https://login.microsoftonline.com/<TENANT_ID>/v2.0
Okta https://<OKTA_DOMAIN>/oauth2/default
PingFederate https://<PINGFEDERATE_HOST>
PingOne https://auth.pingone.com/<ENV_ID>/as

Paso 3: Configurar el acceso a la extensión en la consola de administración de Amazon Quick

Para añadir la extensión, acceda

  1. Inicia sesión en la consola de administración de Amazon Quick.

  2. En Permisos, selecciona Acceso a extensiones.

  3. Selecciona Añadir acceso a extensiones.

  4. (Opcional) Si su cuenta utiliza el Centro de identidad de IAM, aparece el paso de configuración del emisor de token confiable. Introduzca lo siguiente:

    Campo Valor
    ARN del emisor de token de confianza El del paso TrustedTokenIssuerArn 2
    Notificación de audiencia El ID de cliente del paso 1

    Este paso no aparece en las cuentas que utilizan la federación de IAM.

  5. Seleccione la aplicación de escritorio para la extensión Quick y pulse Siguiente.

  6. Introduce los detalles de la extensión Amazon Quick:

    Campo Valor
    Name Un nombre para el acceso a esta extensión
    Description (Descripción) (Opcional) Una descripción
    URL del emisor La URL del emisor del OIDC del paso 1
    Punto final de autorización La URL del punto de enlace de autorización del OIDC del paso 1
    Punto final del token La URL del punto final del token OIDC del paso 1
    JWKS URI El URI del conjunto de claves web JSON del paso 1
    ID de cliente El identificador de cliente OIDC del paso 1

  7. Elija Añadir.

    importante

    Compruebe que todos los valores son correctos antes de elegir Añadir. La configuración de acceso a la extensión no se puede editar después de la creación. Si algún valor es incorrecto, debe eliminar el acceso a la extensión y crear uno nuevo.

Para crear la extensión

  1. En la consola Amazon Quick, en el menú de navegación de la izquierda, en Conectar aplicaciones y datos, selecciona Extensiones.

  2. Selecciona Añadir extensión.

  3. Seleccione la aplicación de escritorio para acceder rápidamente a la extensión que creó anteriormente. Elija Next (Siguiente).

  4. Seleccione Create (Crear).

Paso 4: Descargue y distribuya la aplicación de escritorio

Tras configurar el inicio de sesión empresarial, compruebe la configuración descargando e instalando usted mismo la aplicación de escritorio. Selecciona el inicio de sesión empresarial en la pantalla de inicio de sesión y autentícate con tus credenciales corporativas para confirmar que la configuración funciona. Para ver los pasos de descarga e instalación, consulte. Introducción

Si se produce un error al iniciar sesión, compruebe los valores que ingresó en el paso 3 con los puntos finales del OIDC del paso 1. Si algún valor es incorrecto, elimine el acceso a la extensión en Permisos → Acceso a la extensión y repita el paso 3 con los valores correctos.

Tras comprobar la configuración, pida a los usuarios que consulten las Introducción instrucciones de descarga, instalación e inicio de sesión.

Resolución de problemas

Error redirect_mismatch

Compruebe que el URI de redireccionamiento de su IdP sea exacto http://localhost:18080 y esté configurado como un cliente público o una plataforma nativa.

No se encontró el usuario después de iniciar sesión

El correo electrónico del token de IdP debe coincidir exactamente con el correo electrónico de un usuario del IAM Identity Center. Compruebe que el usuario esté aprovisionado y que las direcciones de correo electrónico sean idénticas en ambos sistemas.

Fallo en la validación del token

Compruebe que la URL del emisor en el TTI coincide exactamente con la URL del emisor en la configuración OIDC de su IdP.

Errores de consentimiento o permiso (Microsoft Entra ID)

Otorgue el consentimiento del administrador para los permisos de API necesarios en el portal de Azure. Vaya a la página de permisos de la API del registro de la aplicación y elija Otorgar el consentimiento de administrador para [su organización].

La sesión caduca con frecuencia

Compruebe que su IdP esté configurado para emitir tokens de actualización. Para Microsoft Entra ID, se requiere el offline_access alcance. En el caso de Okta, el tipo de concesión Refresh Token debe estar activado y el offline_access ámbito debe estar concedido. Para Ping Identity, el tipo de concesión Refresh Token debe estar habilitado y el offline_access alcance debe estar otorgado. Para ello PingFederate, compruebe también que la concesión Return ID Token On Refresh esté seleccionada en la política de la OIDC.

invalid_scopeerror (Okta)

Compruebe que offline_access esté activado en su servidor de autorización. Vaya a Seguridad → API → Servidores de autorización → Predeterminado → Ámbitos y confirme que el ámbito está presente. Compruebe también que la política de acceso de la aplicación permita el tipo de concesión Refresh Token.

La aplicación no está habilitada (PingOne)

Si la autenticación falla inmediatamente sin llegar a la página de inicio de PingOne sesión, comprueba que el conmutador de la aplicación esté activado en la consola de PingOne administración.

Falta la notificación por correo electrónico tras la actualización () PingFederate

Compruebe que la email reclamación esté incluida en el contrato de atributos de la política de la OIDC y que esté asignada al atributo de usuario correcto. El mapeo debe generar la email solicitud tanto para la autenticación inicial como para la concesión del token de actualización.