View a markdown version of this page

Configurando o Amazon Quick no desktop para implantações corporativas - Amazon Quick
Como funciona o login corporativoPré-requisitosEtapa 1: Crie um aplicativo OIDC em seu provedor de identidadeEtapa 2: criar um emissor de token confiável no IAM Identity CenterEtapa 3: Configurar o acesso à extensão no console de gerenciamento Amazon QuickEtapa 4: Baixe e distribua o aplicativo de desktopSolução de problemas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurando o Amazon Quick no desktop para implantações corporativas

   Aplica-se a: Enterprise Edition e Standard Edition 
   Público-alvo: administradores de sistemas 

Para usar o Amazon Quick no desktop para implantações corporativas, os administradores devem configurar o login único corporativo (SSO) para que os usuários da organização possam fazer login com suas credenciais corporativas. Essa configuração conecta o provedor de identidade (IdP) compatível com o OpenID Connect (OIDC) da sua organização ao Amazon Quick.

nota

Se você estiver usando uma conta gratuita ou Plus, esta seção não se aplica a você. Avance para Introdução.

A configuração envolve as seguintes etapas, na ordem:

  1. Crie um aplicativo OIDC em seu IdP.

  2. Crie um Trusted Token Issuer (TTI) no IAM Identity Center (necessário somente para contas que usam o IAM Identity Center para autenticação).

  3. Configure o acesso à extensão no console de gerenciamento Amazon Quick.

  4. Distribua o aplicativo de desktop para seus usuários.

Este guia fornece IdP-specific instruções para Microsoft Entra ID, Okta e Ping Identity (PingFederate e PingOne). Veja as instruções para seu provedor de identidade específico abaixo.

Como funciona o login corporativo

O aplicativo de desktop Amazon Quick usa o protocolo OIDC para autenticar usuários. Quando um usuário escolhe o login Enterprise, o aplicativo abre uma janela do navegador e redireciona para o endpoint de autorização do seu IdP. O aplicativo então troca o código de autorização resultante por tokens usando o Proof Key for Code Exchange (PKCE).

O Amazon Quick valida o token e mapeia o usuário para uma identidade em sua conta. Para contas que usam o IAM Identity Center, o TTI mapeia a email declaração no token OIDC para o emails.value atributo no repositório de identidades. Para contas que usam a federação do IAM, o Amazon Quick mapeia o usuário diretamente por e-mail. Em ambos os casos, o endereço de e-mail em seu IdP deve corresponder exatamente ao endereço de e-mail do usuário no Amazon Quick.

Pré-requisitos

Antes de começar, verifique se você tem o seguinte:

  • Uma AWS conta com uma assinatura ativa do Amazon Quick que usa o IAM Identity Center ou a federação do IAM para autenticação. A região de origem da conta Amazon Quick (região de identidade) deve ser Leste dos EUA (Norte da Virgínia) (us-east-1).

  • Acesso de administrador à sua conta Amazon Quick.

  • Acesso ao seu IdP com permissões para criar registros de aplicativos OIDC.

Importante

A região de origem da conta Amazon Quick (região de identidade) deve ser Leste dos EUA (Norte da Virgínia) (us-east-1). Toda inferência para o aplicativo de desktop também usa essa região. Embora o Amazon Quick na web possa ser usado em outras regiões, o aplicativo de desktop se conecta ao us-east-1 para autenticação e inferência.

Etapa 1: Crie um aplicativo OIDC em seu provedor de identidade

Registre um aplicativo cliente público do OIDC em seu IdP. O aplicativo de desktop Amazon Quick usa esse cliente para autenticar usuários por meio do fluxo de código de autorização com o PKCE. Nenhum segredo do cliente é necessário.

O aplicativo de desktop requer tokens de atualização para manter sessões de longa duração. A forma como os tokens de atualização são configurados depende do seu IdP:

  • Microsoft Entra ID — O offline_access escopo deve ser concedido. Sem isso, os usuários devem se autenticar novamente com frequência.

  • Okta — O tipo de concessão do Refresh Token deve estar ativado no aplicativo e o offline_access escopo deve ser concedido.

  • Identidade de ping — O tipo de concessão do token de atualização deve estar ativado e o offline_access escopo deve ser concedido. Pois PingFederate, a configuração Return ID Token On Refresh Grant também deve estar habilitada na política do OIDC.

Escolha as instruções para seu provedor de identidade.

Microsoft Entra ID

Para obter instruções detalhadas, consulte Registrar um aplicativo na documentação do Microsoft Entra.

Para criar o registro do aplicativo Entra ID

  1. No portal do Azure, navegue até Microsoft Entra ID → Registros de aplicativos → Novo registro.

  2. Configure as seguintes opções:

    Configuração Valor
    Nome Amazon Quick Desktop
    Tipos de conta compatíveis Contas somente neste diretório organizacional (inquilino único)
    Plataforma de redirecionamento de URI Público client/native (móvel e desktop)
    URI de redirecionamento http://localhost:18080

  3. Escolha Registrar.

  4. Na página Visão geral, anote o ID do aplicativo (cliente) e o ID do diretório (locatário). Você precisará desses valores em etapas posteriores.

Este é um registro público de cliente. O PKCE é aplicado automaticamente pelo Entra ID para clientes públicos.

Para configurar as permissões da API

  1. No registro do aplicativo, navegue até Permissões da API → Adicionar uma permissão → Microsoft Graph → Permissões delegadas.

  2. Adicione as seguintes permissões:openid,email,profile,offline_access.

  3. Escolha Adicionar permissões.

  4. Se sua organização exigir, escolha Conceder consentimento do administrador para [sua organização].

Para definir as configurações de autenticação

  1. No registro do aplicativo, navegue até Autenticação.

  2. Em Configurações avançadas, defina Permitir fluxos de clientes públicos como Sim.

  3. Verifique se http://localhost:18080 está listado em Aplicativos móveis e de desktop.

  4. Escolha Salvar.

Seus endpoints do OIDC usam o seguinte formato. <TENANT_ID>Substitua pelo ID do seu diretório (inquilino).

Campo Valor
URL do emissor https://login.microsoftonline.com/<TENANT_ID>/v2.0
Endpoint de Autorização https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/authorize
Endpoint de token https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/token
JAKS URI https://login.microsoftonline.com/<TENANT_ID>/discovery/v2.0/keys

Okta

Para obter instruções detalhadas, consulte Criar integrações do aplicativo OpenID Connect na documentação do Okta.

Para criar o aplicativo nativo Okta OIDC

  1. No Okta Admin Console, navegue até Aplicativos → Aplicativos → Criar integração de aplicativos.

  2. Selecione OIDC - OpenID Connect como método de login.

  3. Selecione Aplicativo nativo como o tipo de aplicativo e escolha Avançar.

  4. Configure as seguintes opções:

    Configuração Valor
    Nome da integração do aplicativo Amazon Quick Desktop
    Tipo de subsídio Código de autorização e token de atualização
    Sign-in redirecionar URIs http://localhost:18080
    Atribuições Atribua aos usuários ou grupos apropriados

  5. Escolha Salvar.

  6. Na guia Geral, anote a ID do cliente.

O PKCE (S256) é aplicado automaticamente pelo Okta para aplicativos nativos.

Para configurar escopos

  1. No Okta Admin Console, navegue até Segurança → API → Servidores de Autorização e selecione seu servidor de autorização (por exemplo, padrão).

  2. Na guia Escopos, verifique se os seguintes escopos estão habilitados:openid,,email,profile. offline_access

  3. Na guia Políticas de acesso, verifique se a política atribuída a esse aplicativo permite os tipos de Refresh Token concessão Authorization Code e.

Para verificar as configurações de autenticação

  1. Na integração do aplicativo, acesse a guia Geral.

  2. Em Configurações gerais, confirme se o tipo de aplicativo é nativo, a autenticação do cliente é Nenhuma (cliente público) e se o PKCE é obrigatório.

  3. Em LOGIN, confirme se http://localhost:18080 está listado como um URI de redirecionamento.

  4. Escolha Salvar se você tiver feito alguma alteração.

Seus endpoints do OIDC usam o seguinte formato. <OKTA_DOMAIN>Substitua pelo seu domínio Okta (por exemplo,your-org.okta.com).

Campo Valor
URL do emissor https://<OKTA_DOMAIN>/oauth2/default
Endpoint de Autorização https://<OKTA_DOMAIN>/oauth2/default/v1/authorize
Endpoint de token https://<OKTA_DOMAIN>/oauth2/default/v1/token
JAKS URI https://<OKTA_DOMAIN>/oauth2/default/v1/keys

Ping Identity

Escolha as instruções para o seu produto Ping Identity.

PingFederate

Para obter instruções detalhadas, consulte Configurando um aplicativo OIDC PingFederate na documentação do Ping Identity.

Para criar o cliente PingFederate OIDC

  1. No console PingFederate administrativo, vá para Aplicativos → OAuth → Clientes e escolha Adicionar cliente.

  2. No campo ID do cliente, insira um identificador exclusivo para esse cliente.

  3. No campo Name (Nome), insira Amazon Quick Desktop.

  4. Em Autenticação do cliente, selecione Nenhuma.

  5. Na seção URI de redirecionamento, insira http://localhost:18080 e escolha Adicionar.

  6. Na lista Tipos de concessão permitidos, selecione Código de autorização e Token de atualização.

  7. Marque a caixa de seleção Exigir chave de prova para troca de código (PKCE).

  8. Em Escopos comuns, conceda o seguinte:openid,, emailprofile,offline_access.

  9. Escolha Salvar.

  10. Anote a ID do cliente. Você precisará desse valor em etapas posteriores.

Para configurar a política do OIDC

  1. No console PingFederate administrativo, vá para Aplicativos → OAuth → Gerenciamento de políticas do OpenID Connect.

  2. Selecione a política do OIDC associada a esse cliente ou escolha Adicionar política para criar uma.

  3. Marque a caixa de seleção Return ID Token On Refresh Grant. Isso garante que o aplicativo de desktop receba um novo token de ID com as declarações atuais ao atualizar a sessão.

  4. Em Contrato de atributo, verifique se a email declaração está incluída e mapeada para o atributo de usuário correspondente na sua fonte de autenticação. A email reivindicação deve estar presente nos tokens emitidos durante a autenticação inicial e a concessão do token de atualização.

  5. Escolha Salvar.

Seus endpoints do OIDC usam o seguinte formato. <PINGFEDERATE_HOST>Substitua pelo nome PingFederate do host do seu servidor.

Campo Valor
URL do emissor https://<PINGFEDERATE_HOST>
Endpoint de Autorização https://<PINGFEDERATE_HOST>/as/authorization.oauth2
Endpoint de token https://<PINGFEDERATE_HOST>/as/token.oauth2
JAKS URI https://<PINGFEDERATE_HOST>/pf/JWKS

PingOne

Para obter instruções detalhadas, consulte Editando um aplicativo — Nativo na documentação do Ping Identity.

Para criar o aplicativo nativo do PingOne OIDC

  1. No console de PingOne administração, vá para Aplicativos → Aplicativos e escolha o ícone +.

  2. Insira Amazon Quick Desktop como nome do aplicativo.

  3. Na seção Tipo de aplicativo, selecione Nativo e escolha Salvar.

  4. Na guia Configuração, escolha Editar e defina as seguintes configurações:

    Configuração Valor
    Tipo de resposta Código
    Tipo de subsídio Código de autorização e token de atualização
    Aplicação do PKCE S256
    Redirect URIs (Redirecionar URIs) http://localhost:18080
    Método de autenticação de endpoint de token Nenhum

  5. Escolha Salvar.

  6. Na guia Recursos, adicione os seguintes escopos:openid,, emailprofile,offline_access.

  7. Na guia Mapeamentos de atributos, verifique se o email atributo está mapeado para o endereço de e-mail do usuário.

  8. Alterne o aplicativo para Ativado.

  9. Observe a ID do cliente e a ID do ambiente na guia Configuração.

nota

O PingOne domínio varia de acordo com a região. Os exemplos abaixo usam.com. Substitua o domínio pelo do seu ambiente (por exemplo.ca,.eu, ou.asia).

Seus endpoints do OIDC usam o seguinte formato. <ENV_ID>Substitua pelo ID PingOne do seu ambiente.

Campo Valor
URL do emissor https://auth.pingone.com/<ENV_ID>/as
Endpoint de Autorização https://auth.pingone.com/<ENV_ID>/as/authorize
Endpoint de token https://auth.pingone.com/<ENV_ID>/as/token
JAKS URI https://auth.pingone.com/<ENV_ID>/as/jwks

Etapa 2: criar um emissor de token confiável no IAM Identity Center

nota

Essa etapa só é necessária se sua conta Amazon Quick usar o AWS Identity and Access Management Identity Center para autenticação. Se sua conta usa a federação do IAM, pule essa etapa e vá para a Etapa 3.

O TTI diz ao IAM Identity Center que confie nos tokens do seu IdP e como mapeá-los para os usuários do IAM Identity Center. Você pode criar o TTI no console do AWS Identity and Access Management Identity Center ou com a AWS CLI.

Para obter mais informações, consulte Configurando um emissor de token confiável no Guia do usuário do AWS Identity and Access Management Identity Center.

Para criar o TTI no console do IAM Identity Center

  1. Abra o console do AWS Identity and Access Management Identity Center.

  2. Escolha Configurações.

  3. Na página Configurações, escolha a guia Autenticação.

  4. Em Emissores de token confiáveis, escolha Criar emissor de tokens confiáveis.

  5. Na página Configurar um IdP externo para emitir tokens confiáveis, em Detalhes do emissor de token confiável, configure o seguinte:

    Campo Valor
    URL do emissor O URL do emissor do OIDC da Etapa 1 (veja a tabela abaixo)
    Nome do emissor de token confiável AmazonQuickDesktop

  6. Em Atributos do mapa, configure o mapeamento de atributos que o IAM Identity Center usa para pesquisar usuários:

    Campo Valor
    Atributo do provedor de identidade A declaração no token IdP que identifica o usuário (por exemplo,) email
    Atributo do IAM Identity Center O atributo correspondente no repositório de identidades do IAM Identity Center (por exemplo,emails.value)
    Importante

    O atributo do provedor de identidade deve corresponder a uma afirmação que seu IdP inclui no token, e o atributo do IAM Identity Center deve identificar exclusivamente o usuário em seu repositório de identidades. O mapeamento mais comum é emailemails.value, mas sua organização pode usar um atributo diferente, como sub uma declaração personalizada. O valor na declaração de token deve corresponder exatamente ao valor do atributo correspondente no IAM Identity Center.

  7. Escolha Criar emissor de tokens confiáveis.

  8. Observe o ARN do emissor de token confiável. Você precisa dele na próxima etapa.

Como alternativa, para criar o TTI com a AWS CLI, execute o comando a seguir. <IDC_INSTANCE_ARN>Substitua pelo Amazon Resource Name (ARN) da instância do IAM Identity Center e <ISSUER_URL> pelo URL do emissor da Etapa 1.

aws sso-admin create-trusted-token-issuer \
  --instance-arn <IDC_INSTANCE_ARN> \
  --name "AmazonQuickDesktop" \
  --trusted-token-issuer-type OIDC_JWT \
  --trusted-token-issuer-configuration '{
    "OidcJwtConfiguration": {
      "IssuerUrl": "<ISSUER_URL>",
      "ClaimAttributePath": "email",
      "IdentityStoreAttributePath": "emails.value",
      "JwksRetrievalOption": "OPEN_ID_DISCOVERY"
    }
  }'

Observe o TrustedTokenIssuerArn da saída. Você precisa dele na próxima etapa.

A tabela a seguir lista a URL do emissor para cada provedor de identidade.

Provedor de identidades URL do emissor
Microsoft Entra ID https://login.microsoftonline.com/<TENANT_ID>/v2.0
Okta https://<OKTA_DOMAIN>/oauth2/default
PingFederate https://<PINGFEDERATE_HOST>
PingOne https://auth.pingone.com/<ENV_ID>/as

Etapa 3: Configurar o acesso à extensão no console de gerenciamento Amazon Quick

Para adicionar a extensão, acesse

  1. Faça login no console de gerenciamento Amazon Quick.

  2. Em Permissões, escolha Acesso à extensão.

  3. Escolha Adicionar acesso à extensão.

  4. (Opcional) Se sua conta usa o IAM Identity Center, a etapa de configuração do Trusted Token Issuer será exibida. Insira o seguinte:

    Campo Valor
    ARN do emissor de token confiável A TrustedTokenIssuerArn partir da Etapa 2
    Declaração de Aud O ID do cliente da etapa 1

    Essa etapa não aparece para contas que usam a federação do IAM.

  5. Selecione o aplicativo Desktop para a extensão Quick e escolha Avançar.

  6. Insira os detalhes da extensão Amazon Quick:

    Campo Valor
    Nome Um nome para esse acesso de extensão
    Description (Opcional) Uma descrição
    URL do emissor O URL do emissor do OIDC da Etapa 1
    Ponto final de autorização O URL do endpoint de autorização do OIDC da Etapa 1
    Ponto final do token O URL do endpoint do token OIDC da Etapa 1
    JAKS URI O URI do conjunto de chaves Web JSON da etapa 1
    ID de cliente O identificador do cliente OIDC da Etapa 1

  7. Escolha Adicionar.

    Importante

    Verifique se todos os valores estão corretos antes de escolher Adicionar. A configuração de acesso à extensão não pode ser editada após a criação. Se algum valor estiver incorreto, você deverá excluir o acesso à extensão e criar um novo.

Para criar a extensão

  1. No console do Amazon Quick, no painel de navegação à esquerda, em Connect apps and data, escolha Extensions.

  2. Escolha Adicionar extensão.

  3. Selecione o aplicativo Desktop para acesso rápido à extensão que você criou anteriormente. Escolha Próximo.

  4. Escolha Criar.

Etapa 4: Baixe e distribua o aplicativo de desktop

Depois de configurar o login corporativo, verifique a configuração baixando e instalando você mesmo o aplicativo de desktop. Escolha Login corporativo na tela de login e autentique-se com suas credenciais corporativas para confirmar se a configuração está funcionando. Para obter as etapas de download e instalação, consulteIntrodução.

Se o login falhar, verifique os valores inseridos na Etapa 3 em relação aos endpoints do OIDC da Etapa 1. Se algum valor estiver incorreto, exclua o acesso à extensão em Permissões → Acesso à extensão e repita a Etapa 3 com os valores corretos.

Depois de verificar a configuração, direcione seus usuários Introdução para obter instruções de download, instalação e login.

Solução de problemas

Erro redirect_mismatch

Verifique se o URI de redirecionamento em seu IdP é http://localhost:18080 exato e está configurado como um cliente público ou plataforma nativa.

Usuário não encontrado após o login

O e-mail no token do IdP deve corresponder exatamente ao e-mail de um usuário no IAM Identity Center. Verifique se o usuário está provisionado e se os endereços de e-mail são idênticos nos dois sistemas.

Falha na validação do token

Verifique se o URL do emissor no TTI corresponde exatamente ao URL do emissor na configuração do OIDC do seu IdP.

Erros de consentimento ou permissão (Microsoft Entra ID)

Conceda o consentimento do administrador para as permissões de API necessárias no portal do Azure. Navegue até a página de permissões de API do registro do aplicativo e escolha Conceder consentimento do administrador para [sua organização].

A sessão expira com frequência

Verifique se seu IdP está configurado para emitir tokens de atualização. Para o Microsoft Entra ID, o offline_access escopo é obrigatório. Para Okta, o tipo de concessão do Refresh Token deve estar habilitado e o offline_access escopo deve ser concedido. Para o Ping Identity, o tipo de concessão do Refresh Token deve estar ativado e o offline_access escopo deve ser concedido. Para PingFederate, verifique também se Return ID Token On Refresh Grant está selecionado na política do OIDC.

invalid_scopeerro (Okta)

Verifique se offline_access está habilitado no seu servidor de autorização. Navegue até Segurança → API → Servidores de autorização → padrão → Escopos e confirme se o escopo está presente. Verifique também se a política de acesso do aplicativo permite o tipo de concessão do Token de Atualização.

Aplicativo não habilitado (PingOne)

Se a autenticação falhar imediatamente sem PingOne acessar a página de login, verifique se a opção do aplicativo está definida como Ativado no console do PingOne administrador.

Declaração de e-mail ausente após a atualização () PingFederate

Verifique se a email reivindicação está incluída no contrato de atributos da política do OIDC e mapeada para o atributo correto do usuário. O mapeamento deve produzir a email declaração tanto para a autenticação inicial quanto para as concessões de token de atualização.