View a markdown version of this page

Configuration d'Amazon Quick sur ordinateur pour les déploiements en entreprise - Amazon Quick
Comment fonctionne la connexion d'entrepriseConditions préalablesÉtape 1 : créer une application OIDC dans votre fournisseur d'identitéÉtape 2 : configurer l'accès à l'extension dans la console de gestion Amazon QuickÉtape 3 : Téléchargez et distribuez l'application de bureauRésolution des problèmes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration d'Amazon Quick sur ordinateur pour les déploiements en entreprise

   S’applique à : édition Enterprise et édition Standard 
   Public cible : administrateurs système 

Pour utiliser Amazon Quick sur ordinateur pour les déploiements en entreprise, les administrateurs doivent configurer l'authentification unique d'entreprise (SSO) afin que les utilisateurs de l'organisation puissent se connecter avec leurs informations d'identification professionnelles. Cette configuration connecte le fournisseur d'identité compatible OpenID Connect (OIDC) de votre entreprise à Amazon Quick.

Note

Si vous utilisez un compte Free ou Plus, cette section ne s'applique pas à vous. Passez au Prise en main.

La configuration implique les étapes suivantes, dans l'ordre :

  1. Créez une application OIDC dans votre IdP.

  2. Configurez l'accès à l'extension dans la console de gestion Amazon Quick.

  3. Distribuez l'application de bureau à vos utilisateurs.

Ce guide fournit des IdP-specific instructions pour Microsoft Entra ID, Okta et Ping Identity (PingFederate et PingOne). Consultez les instructions relatives à votre fournisseur d'identité spécifique ci-dessous.

Comment fonctionne la connexion d'entreprise

L'application de bureau Amazon Quick utilise le protocole OIDC pour authentifier les utilisateurs. Lorsqu'un utilisateur choisit la connexion Enterprise, l'application ouvre une fenêtre de navigateur et redirige vers le point de terminaison d'autorisation de votre IdP. L'application échange ensuite le code d'autorisation obtenu contre des jetons à l'aide de Proof Key for Code Exchange (PKCE).

Amazon Quick valide le jeton et associe l'utilisateur à une identité de votre compte. L'adresse e-mail de votre IdP doit correspondre exactement à l'adresse e-mail de l'utilisateur dans Amazon Quick.

Conditions préalables

Avant de commencer, vérifiez que vous disposez des éléments suivants :

  • Un AWS compte avec un abonnement Amazon Quick actif. La région d'origine du compte Amazon Quick (région d'identité) doit être USA Est (Virginie du Nord) (us-east-1). Tous les types d'identité sont pris en charge, y compris les utilisateurs IAM Identity Center, IAM federation et Amazon Quick (username/password) natifs.

  • Accès administrateur à votre compte Amazon Quick.

  • Accès à votre IdP avec les autorisations nécessaires pour créer des enregistrements d'applications OIDC.

Important

La région d'origine du compte Amazon Quick (région d'identité) doit être USA Est (Virginie du Nord) (us-east-1). Toutes les inférences pour l'application de bureau utilisent également cette région. Amazon Quick sur le Web peut être utilisé dans d'autres régions, mais l'application de bureau se connecte à us-east-1 à des fins d'authentification et d'inférence.

Étape 1 : créer une application OIDC dans votre fournisseur d'identité

Enregistrez une application cliente OIDC publique dans votre IdP. L'application de bureau Amazon Quick utilise ce client pour authentifier les utilisateurs via le flux de code d'autorisation avec PKCE. Aucun secret client n'est requis.

L'application de bureau nécessite des jetons d'actualisation pour maintenir des sessions de longue durée. La configuration des jetons d'actualisation dépend de votre IdP :

  • Microsoft Entra ID : le offline_access champ d'application doit être accordé. Sans cela, les utilisateurs doivent se réauthentifier fréquemment.

  • Okta — Le type d'autorisation Refresh Token doit être activé sur l'application et la offline_access portée doit être accordée.

  • Identité Ping — Le type d'autorisation Refresh Token doit être activé et la offline_access portée doit être accordée. En PingFederate effet, le paramètre Return ID Token On Refresh Grant doit également être activé dans la politique OIDC.

Choisissez les instructions pour votre fournisseur d'identité.

Identifiant Microsoft Entra

Pour obtenir des instructions détaillées, voir Enregistrer une application dans la documentation Microsoft Entra.

Pour créer l'enregistrement de l'application Entra ID

  1. Sur le portail Azure, accédez à Microsoft Entra ID → Inscriptions d'applications → Nouvel enregistrement.

  2. Configurez les paramètres suivants :

    Paramètre Value
    Nom Amazon Quick Desktop
    Types de comptes pris en charge Comptes de ce répertoire organisationnel uniquement (locataire unique)
    Plateforme d'URI de redirection Public client/native (mobile et ordinateur de bureau)
    URI de redirection http://localhost:18080

  3. Choisissez S’inscrire.

  4. Sur la page Vue d'ensemble, notez l'ID de l'application (client) et l'ID du répertoire (locataire). Vous aurez besoin de ces valeurs dans les étapes ultérieures.

Il s'agit d'un enregistrement public pour les clients. Le PKCE est appliqué automatiquement par Entra ID pour les clients publics.

Pour configurer les autorisations d'API

  1. Lors de l'enregistrement de l'application, accédez à Autorisations d'API → Ajouter une autorisation → Microsoft Graph → Autorisations déléguées.

  2. Ajoutez les autorisations suivantes :openid,email,profile,offline_access.

  3. Choisissez Ajouter des autorisations.

  4. Si votre organisation l'exige, choisissez Accorder le consentement de l'administrateur pour [votre organisation].

Pour configurer les paramètres d'authentification

  1. Dans l'enregistrement de l'application, accédez à Authentification.

  2. Sous Paramètres avancés, définissez Autoriser les flux de clients publics sur Oui.

  3. Vérifiez que cela http://localhost:18080 est répertorié sous Applications mobiles et de bureau.

  4. Choisissez Enregistrer.

Vos points de terminaison OIDC utilisent le format suivant. Remplacez <TENANT_ID> par votre ID de répertoire (tenant).

Champ Value
URL de l’émetteur https://login.microsoftonline.com/<TENANT_ID>/v2.0
Point final d'autorisation https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/authorize
Point de terminaison de jeton https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/token
JWKS URI https://login.microsoftonline.com/<TENANT_ID>/discovery/v2.0/keys

Okta

Pour obtenir des instructions détaillées, consultez la section Créer des intégrations d'applications OpenID Connect dans la documentation Okta.

Pour créer l'application native Okta OIDC

  1. Dans la console d'administration Okta, accédez à Applications → Applications → Créer une intégration d'applications.

  2. Sélectionnez OIDC - OpenID Connect comme méthode de connexion.

  3. Sélectionnez Application native comme type d'application, puis cliquez sur Suivant.

  4. Configurez les paramètres suivants :

    Paramètre Value
    Nom de l'intégration de l'application Amazon Quick Desktop
    Type de subvention Code d'autorisation et jeton d'actualisation
    Sign-in URI de redirection http://localhost:18080
    Missions Attribuer aux utilisateurs ou aux groupes appropriés

  5. Choisissez Enregistrer.

  6. Dans l'onglet Général, notez l'ID du client.

Le PKCE (S256) est appliqué automatiquement par Okta pour les applications natives.

Pour configurer des étendues

  1. Dans la console d'administration Okta, accédez à Sécurité → API → Serveurs d'autorisation et sélectionnez votre serveur d'autorisation (par exemple, par défaut).

  2. Dans l'onglet Étendue, vérifiez que les étendues suivantes sont activées :openid,,email,profile. offline_access

  3. Dans l'onglet Politiques d'accès, vérifiez que la politique attribuée à cette application autorise les types d'Refresh Tokenautorisation Authorization Code et d'autorisation.

Pour vérifier les paramètres d'authentification

  1. Dans l'intégration de l'application, accédez à l'onglet Général.

  2. Sous Paramètres généraux, vérifiez que le type d'application est natif, que l'authentification du client est Aucune (client public) et que PKCE est obligatoire.

  3. Sous LOGIN, vérifiez qu'il http://localhost:18080 est répertorié comme URI de redirection.

  4. Choisissez Enregistrer si vous avez apporté des modifications.

Vos points de terminaison OIDC utilisent le format suivant. <OKTA_DOMAIN>Remplacez-le par votre domaine Okta (par exemple,your-org.okta.com).

Champ Value
URL de l’émetteur https://<OKTA_DOMAIN>/oauth2/default
Point final d'autorisation https://<OKTA_DOMAIN>/oauth2/default/v1/authorize
Point de terminaison de jeton https://<OKTA_DOMAIN>/oauth2/default/v1/token
JWKS URI https://<OKTA_DOMAIN>/oauth2/default/v1/keys

Ping Identity

Choisissez les instructions pour votre produit Ping Identity.

PingFederate

Pour des instructions détaillées, voir Configuration d'une application OIDC PingFederate dans la documentation de Ping Identity.

Pour créer le client PingFederate OIDC

  1. Dans la console d' PingFederate administration, accédez à Applications → OAuth → Clients, puis choisissez Ajouter un client.

  2. Dans le champ ID client, entrez un identifiant unique pour ce client.

  3. Dans le champ Nom, saisissez Amazon Quick Desktop.

  4. Pour l'authentification du client, sélectionnez Aucune.

  5. Dans la section URI de redirection, entrez http://localhost:18080 et choisissez Ajouter.

  6. Dans la liste des types de subventions autorisés, sélectionnez Code d'autorisation et Actualiser le jeton.

  7. Cochez la case Exiger une clé de preuve pour l'échange de code (PKCE).

  8. Sous Champs d'application communs, accordez les éléments suivants :openid, emailprofile,offline_access.

  9. Choisissez Enregistrer.

  10. Notez l'ID du client. Vous aurez besoin de cette valeur lors des étapes ultérieures.

Pour configurer la politique OIDC

  1. Dans la console d' PingFederate administration, accédez à Applications → OAuth → OpenID Connect Policy Management.

  2. Sélectionnez la politique OIDC associée à ce client ou choisissez Ajouter une politique pour en créer une.

  3. Cochez la case Return ID Token on Refresh Grant. Cela garantit que l'application de bureau reçoit un nouveau jeton d'identification avec les demandes en cours lors de l'actualisation de la session.

  4. Sous Contrat d'attribut, vérifiez que la email réclamation est incluse et mappée à l'attribut utilisateur correspondant dans votre source d'authentification. La email réclamation doit être présente sous forme de jetons émis à la fois lors de l'authentification initiale et lors de l'attribution des jetons d'actualisation.

  5. Choisissez Enregistrer.

Vos points de terminaison OIDC utilisent le format suivant. <PINGFEDERATE_HOST>Remplacez-le par le nom d'hôte PingFederate de votre serveur.

Champ Value
URL de l’émetteur https://<PINGFEDERATE_HOST>
Point final d'autorisation https://<PINGFEDERATE_HOST>/as/authorization.oauth2
Point de terminaison de jeton https://<PINGFEDERATE_HOST>/as/token.oauth2
JWKS URI https://<PINGFEDERATE_HOST>/pf/JWKS

PingOne

Pour obtenir des instructions détaillées, consultez la section Modification d'une application — native dans la documentation de Ping Identity.

Pour créer l'application native PingOne OIDC

  1. Dans la console PingOne d'administration, allez dans Applications → Applications et choisissez l'icône +.

  2. Entrez Amazon Quick Desktop comme nom de l'application.

  3. Dans la section Type d'application, sélectionnez Native, puis cliquez sur Enregistrer.

  4. Dans l'onglet Configuration, choisissez Modifier et configurez les paramètres suivants :

    Paramètre Value
    Type de réponse Code
    Type de subvention Code d'autorisation et jeton d'actualisation
    Application de la PKCE S256
    URI de redirection http://localhost:18080
    Méthode d'authentification Token Endpoint Aucune

  5. Choisissez Enregistrer.

  6. Dans l'onglet Ressources, ajoutez les étendues suivantes :openid,, emailprofile,offline_access.

  7. Dans l'onglet Mappages d'attributs, vérifiez que l'emailattribut est mappé à l'adresse e-mail de l'utilisateur.

  8. Basculez l'application sur Activé.

  9. Notez l'ID client et l'ID d'environnement dans l'onglet Configuration.

Note

Le PingOne domaine varie selon les régions. Les exemples ci-dessous utilisent.com. Remplacez le domaine par celui de votre environnement (par exemple.ca,.eu, ou.asia).

Vos points de terminaison OIDC utilisent le format suivant. <ENV_ID>Remplacez-le par votre identifiant d' PingOne environnement.

Champ Value
URL de l’émetteur https://auth.pingone.com/<ENV_ID>/as
Point final d'autorisation https://auth.pingone.com/<ENV_ID>/as/authorize
Point de terminaison de jeton https://auth.pingone.com/<ENV_ID>/as/token
JWKS URI https://auth.pingone.com/<ENV_ID>/as/jwks

Étape 2 : configurer l'accès à l'extension dans la console de gestion Amazon Quick

Pour ajouter l'accès à l'extension

  1. Connectez-vous à la console de gestion Amazon Quick.

  2. Sous Autorisations, choisissez Accès aux extensions.

  3. Choisissez Ajouter un accès à l'extension.

  4. Sélectionnez l'application de bureau pour l'extension rapide et choisissez Next.

  5. Entrez les détails de l'extension Amazon Quick :

    Champ Value
    Nom Un nom pour cet accès à l'extension
    Description (Facultatif) Une description
    URL de l’émetteur URL de l'émetteur OIDC de l'étape 1
    Endpoint d'autorisation URL du point de terminaison d'autorisation OIDC de l'étape 1
    Point de terminaison Tok URL du point de terminaison du jeton OIDC de l'étape 1
    JWKS URI L'URI du jeu de clés Web JSON à partir de l'étape 1
    ID de client L'identifiant du client OIDC de l'étape 1

  6. Choisissez Ajouter.

    Important

    Vérifiez que toutes les valeurs sont correctes avant de choisir Ajouter. La configuration d'accès à l'extension ne peut pas être modifiée après sa création. Si une valeur est incorrecte, vous devez supprimer l'accès à l'extension et en créer un nouveau.

Pour créer l'extension

  1. Dans la console Amazon Quick, dans le menu de navigation de gauche, sous Connect apps and data, sélectionnez Extensions.

  2. Choisissez Ajouter une extension.

  3. Sélectionnez l'application de bureau pour un accès rapide aux extensions que vous avez créée précédemment. Choisissez Suivant.

  4. Choisissez Créer.

Étape 3 : Téléchargez et distribuez l'application de bureau

Après avoir configuré la connexion d'entreprise, vérifiez la configuration en téléchargeant et en installant vous-même l'application de bureau. Choisissez Enterprise Login sur l'écran de connexion et authentifiez-vous à l'aide de vos informations d'identification professionnelles pour confirmer que la configuration fonctionne. Pour les étapes de téléchargement et d'installation, voirPrise en main.

Si la connexion échoue, vérifiez les valeurs que vous avez saisies à l'étape 2 par rapport aux points de terminaison OIDC de l'étape 1. Si une valeur est incorrecte, supprimez l'accès à l'extension sous Autorisations → Accès à l'extension, et répétez l'étape 2 avec les valeurs correctes.

Après avoir vérifié la configuration, dirigez vos utilisateurs vers Prise en main les instructions de téléchargement, d'installation et de connexion.

Résolution des problèmes

redirect_mismatchErreur

Vérifiez que l'URI de redirection dans votre IdP est exacte http://localhost:18080 et qu'elle est configurée en tant que client public ou plate-forme native.

L'utilisateur est introuvable après la connexion

L'adresse e-mail contenue dans le jeton IdP doit correspondre exactement à l'adresse e-mail d'un utilisateur dans Amazon Quick. Vérifiez que l'utilisateur est configuré et que les adresses e-mail sont identiques dans les deux systèmes.

Échec de validation du jeton

Vérifiez que l'URL de l'émetteur dans la configuration d'accès à l'extension correspond exactement à l'URL de l'émetteur dans la configuration OIDC de votre IdP.

Erreurs de consentement ou d'autorisation (Microsoft Entra ID)

Accordez le consentement de l'administrateur pour les autorisations d'API requises sur le portail Azure. Accédez à la page des autorisations d'API de l'enregistrement de l'application et choisissez Accorder le consentement de l'administrateur pour [votre organisation].

La session expire fréquemment

Vérifiez que votre IdP est configuré pour émettre des jetons d'actualisation. Pour Microsoft Entra ID, l'offline_accessétendue est requise. Pour Okta, le type d'autorisation Refresh Token doit être activé et la offline_access portée doit être accordée. Pour Ping Identity, le type d'autorisation Refresh Token doit être activé et la offline_access portée doit être accordée. Pour PingFederate, vérifiez également que l'option Return ID Token On Refresh Grant est sélectionnée dans la politique OIDC.

invalid_scopeerreur (Okta)

Vérifiez qu'il offline_access est activé sur votre serveur d'autorisation. Accédez à Sécurité → API → Serveurs d'autorisation → Par défaut → Étendue et vérifiez que la portée est présente. Vérifiez également que la politique d'accès de l'application autorise le type de subvention Refresh Token.

Application non activée (PingOne)

Si l'authentification échoue immédiatement sans atteindre la page de PingOne connexion, vérifiez que le bouton d'activation de l'application est défini sur Activé dans la console PingOne d'administration.

Demande d'e-mail manquante après l'actualisation (PingFederate)

Vérifiez que la email réclamation est incluse dans le contrat d'attribut de la politique OIDC et mappée à l'attribut utilisateur approprié. Le mappage doit produire la email demande d'attribution de jetons d'authentification initiale et d'actualisation.