Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configurazione di Amazon Quick su desktop per distribuzioni aziendali
| |
| --- |
| Si applica a: Enterprise Edition e Standard Edition |
| |
| --- |
| Destinatari: amministratori di sistema |
Per utilizzare Amazon Quick su desktop per distribuzioni aziendali, gli amministratori devono configurare l'Enterprise Single Sign-On (SSO) in modo che gli utenti dell'organizzazione possano accedere con le proprie credenziali aziendali. Questa configurazione collega il provider di identità (IdP) compatibile con OpenID Connect (OIDC) della tua organizzazione ad Amazon Quick.
**Nota**
Se utilizzi un account Free o Plus, questa sezione non si applica a te. Continua su [Nozioni di base](getting-started-desktop.md).
La configurazione prevede i seguenti passaggi, nell'ordine:
1. Crea un'applicazione OIDC nel tuo IdP.
1. Configura l'accesso all'estensione nella console di gestione Amazon Quick.
1. Distribuisci l'applicazione desktop ai tuoi utenti.
Questa guida fornisce IdP-specific istruzioni per Microsoft Entra ID, Okta e Ping Identity (PingFederate and PingOne). Consulta le istruzioni per il tuo provider di identità specifico di seguito.
## Come funziona l'accesso aziendale
L'applicazione desktop Amazon Quick utilizza il protocollo OIDC per autenticare gli utenti. Quando un utente sceglie **Enterprise login**, l'applicazione apre una finestra del browser e reindirizza all'endpoint di autorizzazione del tuo IdP. L'applicazione scambia quindi il codice di autorizzazione risultante in token utilizzando Proof Key for Code Exchange (PKCE).
Amazon Quick convalida il token e associa l'utente a un'identità nel tuo account. L'indirizzo e-mail del tuo IdP deve corrispondere esattamente all'indirizzo e-mail dell'utente in Amazon Quick.
## Prerequisiti
Prima di iniziare, verifica di disporre di quanto segue:
+ Un AWS account con un abbonamento Amazon Quick attivo. La regione di origine dell'account Amazon Quick (regione di identità) deve essere Stati Uniti orientali (Virginia settentrionale) (us-east-1). Sono supportati tutti i tipi di identità, inclusi IAM Identity Center, la federazione IAM e gli utenti nativi di Amazon Quick (username/password).
+ Accesso da amministratore al tuo account Amazon Quick.
+ Accedi al tuo IdP con le autorizzazioni per creare registrazioni di applicazioni OIDC.
**Importante**
La regione di origine dell'account Amazon Quick (regione di identità) deve essere Stati Uniti orientali (Virginia settentrionale) (us-east-1). Tutta l'inferenza per l'applicazione desktop utilizza anche questa regione. Sebbene Amazon Quick sul Web possa essere utilizzato in altre regioni, l'applicazione desktop si connette a us-east-1 sia per l'autenticazione che per l'inferenza.
## Fase 1: crea un'applicazione OIDC nel tuo provider di identità
Registra un'applicazione client OIDC pubblica nel tuo IdP. L'applicazione desktop Amazon Quick utilizza questo client per autenticare gli utenti tramite il flusso del codice di autorizzazione con PKCE. Non è richiesto alcun segreto del client.
L'applicazione desktop richiede token di aggiornamento per mantenere sessioni di lunga durata. La modalità di configurazione dei token di aggiornamento dipende dal tuo IdP:
+ **ID Microsoft Entra**: l'`offline_access`ambito deve essere concesso. In caso contrario, gli utenti devono riautenticarsi frequentemente.
+ **Okta** — Il tipo di concessione Refresh Token deve essere abilitato sull'applicazione e l'`offline_access`ambito deve essere concesso.
+ **Ping Identity**: il tipo di concessione Refresh Token deve essere abilitato e l'`offline_access`ambito deve essere concesso. Infatti PingFederate, l'impostazione **Return ID Token On Refresh Grant** deve essere abilitata anche nella politica OIDC.
Scegli le istruzioni per il tuo provider di identità.
### ID Microsoft Entra
Per istruzioni dettagliate, vedi [Registrare un'applicazione](https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app) nella documentazione di Microsoft Entra.
**Per creare la registrazione dell'app Entra ID**
1. Nel portale di Azure, vai a **Microsoft Entra ID → Registrazioni app → Nuova** registrazione.
1. Configura le impostazioni seguenti:
[See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/quick/latest/userguide/desktop-enterprise-setup.html)
1. Scegli **Registrati**.
1. Nella pagina **Panoramica**, annota l'ID dell'**applicazione (client) e l'ID** della **directory (tenant)**. Questi valori sono necessari nei passaggi successivi.
Questa è una registrazione pubblica del cliente. PKCE viene applicato automaticamente da Entra ID per i clienti pubblici.
**Per configurare le autorizzazioni API**
1. Nella registrazione dell'app, vai a **Autorizzazioni API → Aggiungi un'autorizzazione → Microsoft Graph → Autorizzazioni delegate**.
1. Aggiungi le seguenti autorizzazioni:`openid`,,,. `email` `profile` `offline_access`
1. Scegli **Add Permissions (Aggiungi autorizzazioni)**.
1. Se la tua organizzazione lo richiede, scegli **Concedi il consenso amministrativo per [la tua organizzazione]**.
**Per configurare le impostazioni di autenticazione**
1. Nella registrazione dell'app, vai su **Autenticazione**.
1. In **Impostazioni avanzate**, imposta **Consenti flussi di client pubblici** su **Sì**.
1. Verifica che `http://localhost:18080` sia elencato in **Applicazioni mobili e desktop**.
1. Scegli **Save** (Salva).
Gli endpoint OIDC utilizzano il seguente formato. ``Sostituiscilo con il tuo ID di directory (tenant).
| Campo | Valore |
| --- | --- |
| URL dell’emittente | https://login.microsoftonline.com//v2.0 |
| Endpoint di autorizzazione | https://login.microsoftonline.com//oauth2/v2.0/authorize |
| Endpoint Token | https://login.microsoftonline.com//oauth2/v2.0/token |
| JWKS URI | https://login.microsoftonline.com//discovery/v2.0/keys |
### Okta
Per istruzioni dettagliate, consulta [Create integrazioni con l'app OpenID Connect](https://help.okta.com/en-us/content/topics/apps/apps_app_integration_wizard_oidc.htm) nella documentazione di Okta.
**Per creare l'applicazione nativa Okta OIDC**
1. Nella console di amministrazione Okta, vai su **Applicazioni → Applicazioni → Crea integrazione** di app.
1. Seleziona **OIDC - OpenID Connect** come metodo di accesso.
1. **Seleziona **Applicazione nativa come tipo di applicazione**, quindi scegli Avanti.**
1. Configura le impostazioni seguenti:
[See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/quick/latest/userguide/desktop-enterprise-setup.html)
1. Scegli **Save** (Salva).
1. Nella scheda **Generale**, annota l'**ID client.**
PKCE (S256) viene applicato automaticamente da Okta per le applicazioni native.
**Per configurare gli ambiti**
1. Nella Okta Admin Console, vai a **Sicurezza → API → Server di autorizzazione** e seleziona il tuo server di autorizzazione (ad esempio, **predefinito**).
1. Nella scheda **Ambiti**, verifica che i seguenti ambiti siano abilitati:`openid`,,,`email`. `profile` `offline_access`
1. Nella scheda **Politiche di accesso**, verifica che la politica assegnata a questa applicazione consenta `Authorization Code` i tipi di `Refresh Token` concessione.
**Per verificare le impostazioni di autenticazione**
1. Nell'integrazione dell'app, vai alla scheda **Generale**.
1. In **Impostazioni generali**, verifica che il tipo di applicazione sia **Native**, che l'autenticazione del client sia **Nessuna** (client pubblico) e che PKCE sia **richiesto**.
1. In **LOGIN**, conferma che `http://localhost:18080` sia elencato come URI di reindirizzamento.
1. Scegli **Salva** se hai apportato delle modifiche.
Gli endpoint OIDC utilizzano il seguente formato. ``Sostituiscilo con il tuo dominio Okta (ad esempio,). `your-org.okta.com`
| Campo | Valore |
| --- | --- |
| URL dell’emittente | https:///oauth2/default |
| Endpoint di autorizzazione | https:///oauth2/default/v1/authorize |
| Endpoint Token | https:///oauth2/default/v1/token |
| JWKS URI | https:///oauth2/default/v1/keys |
### Identità Ping
Scegli le istruzioni per il tuo prodotto Ping Identity.
#### PingFederate
Per istruzioni dettagliate, consulta [Configurazione di un'applicazione OIDC PingFederate nella documentazione](https://docs.pingidentity.com/solution-guides/customer_use_cases/htg_oidc_app_setup_pf.html) di Ping Identity.
**Per creare il client PingFederate OIDC**
1. **Nella console di PingFederate amministrazione, vai su **Applicazioni → OAuth → Client e scegli Aggiungi client**.**
1. Nel campo **ID cliente**, inserisci un identificatore univoco per questo client.
1. Nel campo **Name (Nome)**, inserire `Amazon Quick Desktop`.
1. Per **Autenticazione client**, seleziona **Nessuno**.
1. Nella sezione **URI di reindirizzamento**, inserisci `http://localhost:18080` e scegli **Aggiungi**.
1. Nell'elenco **Tipi di concessione consentiti**, seleziona **Codice di autorizzazione** e **Aggiorna token**.
1. Seleziona la casella di **controllo Richiedi Proof Key for Code Exchange (PKCE).**
1. In **Common Scopes**, concedi quanto segue:`openid`,,,`email`. `profile` `offline_access`
1. Scegli **Save** (Salva).
1. Annota l'**ID del cliente.** Questo valore ti servirà nei passaggi successivi.
**Per configurare la politica OIDC**
1. Nella console di PingFederate amministrazione, vai su **Applicazioni → OAuth → OpenID Connect** Policy Management.
1. Seleziona la politica OIDC associata a questo client o scegli **Aggiungi** politica per crearne una.
1. Seleziona la casella di controllo **Return ID Token On Refresh Grant**. Ciò garantisce che l'applicazione desktop riceva un nuovo token ID con le affermazioni correnti durante l'aggiornamento della sessione.
1. In **Attribute Contract**, verifica che l'`email`attestazione sia inclusa e mappata all'attributo utente corrispondente nella fonte di autenticazione. L'`email`attestazione deve essere presente nei token emessi sia durante l'autenticazione iniziale che durante la concessione di token di aggiornamento.
1. Scegli **Save** (Salva).
I tuoi endpoint OIDC utilizzano il seguente formato. Sostituiscilo `` con il nome host del server. PingFederate
| Campo | Valore |
| --- | --- |
| URL dell’emittente | https:// |
| Endpoint di autorizzazione | https:///as/authorization.oauth2 |
| Endpoint Token | https:///as/token.oauth2 |
| JWKS URI | https:///pf/JWKS |
#### PingOne
Per istruzioni dettagliate, consulta [Modifica di un'applicazione: nativa nella documentazione](https://docs.pingidentity.com/pingone/applications/p1_edit_application_native.html) di Ping Identity.
**Per creare l'applicazione PingOne nativa OIDC**
1. Nella console di PingOne amministrazione, vai su **Applicazioni → Applicazioni** e scegli l'icona **\+**.
1. Inserisci `Amazon Quick Desktop` come nome dell'applicazione.
1. Nella sezione **Tipo di applicazione**, seleziona **Nativo**, quindi scegli **Salva**.
1. Nella scheda **Configurazione**, scegli **Modifica** e configura le seguenti impostazioni:
[See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/quick/latest/userguide/desktop-enterprise-setup.html)
1. Scegli **Save** (Salva).
1. Nella scheda **Risorse**, aggiungi i seguenti ambiti:`openid`,,`email`,`profile`. `offline_access`
1. Nella scheda **Mappature degli attributi**, verifica che l'`email`attributo sia mappato all'indirizzo e-mail dell'utente.
1. **Attiva l'applicazione su Attivata.**
1. Annota l'**ID client** e **l'ID ambiente** nella scheda **Configurazione**.
**Nota**
Il PingOne dominio varia in base alla regione. Gli esempi seguenti utilizzano`.com`. Sostituisci il dominio con quello del tuo ambiente (ad esempio`.ca`,`.eu`, o`.asia`).
Gli endpoint OIDC utilizzano il seguente formato. Sostituiscilo `` con il tuo PingOne ID di ambiente.
| Campo | Valore |
| --- | --- |
| URL dell’emittente | https://auth.pingone.com//as |
| Endpoint di autorizzazione | https://auth.pingone.com//as/authorize |
| Endpoint Token | https://auth.pingone.com//as/token |
| JWKS URI | https://auth.pingone.com//as/jwks |
## Fase 2: configurare l'accesso all'estensione nella console di gestione Amazon Quick
**Per aggiungere l'accesso all'estensione**
1. Accedi alla console di gestione Amazon Quick.
1. In **Autorizzazioni**, scegli **Accesso tramite estensione**.
1. Scegli **Aggiungi accesso all'estensione**.
1. Seleziona l'**applicazione Desktop per l'estensione rapida** e scegli **Avanti**.
1. Inserisci i dettagli dell'estensione Amazon Quick:
[See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/quick/latest/userguide/desktop-enterprise-setup.html)
1. Scegliere **Aggiungi**.
**Importante**
**Verifica che tutti i valori siano corretti prima di scegliere Aggiungi.** La configurazione dell'accesso all'estensione non può essere modificata dopo la creazione. Se un valore non è corretto, è necessario eliminare l'accesso all'estensione e crearne uno nuovo.
**Per creare l'estensione**
1. Nella console Amazon Quick, nella barra di navigazione a sinistra sotto **Connect app and data**, scegli **Estensioni**.
1. Scegli **Aggiungi estensione**.
1. Seleziona l'**applicazione Desktop per l'accesso rapido** alle estensioni che hai creato in precedenza. Scegli **Next (Successivo)**.
1. Scegli **Create** (Crea).
## Passaggio 3: scaricare e distribuire l'applicazione desktop
Dopo aver configurato l'accesso aziendale, verifica la configurazione scaricando e installando tu stesso l'applicazione desktop. Scegli **Enterprise login** nella schermata di accesso e autenticati con le tue credenziali aziendali per confermare che la configurazione funzioni. Per le fasi di download e installazione, consulta. [Nozioni di base](getting-started-desktop.md)
Se l'accesso non riesce, verifica i valori inseriti nel passaggio 2 con gli endpoint OIDC del passaggio 1. Se un valore non è corretto, elimina l'accesso all'estensione in **Autorizzazioni → Accesso all'estensione** e ripeti il passaggio 2 con i valori corretti.
Dopo aver verificato la configurazione, indirizza gli utenti alle istruzioni [Nozioni di base](getting-started-desktop.md) per il download, l'installazione e l'accesso.
## Risoluzione dei problemi
Errore `redirect_mismatch`
Verifica che l'URI di reindirizzamento nel tuo IdP sia `http://localhost:18080` esatto e configurato come client pubblico o piattaforma nativa.
Utente non trovato dopo l'accesso
L'e-mail nel token IdP deve corrispondere esattamente all'e-mail di un utente in Amazon Quick. Verifica che l'utente abbia ricevuto il provisioning e che gli indirizzi e-mail siano identici in entrambi i sistemi.
Errore di convalida del token
Verifica che l'URL dell'emittente nella configurazione di accesso all'estensione corrisponda esattamente all'URL dell'emittente nella configurazione OIDC del tuo IdP.
Errori di consenso o autorizzazione (Microsoft Entra ID)
Concedi il consenso dell'amministratore per le autorizzazioni API richieste nel portale di Azure. Vai alla pagina delle **autorizzazioni API** della registrazione dell'app e scegli **Concedi il consenso dell'amministratore per [la tua organizzazione]**.
La sessione scade frequentemente
Verifica che il tuo IdP sia configurato per emettere token di aggiornamento. Per Microsoft Entra ID, l'`offline_access`ambito è obbligatorio. Per Okta, il tipo di concessione Refresh Token deve essere abilitato e l'`offline_access`ambito deve essere concesso. Per Ping Identity, il tipo di concessione Refresh Token deve essere abilitato e l'`offline_access`ambito deve essere concesso. Inoltre PingFederate, verifica anche che **Return ID Token On Refresh Grant** sia selezionato nella politica OIDC.
`invalid_scope`errore (Okta)
Verifica che `offline_access` sia abilitato sul tuo server di autorizzazione. Vai a **Sicurezza → API → Server di autorizzazione → predefinito → Ambiti** e conferma che l'ambito sia presente. Verifica inoltre che la politica di accesso per l'applicazione consenta il tipo di concessione Refresh Token.
Applicazione non abilitata () PingOne
Se l'autenticazione fallisce immediatamente senza raggiungere la pagina di PingOne accesso, verifica che l'interruttore dell'applicazione sia impostato su **Attivato** nella console di PingOne amministrazione.
Richiesta e-mail mancante dopo l'aggiornamento () PingFederate
Verifica che l'`email`attestazione sia inclusa nel **contratto di attributo della politica OIDC e mappata all'attributo** utente corretto. La mappatura deve produrre l'`email`attestazione sia per l'autenticazione iniziale che per la concessione del token di aggiornamento.