翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# エンタープライズデプロイ用のデスクトップでの Amazon Quick のセットアップ
| |
| --- |
| 適用先: Enterprise Edition と Standard Edition |
| |
| --- |
| 対象者: システム管理者 |
エンタープライズデプロイでデスクトップ上の Amazon Quick を使用するには、管理者は組織のユーザーが企業の認証情報でサインインできるようにエンタープライズシングルサインオン (SSO) を設定する必要があります。この設定は、組織の OpenID Connect (OIDC) 互換 ID プロバイダー (IdP) を Amazon Quick に接続します。
**注記**
Free または Plus アカウントを使用している場合、このセクションは適用されません。「[はじめに](getting-started-desktop.md)」に進みます。
セットアップには、次の手順が順番に含まれます。
1. IdP に OIDC アプリケーションを作成します。
1. Amazon Quick マネジメントコンソールで拡張機能アクセスを設定します。
1. デスクトップアプリケーションをユーザーに配布します。
このガイドでは、Microsoft Entra ID、Okta、および Ping Identity (PingFederate および PingOne) の IdP 固有の手順について説明します。以下の特定の ID プロバイダーの手順を参照してください。
## エンタープライズサインインの仕組み
Amazon Quick デスクトップアプリケーションは、OIDC プロトコルを使用してユーザーを認証します。ユーザーが**エンタープライズログイン**を選択すると、アプリケーションはブラウザウィンドウを開き、IdP の承認エンドポイントにリダイレクトします。次に、アプリケーションは、コード交換の証明キー (PKCE) を使用して、生成された認可コードをトークンと交換します。
Amazon Quick はトークンを検証し、ユーザーをアカウントの ID にマッピングします。IdP の E メールアドレスは、Amazon Quick のユーザーの E メールアドレスと完全に一致する必要があります。
## 前提条件
開始する前に、以下があることを確認してください。
+ アクティブな Amazon Quick サブスクリプションを持つ AWS アカウント。Amazon Quick アカウントのホームリージョン (アイデンティティリージョン) は、米国東部 (バージニア北部) (us-east-1) である必要があります。IAM Identity Center、IAM フェデレーション、ネイティブ Amazon Quick (ユーザー名/パスワード) ユーザーなど、すべての ID タイプがサポートされています。
+ Amazon Quick アカウントへの管理者アクセス。
+ OIDC アプリケーション登録を作成するアクセス許可を持つ IdP へのアクセス。
**重要**
Amazon Quick アカウントのホームリージョン (アイデンティティリージョン) は、米国東部 (バージニア北部) (us-east-1) である必要があります。デスクトップアプリケーションのすべての推論もこのリージョンを使用します。ウェブ上の Amazon Quick は他のリージョンで使用できますが、デスクトップアプリケーションは認証と推論の両方のために us-east-1 に接続します。
## ステップ 1: ID プロバイダーに OIDC アプリケーションを作成する
IdP にパブリック OIDC クライアントアプリケーションを登録します。Amazon Quick デスクトップアプリケーションは、このクライアントを使用して、PKCE による認可コードフローを通じてユーザーを認証します。クライアントシークレットは必要ありません。
デスクトップアプリケーションでは、存続期間の長いセッションを維持するために更新トークンが必要です。更新トークンの設定方法は、IdP によって異なります。
+ **Microsoft Entra ID** – `offline_access`スコープを付与する必要があります。これがないと、ユーザーは頻繁に再認証する必要があります。
+ **Okta** – 更新トークン付与タイプはアプリケーションで有効にし、`offline_access`スコープを付与する必要があります。
+ **Ping Identity** – 更新トークンの付与タイプを有効にし、`offline_access`スコープを付与する必要があります。PingFederate の場合、OIDC ポリシーで **Return ID Token On Refresh Grant** 設定も有効にする必要があります。
ID プロバイダーの手順を選択します。
### Microsoft Entra ID
詳細な手順については、Microsoft Entra ドキュメントの[「アプリケーションの登録](https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app)」を参照してください。
**Entra ID アプリ登録を作成するには**
1. Azure ポータルで、**Microsoft Entra ID → アプリ登録 → 新規登録**に移動します。
1. 次の設定を行います。
[See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/desktop-enterprise-setup.html)
1. [**登録**] を選択します。
1. **概要**ページで、**アプリケーション (クライアント) ID** と**ディレクトリ (テナント) ID **を書き留めます。これらの値は、後のステップで必要になります。
これはパブリッククライアント登録です。PKCE は、パブリッククライアントの Entra ID によって自動的に適用されます。
**API アクセス許可を設定するには**
1. アプリ登録で、**API アクセス許可 → アクセス許可の追加 → Microsoft Graph → 委任されたアクセス許可**に移動します。
1. 次のアクセス許可を追加します: `openid`、`email`、`profile`、`offline_access`。
1. [**Add permissions (許可の追加)**] を選択します。
1. 組織で必要な場合は、**[組織] の管理者同意を付与**を選択します。
**認証設定を構成するには**
1. アプリ登録で、**認証**に移動します。
1. **詳細設定**で、**パブリッククライアントフローを許可する**を****「はい」に設定します。
1. `http://localhost:18080` が**モバイルおよびデスクトップアプリケーション**にリストされていることを確認します。
1. **[保存]** を選択します。
OIDC エンドポイントは次の形式を使用します。を ディレクトリ (テナント) ID ``に置き換えます。
| フィールド | 値 |
| --- | --- |
| 発行者 URL | https://login.microsoftonline.com//v2.0 |
| 認可エンドポイント | https://login.microsoftonline.com//oauth2/v2.0/authorize |
| トークンエンドポイント | https://login.microsoftonline.com//oauth2/v2.0/token |
| JWKS URI | https://login.microsoftonline.com//discovery/v2.0/keys |
### Okta
詳細な手順については、Okta ドキュメントの[OpenID Connect アプリ統合の作成](https://help.okta.com/en-us/content/topics/apps/apps_app_integration_wizard_oidc.htm)」を参照してください。
**Okta OIDC ネイティブアプリケーションを作成するには**
1. Okta 管理コンソールで、**アプリケーション → アプリケーション → アプリケーション統合の作成**に移動します。
1. サインイン方法として **OIDC - OpenID Connect** を選択します。
1. アプリケーションタイプとして**ネイティブ**アプリケーションを選択し、次**へ**を選択します。
1. 次の設定を行います。
[See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/desktop-enterprise-setup.html)
1. **[保存]** を選択します。
1. **全般**タブで、**クライアント ID** を書き留めます。
PKCE (S256) は、ネイティブアプリケーション用に Okta によって自動的に適用されます。
**スコープを設定するには**
1. Okta 管理コンソールで、**Security → API → Authorization Servers** に移動し、認可サーバー (**デフォルト**など) を選択します。
1. **スコープ**タブで、次のスコープが有効になっていることを確認します: `openid`、`email`、`profile`、`offline_access`。
1. **アクセスポリシー**タブで、このアプリケーションに割り当てられたポリシーが `Authorization Code`および `Refresh Token` 許可タイプを許可していることを確認します。
**認証設定を確認するには**
1. アプリ統合で、**全般**タブに移動します。
1. **全般設定**で、アプリケーションタイプが**ネイティブ**、クライアント認証が**なし** (パブリッククライアント)、PKCE ****が必要であることを確認します。
1. **LOGIN** で、 `http://localhost:18080`がリダイレクト URI としてリストされていることを確認します。
1. 変更を加えた場合は**、保存** を選択します。
OIDC エンドポイントは次の形式を使用します。を Okta ドメイン ( など`your-org.okta.com`) ``に置き換えます。
| フィールド | 値 |
| --- | --- |
| 発行者 URL | https:///oauth2/default |
| 認可エンドポイント | https:///oauth2/default/v1/authorize |
| トークンエンドポイント | https:///oauth2/default/v1/token |
| JWKS URI | https:///oauth2/default/v1/keys |
### Ping Identity
Ping Identity 製品の手順を選択します。
#### PingFederate
詳細な手順については、[PingFederate での OIDC アプリケーションのセットアップ](https://docs.pingidentity.com/solution-guides/customer_use_cases/htg_oidc_app_setup_pf.html)」を参照してください。
**PingFederate OIDC クライアントを作成するには**
1. PingFederate 管理コンソールで、**Applications → OAuth → Clients** に移動し、**Add Client **を選択します。
1. **クライアント ID** フィールドに、このクライアントの一意の識別子を入力します。
1. [**名前**] フィールドに `Amazon Quick Desktop` を入力してください。
1. **クライアント認証**で、**「なし**」を選択します。
1. **リダイレクト URI セクションで、**「追加」と入力`http://localhost:18080`し、**「追加**」を選択します。
1. **許可されたグラントタイプ**リストで、**認可コード**と**更新トークン**を選択します。
1. **コード交換に必要な証明キー (PKCE) **チェックボックスをオンにします。
1. **共通スコープで**、、`openid`、`email``profile`、 を付与します`offline_access`。
1. **[保存]** を選択します。
1. **クライアント ID** を書き留めます。この値は、後のステップで必要になります。
**OIDC ポリシーを設定するには**
1. PingFederate 管理コンソールで、**アプリケーション → OAuth → OpenID Connect ポリシー管理**に移動します。
1. このクライアントに関連付けられた OIDC ポリシーを選択するか、**ポリシーの追加**を選択して作成します。
1. **更新時の ID トークンの付与を返す**チェックボックスをオンにします。これにより、セッションを更新するときに、デスクトップアプリケーションが現在のクレームを含む新しい ID トークンを受信します。
1. **属性契約**で、`email`クレームが含まれ、認証ソースの対応するユーザー属性にマッピングされていることを確認します。`email` クレームは、最初の認証と更新トークンの付与の両方で発行されたトークンに存在する必要があります。
1. **[保存]** を選択します。
OIDC エンドポイントは次の形式を使用します。を PingFederate サーバーのホスト名``に置き換えます。
| フィールド | 値 |
| --- | --- |
| 発行者 URL | https:// |
| 認可エンドポイント | https:///as/authorization.oauth2 |
| トークンエンドポイント | https:///as/token.oauth2 |
| JWKS URI | https:///pf/JWKS |
#### PingOne
詳細な手順については、Ping Identity ドキュメント[の「アプリケーションの編集 – ネイティブ](https://docs.pingidentity.com/pingone/applications/p1_edit_application_native.html)」を参照してください。
**PingOne OIDC ネイティブアプリケーションを作成するには**
1. PingOne 管理者コンソールで、**アプリケーション → アプリケーション**に移動し、**\+** アイコンを選択します。
1. アプリケーション名`Amazon Quick Desktop`として を入力します。
1. **アプリケーションタイプ**セクションで、**ネイティブ**を選択し、**保存**を選択します。
1. **設定**タブで、**編集** を選択し、次の設定を設定します。
[See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/desktop-enterprise-setup.html)
1. **[保存]** を選択します。
1. **リソース**タブで、、`openid`、`email`、 `profile`のスコープを追加します`offline_access`。
1. **属性マッピング**タブで、`email`属性がユーザーの E メールアドレスにマッピングされていることを確認します。
1. アプリケーションを **Enabled** に切り替えます。
1. **設定**タブの**クライアント ID** と**環境 ID** を書き留めます。
**注記**
PingOne ドメインはリージョンによって異なります。以下の例では、 を使用しています`.com`。ドメインを環境のドメイン (、、 など) `.ca`に置き換えます`.eu``.asia`。
OIDC エンドポイントは次の形式を使用します。を PingOne 環境 ID ``に置き換えます。
| フィールド | 値 |
| --- | --- |
| 発行者 URL | https://auth.pingone.com//as |
| 認可エンドポイント | https://auth.pingone.com//as/authorize |
| トークンエンドポイント | https://auth.pingone.com//as/token |
| JWKS URI | https://auth.pingone.com//as/jwks |
## ステップ 2: Amazon Quick マネジメントコンソールで拡張機能アクセスを設定する
**拡張機能アクセスを追加するには**
1. Amazon Quick マネジメントコンソールにサインインします。
1. アクセス**許可で**、**拡張機能アクセス**を選択します。
1. **拡張機能アクセスの追加** を選択します。
1. **クイック拡張用のデスクトップアプリケーション**を選択し、**次へ**を選択します。
1. Amazon Quick 拡張機能の詳細を入力します。
[See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/desktop-enterprise-setup.html)
1. **[Add]** (追加) を選択します。
**重要**
**追加**を選択する前に、すべての値が正しいことを確認します。拡張機能アクセス設定は、作成後に編集することはできません。値が正しくない場合は、拡張機能アクセスを削除して新しい値を作成する必要があります。
**拡張機能を作成するには**
1. Amazon Quick コンソールの**「アプリケーションとデータを接続する**」の左側のナビゲーションで、**「拡張機能**」を選択します。
1. **拡張機能の追加** を選択します。
1. 以前に作成した**クイック拡張機能アクセス用のデスクトップアプリケーション**を選択します。[**次へ**] を選択します。
1. **[作成]** を選択します。
## ステップ 3: デスクトップアプリケーションをダウンロードして配布する
エンタープライズサインインを設定したら、デスクトップアプリケーションを自分でダウンロードしてインストールしてセットアップを確認します。サインイン画面で**エンタープライズログイン**を選択し、企業の認証情報で認証して、設定が機能していることを確認します。ダウンロードとインストールの手順については、「」を参照してください[はじめに](getting-started-desktop.md)。
サインインに失敗した場合は、ステップ 2 で入力した値をステップ 1 の OIDC エンドポイントと照合します。値が正しくない場合は、アクセス**許可 → 拡張機能アクセスで拡張機能アクセス**を削除し、正しい値でステップ 2 を繰り返します。
セットアップを確認したら、ダウンロード、インストール、サインインの手順[はじめに](getting-started-desktop.md)について をユーザーに指示します。
## トラブルシューティング
`redirect_mismatch` エラー
IdP のリダイレクト URI が正確に`http://localhost:18080`設定されており、パブリッククライアントまたはネイティブプラットフォームとして設定されていることを確認します。
サインイン後にユーザーが見つかりません
IdP トークンの E メールは、Amazon Quick のユーザーの E メールと完全に一致する必要があります。ユーザーがプロビジョニングされており、両方のシステムで E メールアドレスが同じであることを確認します。
トークン検証の失敗
拡張機能アクセス設定の発行者 URL が IdP の OIDC 設定の発行者 URL と正確に一致することを確認します。
同意またはアクセス許可エラー (Microsoft Entra ID)
Azure ポータルで必要な API アクセス許可に対する管理者の同意を付与します。アプリ登録の **API アクセス許可**ページに移動し、**[組織] の管理者同意を付与**を選択します。
セッションが頻繁に期限切れになる
更新トークンを発行するように IdP が設定されていることを確認します。Microsoft Entra ID の場合、`offline_access`スコープが必要です。Okta の場合、更新トークン許可タイプを有効にし、`offline_access`スコープを付与する必要があります。Ping Identity の場合、更新トークンの付与タイプを有効にし、`offline_access`スコープを付与する必要があります。PingFederate の場合、OIDC ポリシーで **Return ID Token On Refresh Grant** が選択されていることを確認します。
`invalid_scope` エラー (Okta)
認可サーバーで `offline_access`が有効になっていることを確認します。**Security → API → Authorization Servers → default → Scopes** に移動し、スコープが存在することを確認します。また、アプリケーションのアクセスポリシーで、Refresh Token 許可タイプが許可されていることを確認します。
アプリケーションが有効になっていない (PingOne)
PingOne ログインページに到達せずに認証がすぐに失敗する場合は、PingOne ****管理者コンソールでアプリケーションの切り替えが有効に設定されていることを確認します。
更新後の E メールクレームの欠落 (PingFederate)
`email` クレームが OIDC ポリシー**属性契約**に含まれ、正しいユーザー属性にマッピングされていることを確認します。マッピングでは、初期認証と更新トークンの付与の両方に対して `email`クレームを生成する必要があります。