View a markdown version of this page

Configurando o Amazon Quick no desktop para implantações corporativas - Amazon Quick
Como funciona o login corporativoPré-requisitosEtapa 1: Crie um aplicativo OIDC em seu provedor de identidadeEtapa 2: Configurar o acesso à extensão no console de gerenciamento Amazon QuickEtapa 3: Baixe e distribua o aplicativo de desktopSolução de problemas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurando o Amazon Quick no desktop para implantações corporativas

   Aplica-se a: Enterprise Edition e Standard Edition 
   Público-alvo: administradores de sistemas 

Para usar o Amazon Quick no desktop para implantações corporativas, os administradores devem configurar o login único corporativo (SSO) para que os usuários da organização possam fazer login com suas credenciais corporativas. Essa configuração conecta o provedor de identidade (IdP) compatível com o OpenID Connect (OIDC) da sua organização ao Amazon Quick.

nota

Se você estiver usando uma conta gratuita ou Plus, esta seção não se aplica a você. Avance para Introdução.

A configuração envolve as seguintes etapas, na ordem:

  1. Crie um aplicativo OIDC em seu IdP.

  2. Configure o acesso à extensão no console de gerenciamento Amazon Quick.

  3. Distribua o aplicativo de desktop para seus usuários.

Este guia fornece IdP-specific instruções para Microsoft Entra ID, Okta e Ping Identity (PingFederate e PingOne). Veja as instruções para seu provedor de identidade específico abaixo.

Como funciona o login corporativo

O aplicativo de desktop Amazon Quick usa o protocolo OIDC para autenticar usuários. Quando um usuário escolhe o login Enterprise, o aplicativo abre uma janela do navegador e redireciona para o endpoint de autorização do seu IdP. O aplicativo então troca o código de autorização resultante por tokens usando o Proof Key for Code Exchange (PKCE).

O Amazon Quick valida o token e mapeia o usuário para uma identidade em sua conta. O endereço de e-mail em seu IdP deve corresponder exatamente ao endereço de e-mail do usuário no Amazon Quick.

Pré-requisitos

Antes de começar, verifique se você tem o seguinte:

  • Uma AWS conta com uma assinatura ativa do Amazon Quick. A região de origem da conta Amazon Quick (região de identidade) deve ser Leste dos EUA (Norte da Virgínia) (us-east-1). Todos os tipos de identidade são compatíveis, incluindo o IAM Identity Center, a federação do IAM e os usuários nativos do Amazon Quick (username/password).

  • Acesso de administrador à sua conta Amazon Quick.

  • Acesso ao seu IdP com permissões para criar registros de aplicativos OIDC.

Importante

A região de origem da conta Amazon Quick (região de identidade) deve ser Leste dos EUA (Norte da Virgínia) (us-east-1). Toda inferência para o aplicativo de desktop também usa essa região. Embora o Amazon Quick na web possa ser usado em outras regiões, o aplicativo de desktop se conecta ao us-east-1 para autenticação e inferência.

Etapa 1: Crie um aplicativo OIDC em seu provedor de identidade

Registre um aplicativo cliente público do OIDC em seu IdP. O aplicativo de desktop Amazon Quick usa esse cliente para autenticar usuários por meio do fluxo de código de autorização com o PKCE. Nenhum segredo do cliente é necessário.

O aplicativo de desktop requer tokens de atualização para manter sessões de longa duração. A forma como os tokens de atualização são configurados depende do seu IdP:

  • Microsoft Entra ID — O offline_access escopo deve ser concedido. Sem isso, os usuários devem se autenticar novamente com frequência.

  • Okta — O tipo de concessão do Refresh Token deve estar ativado no aplicativo e o offline_access escopo deve ser concedido.

  • Identidade de ping — O tipo de concessão do token de atualização deve estar ativado e o offline_access escopo deve ser concedido. Pois PingFederate, a configuração Return ID Token On Refresh Grant também deve estar habilitada na política do OIDC.

Escolha as instruções para seu provedor de identidade.

Microsoft Entra ID

Para obter instruções detalhadas, consulte Registrar um aplicativo na documentação do Microsoft Entra.

Para criar o registro do aplicativo Entra ID

  1. No portal do Azure, navegue até Microsoft Entra ID → Registros de aplicativos → Novo registro.

  2. Configure as seguintes opções:

    Configuração Valor
    Nome Amazon Quick Desktop
    Tipos de conta compatíveis Contas somente neste diretório organizacional (inquilino único)
    Plataforma de redirecionamento de URI Público client/native (móvel e desktop)
    URI de redirecionamento http://localhost:18080

  3. Escolha Registrar.

  4. Na página Visão geral, anote o ID do aplicativo (cliente) e o ID do diretório (locatário). Você precisará desses valores em etapas posteriores.

Este é um registro público de cliente. O PKCE é aplicado automaticamente pelo Entra ID para clientes públicos.

Para configurar as permissões da API

  1. No registro do aplicativo, navegue até Permissões da API → Adicionar uma permissão → Microsoft Graph → Permissões delegadas.

  2. Adicione as seguintes permissões:openid,email,profile,offline_access.

  3. Escolha Adicionar permissões.

  4. Se sua organização exigir, escolha Conceder consentimento do administrador para [sua organização].

Para definir as configurações de autenticação

  1. No registro do aplicativo, navegue até Autenticação.

  2. Em Configurações avançadas, defina Permitir fluxos de clientes públicos como Sim.

  3. Verifique se http://localhost:18080 está listado em Aplicativos móveis e de desktop.

  4. Escolha Salvar.

Seus endpoints OIDC usam o seguinte formato. <TENANT_ID>Substitua pelo ID do seu diretório (inquilino).

Campo Valor
URL do emissor https://login.microsoftonline.com/<TENANT_ID>/v2.0
Endpoint de Autorização https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/authorize
Endpoint de token https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/token
JAKS URI https://login.microsoftonline.com/<TENANT_ID>/discovery/v2.0/keys

Okta

Para obter instruções detalhadas, consulte Criar integrações do aplicativo OpenID Connect na documentação do Okta.

Para criar o aplicativo nativo Okta OIDC

  1. No Okta Admin Console, navegue até Aplicativos → Aplicativos → Criar integração de aplicativos.

  2. Selecione OIDC - OpenID Connect como método de login.

  3. Selecione Aplicativo nativo como o tipo de aplicativo e escolha Avançar.

  4. Configure as seguintes opções:

    Configuração Valor
    Nome da integração do aplicativo Amazon Quick Desktop
    Tipo de subsídio Código de autorização e token de atualização
    Sign-in redirecionar URIs http://localhost:18080
    Atribuições Atribua aos usuários ou grupos apropriados

  5. Escolha Salvar.

  6. Na guia Geral, anote a ID do cliente.

O PKCE (S256) é aplicado automaticamente pelo Okta para aplicativos nativos.

Para configurar escopos

  1. No Okta Admin Console, navegue até Segurança → API → Servidores de Autorização e selecione seu servidor de autorização (por exemplo, padrão).

  2. Na guia Escopos, verifique se os seguintes escopos estão habilitados:openid,,email,profile. offline_access

  3. Na guia Políticas de acesso, verifique se a política atribuída a esse aplicativo permite os tipos de Refresh Token concessão Authorization Code e.

Para verificar as configurações de autenticação

  1. Na integração do aplicativo, acesse a guia Geral.

  2. Em Configurações gerais, confirme se o tipo de aplicativo é nativo, a autenticação do cliente é Nenhuma (cliente público) e se o PKCE é obrigatório.

  3. Em LOGIN, confirme se http://localhost:18080 está listado como um URI de redirecionamento.

  4. Escolha Salvar se você tiver feito alguma alteração.

Seus endpoints OIDC usam o seguinte formato. <OKTA_DOMAIN>Substitua pelo seu domínio Okta (por exemplo,your-org.okta.com).

Campo Valor
URL do emissor https://<OKTA_DOMAIN>/oauth2/default
Endpoint de Autorização https://<OKTA_DOMAIN>/oauth2/default/v1/authorize
Endpoint de token https://<OKTA_DOMAIN>/oauth2/default/v1/token
JAKS URI https://<OKTA_DOMAIN>/oauth2/default/v1/keys

Ping Identity

Escolha as instruções para o seu produto Ping Identity.

PingFederate

Para obter instruções detalhadas, consulte Configurando um aplicativo OIDC PingFederate na documentação do Ping Identity.

Para criar o cliente PingFederate OIDC

  1. No console PingFederate administrativo, vá para Aplicativos → OAuth → Clientes e escolha Adicionar cliente.

  2. No campo ID do cliente, insira um identificador exclusivo para esse cliente.

  3. No campo Name (Nome), insira Amazon Quick Desktop.

  4. Em Autenticação do cliente, selecione Nenhuma.

  5. Na seção URI de redirecionamento, insira http://localhost:18080 e escolha Adicionar.

  6. Na lista Tipos de concessão permitidos, selecione Código de autorização e Token de atualização.

  7. Marque a caixa de seleção Exigir chave de prova para troca de código (PKCE).

  8. Em Escopos comuns, conceda o seguinte:openid,, emailprofile,offline_access.

  9. Escolha Salvar.

  10. Anote a ID do cliente. Você precisará desse valor em etapas posteriores.

Para configurar a política do OIDC

  1. No console PingFederate administrativo, vá para Aplicativos → OAuth → Gerenciamento de políticas do OpenID Connect.

  2. Selecione a política do OIDC associada a esse cliente ou escolha Adicionar política para criar uma.

  3. Marque a caixa de seleção Return ID Token On Refresh Grant. Isso garante que o aplicativo de desktop receba um novo token de ID com as declarações atuais ao atualizar a sessão.

  4. Em Contrato de atributo, verifique se a email declaração está incluída e mapeada para o atributo de usuário correspondente na sua fonte de autenticação. A email reivindicação deve estar presente nos tokens emitidos durante a autenticação inicial e a concessão do token de atualização.

  5. Escolha Salvar.

Seus endpoints OIDC usam o seguinte formato. <PINGFEDERATE_HOST>Substitua pelo nome PingFederate do host do seu servidor.

Campo Valor
URL do emissor https://<PINGFEDERATE_HOST>
Endpoint de Autorização https://<PINGFEDERATE_HOST>/as/authorization.oauth2
Endpoint de token https://<PINGFEDERATE_HOST>/as/token.oauth2
JAKS URI https://<PINGFEDERATE_HOST>/pf/JWKS

PingOne

Para obter instruções detalhadas, consulte Editando um aplicativo — Nativo na documentação do Ping Identity.

Para criar o aplicativo nativo do PingOne OIDC

  1. No console de PingOne administração, vá para Aplicativos → Aplicativos e escolha o ícone +.

  2. Insira Amazon Quick Desktop como nome do aplicativo.

  3. Na seção Tipo de aplicativo, selecione Nativo e escolha Salvar.

  4. Na guia Configuração, escolha Editar e defina as seguintes configurações:

    Configuração Valor
    Tipo de resposta Código
    Tipo de subsídio Código de autorização e token de atualização
    Aplicação do PKCE S256
    Redirect URIs (Redirecionar URIs) http://localhost:18080
    Método de autenticação de endpoint de token Nenhum

  5. Escolha Salvar.

  6. Na guia Recursos, adicione os seguintes escopos:openid,, emailprofile,offline_access.

  7. Na guia Mapeamentos de atributos, verifique se o email atributo está mapeado para o endereço de e-mail do usuário.

  8. Alterne o aplicativo para Ativado.

  9. Observe a ID do cliente e a ID do ambiente na guia Configuração.

nota

O PingOne domínio varia de acordo com a região. Os exemplos abaixo usam.com. Substitua o domínio pelo do seu ambiente (por exemplo.ca,.eu, ou.asia).

Seus endpoints OIDC usam o seguinte formato. <ENV_ID>Substitua pelo ID PingOne do seu ambiente.

Campo Valor
URL do emissor https://auth.pingone.com/<ENV_ID>/as
Endpoint de Autorização https://auth.pingone.com/<ENV_ID>/as/authorize
Endpoint de token https://auth.pingone.com/<ENV_ID>/as/token
JAKS URI https://auth.pingone.com/<ENV_ID>/as/jwks

Etapa 2: Configurar o acesso à extensão no console de gerenciamento Amazon Quick

Para adicionar o acesso à extensão

  1. Faça login no console de gerenciamento Amazon Quick.

  2. Em Permissões, escolha Acesso à extensão.

  3. Escolha Adicionar acesso à extensão.

  4. Selecione o aplicativo Desktop para a extensão Quick e escolha Avançar.

  5. Insira os detalhes da extensão Amazon Quick:

    Campo Valor
    Nome Um nome para esse acesso de extensão
    Description (Opcional) Uma descrição
    URL do emissor O URL do emissor do OIDC da Etapa 1
    Ponto final de autorização O URL do endpoint de autorização do OIDC da Etapa 1
    Ponto final do token O URL do endpoint do token OIDC da Etapa 1
    JAKS URI O URI do conjunto de chaves Web JSON da etapa 1
    ID de cliente O identificador do cliente OIDC da Etapa 1

  6. Escolha Adicionar.

    Importante

    Verifique se todos os valores estão corretos antes de escolher Adicionar. A configuração de acesso à extensão não pode ser editada após a criação. Se algum valor estiver incorreto, você deverá excluir o acesso à extensão e criar um novo.

Para criar a extensão

  1. No console do Amazon Quick, no painel de navegação à esquerda, em Connect apps and data, escolha Extensions.

  2. Escolha Adicionar extensão.

  3. Selecione o aplicativo Desktop para acesso rápido à extensão que você criou anteriormente. Escolha Próximo.

  4. Escolha Criar.

Etapa 3: Baixe e distribua o aplicativo de desktop

Depois de configurar o login corporativo, verifique a configuração baixando e instalando você mesmo o aplicativo de desktop. Escolha Login corporativo na tela de login e autentique-se com suas credenciais corporativas para confirmar se a configuração está funcionando. Para obter as etapas de download e instalação, consulteIntrodução.

Se o login falhar, verifique os valores inseridos na Etapa 2 em relação aos endpoints do OIDC da Etapa 1. Se algum valor estiver incorreto, exclua o acesso à extensão em Permissões → Acesso à extensão e repita a Etapa 2 com os valores corretos.

Depois de verificar a configuração, direcione seus usuários Introdução para obter instruções de download, instalação e login.

Solução de problemas

Erro redirect_mismatch

Verifique se o URI de redirecionamento em seu IdP é http://localhost:18080 exato e está configurado como um cliente público ou plataforma nativa.

Usuário não encontrado após o login

O e-mail no token IdP deve corresponder exatamente ao e-mail de um usuário no Amazon Quick. Verifique se o usuário está provisionado e se os endereços de e-mail são idênticos nos dois sistemas.

Falha na validação do token

Verifique se o URL do emissor na configuração de acesso à extensão corresponde exatamente ao URL do emissor na configuração do OIDC do seu IdP.

Erros de consentimento ou permissão (Microsoft Entra ID)

Conceda o consentimento do administrador para as permissões de API necessárias no portal do Azure. Navegue até a página de permissões de API do registro do aplicativo e escolha Conceder consentimento do administrador para [sua organização].

A sessão expira com frequência

Verifique se seu IdP está configurado para emitir tokens de atualização. Para o Microsoft Entra ID, o offline_access escopo é obrigatório. Para Okta, o tipo de concessão do Refresh Token deve estar habilitado e o offline_access escopo deve ser concedido. Para o Ping Identity, o tipo de concessão do Refresh Token deve estar ativado e o offline_access escopo deve ser concedido. Para PingFederate, verifique também se Return ID Token On Refresh Grant está selecionado na política do OIDC.

invalid_scopeerro (Okta)

Verifique se offline_access está habilitado em seu servidor de autorização. Navegue até Segurança → API → Servidores de autorização → padrão → Escopos e confirme se o escopo está presente. Verifique também se a política de acesso do aplicativo permite o tipo de concessão do Token de Atualização.

Aplicativo não ativado (PingOne)

Se a autenticação falhar imediatamente sem PingOne acessar a página de login, verifique se a opção do aplicativo está definida como Ativado no console do PingOne administrador.

Declaração de e-mail ausente após a atualização () PingFederate

Verifique se a email reivindicação está incluída no contrato de atributos da política do OIDC e mapeada para o atributo correto do usuário. O mapeamento deve produzir a email declaração tanto para a autenticação inicial quanto para as concessões de token de atualização.