View a markdown version of this page

Einrichtung von Amazon Quick auf dem Desktop für Unternehmensbereitstellungen - Amazon Quick

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichtung von Amazon Quick auf dem Desktop für Unternehmensbereitstellungen

 Gilt für: Enterprise Edition 
   Zielgruppe: Systemadministratoren 

Um Amazon Quick on Desktop für Unternehmensbereitstellungen zu verwenden, müssen Administratoren Enterprise Single Sign-On (SSO) so konfigurieren, dass sich Benutzer in der Organisation mit ihren Unternehmensanmeldedaten anmelden können. Dieses Setup verbindet den OpenID Connect (OIDC) -kompatiblen Identitätsanbieter (IdP) Ihres Unternehmens mit Amazon Quick.

Anmerkung

Wenn Sie ein Free- oder Plus-Konto verwenden, gilt dieser Abschnitt nicht für Sie. Fahren Sie fort mit Erste Schritte.

Die Einrichtung umfasst die folgenden Schritte in der angegebenen Reihenfolge:

  1. Erstellen Sie eine OIDC-Anwendung in Ihrem IdP.

  2. Konfigurieren Sie den Erweiterungszugriff in der Amazon Quick Management Console.

  3. Verteilen Sie die Desktop-Anwendung an Ihre Benutzer.

Dieses Handbuch enthält IdP-specific Anweisungen für Microsoft Entra ID, Google Workspace, Okta und Ping Identity (PingFederate und PingOne). Die Anweisungen für Ihren spezifischen Identitätsanbieter finden Sie weiter unten.

So funktioniert die Anmeldung für Unternehmen

Die Amazon Quick Desktop-Anwendung verwendet das OIDC-Protokoll, um Benutzer zu authentifizieren. Wenn ein Benutzer Weiter mit SSO wählt, öffnet die Anwendung ein Browserfenster und leitet zum Autorisierungsendpunkt Ihres IdP weiter. Die Anwendung tauscht dann den resultierenden Autorisierungscode mithilfe von Proof Key for Code Exchange (PKCE) gegen Token aus.

Amazon Quick validiert das Token und ordnet den Benutzer einer Identität in Ihrem Konto zu. Die E-Mail-Adresse in Ihrem IdP muss exakt mit der E-Mail-Adresse des Benutzers in Amazon Quick übereinstimmen.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie über Folgendes verfügen:

  • Ein AWS Konto mit einem aktiven Amazon Quick-Abonnement. Die Heimatregion (Identitätsregion) des Amazon Quick-Kontos muss sich in einer unterstützten Region befinden AWS-Region. Eine Liste der unterstützten -Regionen finden Sie unter Unterstützt AWS-Regionen für Amazon Quick. Alle Identitätstypen werden unterstützt, einschließlich IAM Identity Center, IAM-Verbund und systemeigener Amazon Quick (username/password) -Benutzer.

  • Administratorzugriff auf Ihr Amazon Quick-Konto.

  • Zugriff auf Ihren IdP mit Berechtigungen zum Erstellen von OIDC-Anwendungsregistrierungen.

Wichtig

Amazon Quick auf dem Desktop ist für Enterprise-Konten verfügbar AWS-Regionen, die den vollen Funktionsumfang von Amazon Quick unterstützen. Regionen, die nur Amazon Quick-Funktionen unterstützen, schließen Desktop-Computer nicht ein. Eine vollständige Liste finden Sie unter Unterstützt AWS-Regionen für Amazon Quick.

Schritt 1: Erstellen Sie eine OIDC-Anwendung in Ihrem Identity Provider

Registrieren Sie eine öffentliche OIDC-Client-Anwendung in Ihrem IdP. Die Amazon Quick Desktop-Anwendung verwendet diesen Client, um Benutzer über den Autorisierungscodefluss mit PKCE zu authentifizieren. Es ist kein geheimer Client-Schlüssel erforderlich.

Die Desktop-Anwendung benötigt Aktualisierungstoken, um langlebige Sitzungen aufrechtzuerhalten. Wie Aktualisierungstoken konfiguriert werden, hängt von Ihrem IdP ab:

  • Microsoft Entra ID — Der offline_access Geltungsbereich muss gewährt werden. Andernfalls müssen sich Benutzer häufig erneut authentifizieren.

  • Google Workspace — Nehmen Sie den access_type=offline Parameter in die Autorisierungsanfrage auf. Google gibt bei der ersten Autorisierung ein Aktualisierungstoken aus. Es ist keine zusätzliche Konfiguration für den Geltungsbereich oder die Art der Gewährung erforderlich.

  • Okta — Der Gewährungstyp „Aktualisierungstoken“ muss in der Anwendung aktiviert sein, und der offline_access Geltungsbereich muss gewährt werden.

  • Ping Identity — Der Gewährungstyp „Aktualisierungstoken“ muss aktiviert und der offline_access Geltungsbereich muss gewährt werden. Dafür PingFederate muss die Einstellung Return ID Token On Refresh Grant ebenfalls in der OIDC-Richtlinie aktiviert sein.

Wählen Sie die Anweisungen für Ihren Identitätsanbieter aus.

Microsoft Entra ID

Ausführliche Anweisungen finden Sie unter Registrieren einer Anwendung in der Microsoft Entra-Dokumentation.

Um die Registrierung der Entra ID-App zu erstellen
  1. Navigieren Sie im Azure-Portal zu Microsoft Entra ID → App-Registrierungen → Neue Registrierung.

  2. Konfigurieren Sie die folgenden Einstellungen:

    Einstellung Wert
    Name Amazon Quick Desktop
    Unterstützte Kontotypen Nur Konten in diesem Organisationsverzeichnis (Einzelmandant)
    URI-Plattform umleiten Öffentlich client/native (mobil und Desktop)
    URI umleiten http://localhost:18080
  3. Wählen Sie Registrieren aus.

  4. Notieren Sie sich auf der Übersichtsseite die Anwendungs-ID (Client) und die Verzeichnis-ID (Mandanten-ID). Sie benötigen diese Werte in späteren Schritten.

Dies ist eine öffentliche Kundenregistrierung. PKCE wird automatisch von Entra ID für öffentliche Kunden durchgesetzt.

Um API-Berechtigungen zu konfigurieren
  1. Navigieren Sie in der App-Registrierung zu API-Berechtigungen → Eine Berechtigung hinzufügen → Microsoft Graph → Delegierte Berechtigungen.

  2. Fügen Sie die folgenden Berechtigungen hinzu:openid,email,profile,offline_access.

  3. Wählen Sie Add permissions (Berechtigungen hinzufügen) aus.

  4. Wenn Ihre Organisation dies erfordert, wählen Sie Administratorzustimmung für [Ihre Organisation] gewähren aus.

Um die Authentifizierungseinstellungen zu konfigurieren
  1. Navigieren Sie in der App-Registrierung zu Authentifizierung.

  2. Stellen Sie unter Erweiterte Einstellungen die Option Öffentliche Client-Datenflüsse zulassen auf Ja ein.

  3. Vergewissern Sie http://localhost:18080 sich, dass dies unter Mobil- und Desktopanwendungen aufgeführt ist.

  4. Wählen Sie Speichern.

Um Tokenansprüche zu konfigurieren
  1. Navigieren Sie in der App-Registrierung zur Token-Konfiguration.

  2. Wählen Sie Optionalen Anspruch hinzufügen aus.

  3. Wählen Sie den Tokentyp aus: ID.

  4. Wählen Sie den email Anspruch aus und klicken Sie auf Hinzufügen.

Wichtig

Dieser Schritt ist erforderlich. Ohne den email optionalen Anspruch schließt Microsoft Entra ID die E-Mail-Adresse des Benutzers nicht im ID-Token ein, und Amazon Quick kann das Token nicht einem Benutzer zuordnen. Darüber hinaus muss für jeden Benutzer, der sich anmeldet, sein E-Mail-Attribut in seinem Entra-ID-Profil (unter Kontaktinformationen) eingetragen sein. Der Benutzerprinzipalname (UPN) allein reicht nicht aus — das Mail-Attribut muss einen Wert enthalten.

Ihre OIDC-Endpunkte verwenden das folgende Format. Ersetzen Sie es <TENANT_ID> durch Ihre Verzeichnis-ID (Mandanten-ID).

Wichtig

Die Aussteller-URL muss das /v2.0 Pfadsuffix enthalten. Verwenden Sie nicht die im Fenster Entra ID Endpoints angezeigte „Autoritäts-URL“, in der dieses Suffix weggelassen wird. Fehlt das /v2.0 Suffix, schlägt die Token-Validierung fehl und bei der Anmeldung wird der Fehler „Ungültiger Aussteller“ angezeigt.

Feld Value (Wert)
URL des Ausstellers https://login.microsoftonline.com/<TENANT_ID>/v2.0
Endpunkt der Autorisierung https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/authorize
Token-Endpunkt https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/token
JWKS URI https://login.microsoftonline.com/<TENANT_ID>/discovery/v2.0/keys
Tipp

Die JWKS-URI wird im Bereich Microsoft Entra ID Endpoints nicht angezeigt. Sie finden es, indem Sie die URL des OpenID Connect-Metadaten-Dokuments im Bereich Endpoints öffnen und das jwks_uri Feld in der JSON-Antwort suchen. Alternativ können Sie es mithilfe des in der vorherigen Tabelle angegebenen Formats erstellen.

Google WorkSpace

Eine ausführliche Anleitung finden Sie unter OAuth 2.0 für mobile und Desktop-Apps in der Dokumentation zu Google für Entwickler.

Um den Google OAuth-Client zu erstellen
  1. Navigieren Sie in der Google Cloud Console zu APIs & Services → Credentials → Credentials erstellen → OAuth-Client-ID.

  2. Konfigurieren Sie die folgenden Einstellungen:

    Einstellung Wert
    Art der Anwendung Desktop-App
    Name Amazon Quick Desktop
  3. Wählen Sie Erstellen aus.

  4. Notieren Sie sich die Client-ID und das Client-Geheimnis. Sie benötigen diese Werte in späteren Schritten.

Um den OAuth-Zustimmungsbildschirm zu konfigurieren
  1. Navigieren Sie in der Google Cloud Console zu Google Auth Platform → Branding.

  2. Stellen Sie den Benutzertyp auf Intern ein. Dadurch wird die Anmeldung auf Nutzer in Ihrer Google Workspace-Organisation beschränkt.

  3. Geben Sie die erforderlichen App-Informationen ein und wählen Sie Speichern.

Um Bereiche zu konfigurieren
  1. Navigieren Sie in der Google Cloud Console zu Google Auth Platform → Datenzugriff.

  2. Fügen Sie die folgenden Bereiche hinzu:openid,,email. profile

  3. Wählen Sie Speichern.

Google unterstützt PKCE für Desktop-Anwendungen. Aktualisierungstoken werden automatisch ausgegeben, wenn der access_type=offline Parameter in der Autorisierungsanfrage enthalten ist. Es ist keine zusätzliche Konfiguration erforderlich.

Ihre OIDC-Endpunkte lauten wie folgt:

Feld Value (Wert)
URL des Ausstellers https://accounts.google.com
Endpunkt der Autorisierung https://accounts.google.com/o/oauth2/v2/auth
Token-Endpunkt https://oauth2.googleapis.com/token?client_secret=<CLIENT_SECRET>
JWKS URI https://www.googleapis.com/oauth2/v3/certs
Anmerkung

Hängen Sie Ihr Client-Geheimnis als client_secret Abfrageparameter an den Token-Endpunkt an, damit der Token-Austausch erfolgreich ist — zum Beispiel. https://oauth2.googleapis.com/token?client_secret=<CLIENT_SECRET> Ersetzen Sie es <CLIENT_SECRET> durch den geheimen Clientschlüssel, der für Ihren OAuth-Client generiert wurde.

Okta

Eine ausführliche Anleitung finden Sie in der Okta-Dokumentation unter OpenID Connect-App-Integrationen erstellen.

So erstellen Sie die native Okta OIDC-Anwendung
  1. Navigieren Sie in der Okta Admin-Konsole zu Anwendungen → Anwendungen → App-Integration erstellen.

  2. Wählen Sie OIDC - OpenID Connect als Anmeldemethode aus.

  3. Wählen Sie Native Application als Anwendungstyp aus und wählen Sie dann Weiter.

  4. Konfigurieren Sie die folgenden Einstellungen:

    Einstellung Wert
    Name der App-Integration Amazon Quick Desktop
    Art des Zuschusses Autorisierungscode und Aktualisierungstoken
    Sign-in URIs umleiten http://localhost:18080
    Aufgaben Weisen Sie sie den entsprechenden Benutzern oder Gruppen zu
  5. Wählen Sie Speichern.

  6. Notieren Sie sich auf der Registerkarte Allgemein die Client-ID.

PKCE (S256) wird von Okta für native Anwendungen automatisch durchgesetzt.

Um Bereiche zu konfigurieren
  1. Navigieren Sie in der Okta Admin-Konsole zu Sicherheit → API → Autorisierungsserver und wählen Sie Ihren Autorisierungsserver aus (z. B. den Standardserver).

  2. Stellen Sie auf der Registerkarte Bereiche sicher, dass die folgenden Bereiche aktiviert sind:openid,,,email. profile offline_access

  3. Vergewissern Sie sich auf der Registerkarte Zugriffsrichtlinien, ob die dieser Anwendung zugewiesene Richtlinie die Typen Authorization Code und Refresh Token Gewährung zulässt.

Um die Authentifizierungseinstellungen zu überprüfen
  1. Gehen Sie in der App-Integration zur Registerkarte Allgemein.

  2. Vergewissern Sie sich unter Allgemeine Einstellungen, dass der Anwendungstyp Nativ, die Client-Authentifizierung auf Keine (öffentlicher Client) und PKCE erforderlich ist.

  3. Bestätigen Sie unter LOGIN, dass dieser URI als Umleitungs-URI aufgeführt http://localhost:18080 ist.

  4. Wählen Sie Speichern, wenn Sie Änderungen vorgenommen haben.

Ihre OIDC-Endpunkte verwenden das folgende Format. <OKTA_DOMAIN>Ersetzen Sie es durch Ihre Okta-Domain (z. B.). your-org.okta.com

Feld Value (Wert)
URL des Ausstellers https://<OKTA_DOMAIN>/oauth2/default
Endpunkt der Autorisierung https://<OKTA_DOMAIN>/oauth2/default/v1/authorize
Token-Endpunkt https://<OKTA_DOMAIN>/oauth2/default/v1/token
JWKS URI https://<OKTA_DOMAIN>/oauth2/default/v1/keys

Ping Identity

Wählen Sie die Anweisungen für Ihr Ping Identity-Produkt aus.

PingFederate

Eine ausführliche Anleitung finden Sie in PingFederate der Ping Identity-Dokumentation unter Einrichten einer OIDC-Anwendung.

Um den OIDC-Client zu erstellen PingFederate
  1. Gehen Sie in der PingFederate Administrationskonsole zu Anwendungen → OAuth → Clients und wählen Sie Client hinzufügen.

  2. Geben Sie im Feld Client-ID eine eindeutige Kennung für diesen Client ein.

  3. Geben Sie im Feld Name Amazon Quick Desktop ein.

  4. Wählen Sie für Client-Authentifizierung die Option Keine aus.

  5. Geben Sie im Abschnitt Umleitungs-URI die Eingabe ein http://localhost:18080 und wählen Sie Hinzufügen aus.

  6. Wählen Sie in der Liste Zulässige Zuschusstypen die Optionen Autorisierungscode und Aktualisierungstoken aus.

  7. Aktivieren Sie das Kontrollkästchen Proof Key for Code Exchange (PKCE) erforderlich.

  8. Gewähren Sie unter Allgemeine Geltungsbereiche Folgendes:openid,,email,profile. offline_access

  9. Wählen Sie Speichern.

  10. Notieren Sie sich die Client-ID. Sie benötigen diesen Wert in späteren Schritten.

Um die OIDC-Richtlinie zu konfigurieren
  1. Gehen Sie in der PingFederate Administrationskonsole zu Anwendungen → OAuth → OpenID Connect Policy Management.

  2. Wählen Sie die mit diesem Client verknüpfte OIDC-Richtlinie aus, oder wählen Sie Richtlinie hinzufügen, um eine zu erstellen.

  3. Aktivieren Sie das Kontrollkästchen „ID-Token bei Refresh Grant zurückgeben“. Dadurch wird sichergestellt, dass die Desktop-Anwendung beim Aktualisieren der Sitzung ein neues ID-Token mit aktuellen Ansprüchen erhält.

  4. Stellen Sie unter Attributvertrag sicher, dass der email Anspruch enthalten ist und dem entsprechenden Benutzerattribut in Ihrer Authentifizierungsquelle zugeordnet ist. Der email Anspruch muss in Tokens enthalten sein, die sowohl bei der Erstauthentifizierung als auch bei der Gewährung von Aktualisierungstoken ausgestellt wurden.

  5. Wählen Sie Speichern.

Ihre OIDC-Endpunkte verwenden das folgende Format. Ersetzen Sie es <PINGFEDERATE_HOST> durch Ihren Server-Hostnamen PingFederate .

Feld Value (Wert)
URL des Ausstellers https://<PINGFEDERATE_HOST>
Endpunkt der Autorisierung https://<PINGFEDERATE_HOST>/as/authorization.oauth2
Token-Endpunkt https://<PINGFEDERATE_HOST>/as/token.oauth2
JWKS URI https://<PINGFEDERATE_HOST>/pf/JWKS

PingOne

Eine ausführliche Anleitung finden Sie unter Anwendung bearbeiten — Nativ in der Ping Identity-Dokumentation.

So erstellen Sie die native PingOne OIDC-Anwendung
  1. Gehen Sie in der PingOne Admin-Konsole zu Anwendungen → Anwendungen und wählen Sie das Pluszeichen.

  2. Geben Sie Amazon Quick Desktop den Namen der Anwendung ein.

  3. Wählen Sie im Abschnitt Anwendungstyp die Option Nativ und dann Speichern aus.

  4. Wählen Sie auf der Registerkarte Konfiguration die Option Bearbeiten und konfigurieren Sie die folgenden Einstellungen:

    Einstellung Wert
    Art der Antwort Code
    Art des Zuschusses Autorisierungscode und Aktualisierungstoken
    PKCE-Durchsetzung S256
    URIs umleiten http://localhost:18080
    Authentifizierungsmethode für Token-Endgeräte Keine
  5. Wählen Sie Speichern.

  6. Fügen Sie auf der Registerkarte Ressourcen die folgenden Bereiche hinzu:openid,, emailprofile,offline_access.

  7. Stellen Sie auf der Registerkarte Attributzuordnungen sicher, dass das email Attribut der E-Mail-Adresse des Benutzers zugeordnet ist.

  8. Schalten Sie die Anwendung auf Aktiviert um.

  9. Notieren Sie sich die Client-ID und die Umgebungs-ID auf der Registerkarte Konfiguration.

Anmerkung

Die PingOne Domain variiert je nach Region. Die folgenden Beispiele verwenden.com. Ersetzen Sie die Domain durch die Domain für Ihre Umgebung (z. B..ca,.eu, oder.asia).

Ihre OIDC-Endpunkte verwenden das folgende Format. Ersetzen Sie es <ENV_ID> durch Ihre Umgebungs-ID PingOne .

Feld Value (Wert)
URL des Ausstellers https://auth.pingone.com/<ENV_ID>/as
Endpunkt der Autorisierung https://auth.pingone.com/<ENV_ID>/as/authorize
Token-Endpunkt https://auth.pingone.com/<ENV_ID>/as/token
JWKS URI https://auth.pingone.com/<ENV_ID>/as/jwks

Schritt 2: Konfigurieren Sie den Erweiterungszugriff in der Amazon Quick Management Console

Um den Erweiterungszugriff hinzuzufügen
  1. Melden Sie sich bei der Amazon Quick Management Console an und wählen Sie Konto verwalten.

  2. Wählen Sie im linken Navigationsbereich unter Berechtigungen die Option Erweiterungszugriff aus.

  3. Wählen Sie Erweiterungszugriff hinzufügen aus.

  4. Wählen Sie unter Select Service Amazon Quick (Desktop-Anwendung für Quick) und dann Weiter aus.

  5. Geben Sie die Details der Amazon Quick-Erweiterung ein:

    Feld Value (Wert) Hinweise
    Name Ein Name für diesen Erweiterungszugriff (z. B.QuickDesktop-access) Nur interne Referenz. Dieser Name ist in Ihrem IdP nicht konfiguriert. Nur alphanumerische Zeichen und Bindestriche, keine Leerzeichen.
    Description (Optional) Eine Beschreibung dieses Erweiterungszugriffs Optional. Nur zu Ihrer Information.
    URL des Ausstellers Die URL des OIDC-Ausstellers aus Schritt 1 Muss das /v2.0 Suffix für Entra ID enthalten.
    Endpunkt der Autorisierung Die URL des OIDC-Autorisierungsendpunkts aus Schritt 1
    Token-Endpunkt Die URL des OIDC-Token-Endpunkts aus Schritt 1
    JWKS URI Der JSON Web Key Set URI aus Schritt 1
    Client-ID Die OIDC-Client-ID aus Schritt 1
  6. Wählen Sie Hinzufügen aus.

    Wichtig

    Vergewissern Sie sich, dass alle Werte korrekt sind, bevor Sie Hinzufügen wählen. Die Konfiguration für den Erweiterungszugriff kann nach der Erstellung nicht bearbeitet werden. Wenn ein Wert falsch ist, müssen Sie den Erweiterungszugriff löschen und einen neuen erstellen.

Um die Erweiterung zu erstellen
  1. Wählen Sie in der Amazon Quick-Managementkonsole im linken Navigationsbereich Quick und dann unter Apps und Daten Connect die Option Erweiterungen aus.

  2. Wählen Sie Erweiterung hinzufügen.

  3. Wählen Sie die Desktop-Anwendung für den schnellen Erweiterungszugriff aus, die Sie zuvor erstellt haben. Wählen Sie Next.

  4. Wählen Sie Erstellen aus.

Wichtig

Beide Schritte sind erforderlich. Wenn Sie nur den Erweiterungszugriff konfigurieren, ohne die Erweiterung zu erstellen, ist die Enterprise-Anmeldung nicht verfügbar und Benutzern wird die folgende Fehlermeldung angezeigt: „Die Unternehmensanmeldung für Quick Desktop wurde für dieses Konto nicht konfiguriert.“

Anmerkung

Das Erstellen der Erweiterung ist eine einmalige Aktion auf Kontoebene. Sobald ein Administrator die Erweiterung erstellt hat, ist die Unternehmensanmeldung für alle Benutzer des Kontos verfügbar. Einzelne Benutzer müssen die Erweiterung nicht selbst aktivieren — sie müssen lediglich die Desktop-Anwendung herunterladen und sich anmelden.

Schritt 3: Laden Sie die Desktop-Anwendung herunter und verteilen Sie sie

Nachdem Sie die Enterprise-Anmeldung konfiguriert haben, überprüfen Sie das Setup, indem Sie die Desktop-Anwendung selbst herunterladen und installieren. Wählen Sie auf dem Anmeldebildschirm Enterprise Login und authentifizieren Sie sich mit Ihren Unternehmensanmeldedaten, um zu bestätigen, dass die Konfiguration funktioniert. Anweisungen zum Herunterladen und Installieren finden Sie unter. Erste Schritte

Wenn die Anmeldung fehlschlägt, überprüfen Sie die in Schritt 2 eingegebenen Werte mit den OIDC-Endpunkten aus Schritt 1. Wenn ein Wert falsch ist, löschen Sie den Erweiterungszugriff unter Berechtigungen → Erweiterungszugriff und wiederholen Sie Schritt 2 mit den richtigen Werten.

Nachdem Sie die Einrichtung überprüft haben, verweisen Sie Ihre Benutzer auf Anweisungen Erste Schritte zum Herunterladen, Installieren und Anmelden.

Fehlerbehebung

redirect_mismatch-Fehler

Stellen Sie sicher, dass die Umleitungs-URI in Ihrem IdP exakt ist http://localhost:18080 und als öffentlicher Client oder native Plattform konfiguriert ist.

Der Benutzer wurde nach der Anmeldung nicht gefunden

Dieser Fehler hat zwei häufige Ursachen:

  1. Der E-Mail-Anspruch wird nicht im Token zurückgegeben. Für Microsoft Entra ID müssen Sie dem ID-Token unter Token-Konfiguration den email optionalen Anspruch hinzufügen (siehe Schritt 1). Darüber hinaus muss das E-Mail-Attribut des Benutzers in sein Entra-ID-Profil eingetragen werden. Der Benutzerprinzipalname (UPN) allein reicht nicht aus.

  2. In Amazon Quick ist kein passender Benutzer vorhanden. Die E-Mail im Token muss exakt mit der E-Mail-Adresse eines bereitgestellten Benutzers übereinstimmen. Stellen Sie bei IAM Identity Center-Konten sicher, dass die E-Mail-Adresse des Benutzers in Identity Center übereinstimmt. Beim E-Mail-Abgleich wird zwischen Groß- und Kleinschreibung unterschieden.

Fehler bei der Token-Validierung

Stellen Sie sicher, dass die Aussteller-URL in der Konfiguration für den Erweiterungszugriff genau mit der Aussteller-URL in der OIDC-Konfiguration Ihres IdP übereinstimmt.

Ungültiger Ausstellerfehler (Microsoft Entra ID)

Wenn die Anmeldung mit „Ungültiger Aussteller:https://login.microsoftonline.com/TENANT_ID/v2.0“ fehlschlägt, stellen Sie sicher, dass die Aussteller-URL in Ihrer Konfiguration für den Erweiterungszugriff das Pfadsuffix enthält. /v2.0 Der Entra ID v2.0-Endpunkt gibt Token mit einem Anspruch aus, der Folgendes beinhaltet: iss /v2.0 Wenn das Suffix fehlt, löschen Sie den Erweiterungszugriff und erstellen Sie ihn mit der richtigen Aussteller-URL neu.

Die Unternehmensanmeldung ist für dieses Konto nicht konfiguriert

Dieser Fehler bedeutet, dass der Erweiterungszugriff erstellt wurde, die Erweiterung selbst jedoch nicht. Navigieren Sie in der Managementkonsole zu Apps und Daten Connect → Erweiterungen und erstellen Sie die Erweiterung. Wählen Sie dabei den Erweiterungszugriff aus, den Sie zuvor konfiguriert haben.

Die Anforderung der Benutzerinformationen ist fehlgeschlagen (HTTP 504)

Dies ist ein vorübergehender Backend-Timeout. Melden Sie sich zuerst über den Webbrowser bei Ihrem Amazon Quick-Konto an und versuchen Sie dann erneut, sich auf dem Desktop anzumelden. Wenn der Fehler weiterhin besteht, überprüfen Sie die Netzwerkverbindung zum Amazon Quick Service-Endpunkt.

Einwilligungs- oder Genehmigungsfehler (Microsoft Entra ID)

Erteilen Sie die Zustimmung des Administrators für die erforderlichen API-Berechtigungen im Azure-Portal. Navigieren Sie zur Seite mit den API-Berechtigungen der App-Registrierung und wählen Sie Administratorzustimmung für [Ihre Organisation] gewähren aus.

Die Sitzung läuft häufig ab

Stellen Sie sicher, dass Ihr IdP so konfiguriert ist, dass er Aktualisierungstoken ausstellt. Für Microsoft Entra ID ist der offline_access Bereich erforderlich. Bei Google Workspace ist dies access_type=offline in der Autorisierungsanfrage enthalten (wird automatisch von Quick bearbeitet). Für Okta muss der Gewährungstyp „Aktualisierungstoken“ aktiviert und der offline_access Geltungsbereich muss gewährt werden. Für Ping Identity muss der Gewährungstyp „Aktualisierungstoken“ aktiviert und der offline_access Geltungsbereich muss gewährt werden. Stellen Sie außerdem sicher PingFederate, dass in der OIDC-Richtlinie die Option Return ID Token On Refresh Grant ausgewählt ist.

invalid_scopeFehler (Okta)

Stellen Sie sicher, dass offline_access dies auf Ihrem Autorisierungsserver aktiviert ist. Navigieren Sie zu Sicherheit → API → Autorisierungsserver → Standard → Bereiche und vergewissern Sie sich, dass der Bereich vorhanden ist. Stellen Sie außerdem sicher, dass die Zugriffsrichtlinie für die Anwendung den Gewährungstyp „Aktualisierungstoken“ zulässt.

Anwendung nicht aktiviert (PingOne)

Wenn die Authentifizierung sofort fehlschlägt, ohne die PingOne Anmeldeseite aufzurufen, stellen Sie sicher, dass der Anwendungsschalter in der PingOne Admin-Konsole auf Aktiviert gesetzt ist.

Fehlender E-Mail-Anspruch nach der Aktualisierung () PingFederate

Stellen Sie sicher, dass der email Anspruch im Attributvertrag der OIDC-Richtlinie enthalten und dem richtigen Benutzerattribut zugeordnet ist. Die Zuordnung muss den email Anspruch sowohl für die Erstauthentifizierung als auch für die Gewährung von Aktualisierungstoken enthalten.