Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Configuración de Amazon Quick en ordenadores de sobremesa para despliegues empresariales
| Se aplica a: Enterprise Edition |
| Público al que va dirigido: administradores de sistemas |
Para usar Amazon Quick on desktop para implementaciones empresariales, los administradores deben configurar el inicio de sesión único (SSO) empresarial para que los usuarios de la organización puedan iniciar sesión con sus credenciales corporativas. Esta configuración conecta el proveedor de identidad (IdP) compatible con OpenID Connect (OIDC) de su organización con Amazon Quick.
nota
Si utilizas una cuenta gratuita o una cuenta Plus, esta sección no se aplica a tu caso. Siga en Introducción.
La configuración implica los siguientes pasos, en orden:
-
Cree una aplicación OIDC en su IdP.
-
Configure el acceso a la extensión en la consola de administración de Amazon Quick.
-
Distribuya la aplicación de escritorio a sus usuarios.
Esta guía proporciona IdP-specific instrucciones para Microsoft Entra ID, Google Workspace, Okta y Ping Identity (PingFederate y PingOne). Consulta las instrucciones para tu proveedor de identidad específico a continuación.
Cómo funciona el inicio de sesión empresarial
La aplicación de escritorio Amazon Quick utiliza el protocolo OIDC para autenticar a los usuarios. Cuando un usuario elige Continuar con el inicio de sesión único, la aplicación abre una ventana del navegador y la redirige al punto de autorización de su IdP. A continuación, la aplicación intercambia el código de autorización resultante por tokens mediante Proof Key for Code Exchange (PKCE).
Amazon Quick valida el token y asigna al usuario a una identidad de tu cuenta. La dirección de correo electrónico de tu IDP debe coincidir exactamente con la dirección de correo electrónico del usuario en Amazon Quick.
Requisitos previos
Antes de empezar, compruebe que dispone de lo siguiente:
-
Una AWS cuenta con una suscripción activa a Amazon Quick. La región de origen de la cuenta Amazon Quick (región de identidad) debe estar en una región compatible Región de AWS. Para obtener una lista de las regiones admitidas, consulte compatible Regiones de AWS para Amazon Quick. Se admiten todos los tipos de identidad, incluidos el Centro de identidades de IAM, la federación de IAM y los usuarios nativos de Amazon Quick (username/password).
-
Acceso de administrador a tu cuenta de Amazon Quick.
-
Acceso a su IdP con permisos para crear registros de aplicaciones OIDC.
importante
Amazon Quick para escritorio está disponible para cuentas empresariales Regiones de AWS que admiten el conjunto completo de funciones de Amazon Quick. Las regiones que solo admiten las capacidades de Amazon Quick no incluyen computadoras de escritorio. Puede consultar la lista completa e compatible Regiones de AWS para Amazon Quick.
Paso 1: Cree una aplicación OIDC en su proveedor de identidad
Registre una aplicación cliente OIDC pública en su IdP. La aplicación de escritorio Amazon Quick utiliza este cliente para autenticar a los usuarios mediante el flujo de códigos de autorización con PKCE. No se requiere ningún secreto de cliente.
La aplicación de escritorio requiere tokens de actualización para mantener sesiones de larga duración. La forma en que se configuran los tokens de actualización depende de su IdP:
-
Microsoft Entra ID: se debe conceder el
offline_accessalcance. Sin él, los usuarios deben volver a autenticarse con frecuencia. -
Google Workspace: incluye el
access_type=offlineparámetro en la solicitud de autorización. Google emite un token de actualización en la primera autorización. No se requiere ninguna configuración adicional de ámbito o tipo de concesión. -
Okta: el tipo de concesión Refresh Token debe estar habilitado en la aplicación y el
offline_accessalcance debe estar otorgado. -
Identidad de ping: el tipo de concesión del token de actualización debe estar habilitado y el
offline_accessalcance debe estar otorgado. En este PingFederate caso, la configuración de la concesión de devolución del token de ID al actualizar también debe estar habilitada en la política de la OIDC.
Elige las instrucciones para tu proveedor de identidad.
ID de Microsoft Entra
Para obtener instrucciones detalladas, consulte Registrar una aplicación
Para crear el registro de la aplicación Entra ID
-
En el portal de Azure, vaya a Microsoft Entra ID → Registros de aplicaciones → Nuevo registro.
-
Configure los siguientes ajustes:
Opción Valor Name Amazon Quick DesktopTipos de cuentas compatibles Solo cuentas de este directorio organizativo (arrendatario único) Plataforma de URL de redireccionamiento Pública client/native (móvil y de escritorio) URL de redireccionamiento http://localhost:18080 -
Elija Registro.
-
En la página de descripción general, anote el ID de la aplicación (cliente) y el ID del directorio (inquilino). Necesitará estos valores en pasos posteriores.
Se trata de un registro de cliente público. Entra ID aplica automáticamente el PKCE para los clientes públicos.
Para configurar los permisos de la API
-
En el registro de la aplicación, vaya a Permisos de API → Añadir un permiso → Microsoft Graph → Permisos delegados.
-
Agregue los siguientes permisos:
openid,,emailprofile,offline_access. -
Elija Añadir permisos.
-
Si su organización lo requiere, elija Otorgar el consentimiento de administrador para [su organización].
Para configurar los ajustes de autenticación
-
En el registro de la aplicación, vaya a Autenticación.
-
En Configuración avanzada, establece Permitir flujos de clientes públicos en Sí.
-
Verifica
http://localhost:18080que aparezca en la lista de Aplicaciones móviles y de escritorio. -
Seleccione Save.
Para configurar las notificaciones de token
-
En el registro de la aplicación, dirígete a la configuración del token.
-
Selecciona Añadir reclamación opcional.
-
Selecciona el tipo de token: ID.
-
Selecciona la
emailreclamación y selecciona Añadir.
importante
Este paso es necesario. Sin la afirmación email opcional, Microsoft Entra ID no incluye la dirección de correo electrónico del usuario en el token de ID y Amazon Quick no puede asignar el token a un usuario. Además, cada usuario que inicie sesión debe tener su atributo Mail rellenado en su perfil de Entra ID (en Información de contacto). El nombre principal del usuario (UPN) por sí solo no es suficiente: el atributo Mail debe contener un valor.
Los puntos finales del OIDC utilizan el siguiente formato. Reemplácelo por <TENANT_ID> su ID de directorio (inquilino).
importante
La URL del emisor debe incluir el sufijo de la /v2.0 ruta. No utilices la «URL de autoridad» que aparece en el panel de puntos finales de Entra ID, ya que omite este sufijo. Si falta el /v2.0 sufijo, se produce un error en la validación del token y aparece el error «Emisor no válido» al iniciar sesión.
| Campo | Valor |
|---|---|
| URL del emisor | https://login.microsoftonline.com/<TENANT_ID>/v2.0 |
| Punto de conexión de autorización | https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/authorize |
| Punto de conexión de token | https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/token |
| JWKS URI | https://login.microsoftonline.com/<TENANT_ID>/discovery/v2.0/keys |
sugerencia
El URI de JWKS no se muestra en el panel Microsoft Entra ID Endpoints. Para encontrarlo, abra la URL del documento de metadatos de OpenID Connect desde el panel Endpoints y localice el jwks_uri campo en la respuesta JSON. Como alternativa, créelo con el formato que se muestra en la tabla anterior.
Workspace de Google
Para obtener instrucciones detalladas, consulta OAuth 2.0 para aplicaciones móviles y de escritorio
Para crear el cliente OAuth de Google
-
En Google Cloud Console, vaya a API y servicios → Credenciales → Crear credenciales → ID de cliente de OAuth.
-
Configure los siguientes ajustes:
Opción Valor Tipo de aplicación Aplicación de escritorio Name Amazon Quick Desktop -
Seleccione Crear.
-
Anote el ID de cliente y el secreto del cliente. Necesitará estos valores en los pasos posteriores.
Para configurar la pantalla de consentimiento de OAuth
-
En Google Cloud Console, dirígete a Google Auth Platform → Branding.
-
Establece el tipo de usuario como Interno. Esto restringe el inicio de sesión a los usuarios de tu organización de Google Workspace.
-
Rellena la información de la aplicación requerida y selecciona Guardar.
Para configurar los ámbitos
-
En Google Cloud Console, dirígete a Google Auth Platform → Data Access.
-
Agrega los siguientes ámbitos:
openid,,email.profile -
Seleccione Save.
Google admite el PKCE para aplicaciones de escritorio. Los tokens de actualización se emiten automáticamente cuando el access_type=offline parámetro se incluye en la solicitud de autorización. No se necesita configuración adicional.
Sus puntos finales del OIDC son los siguientes:
| Campo | Valor |
|---|---|
| URL del emisor | https://accounts.google.com |
| Punto de conexión de autorización | https://accounts.google.com/o/oauth2/v2/auth |
| Punto de conexión de token | https://oauth2.googleapis.com/token?client_secret=<CLIENT_SECRET> |
| JAKS URI | https://www.googleapis.com/oauth2/v3/certs |
nota
Añada el secreto de su cliente al punto final del token como parámetro de client_secret consulta para que el intercambio del token se realice correctamente, por ejemplo,. https://oauth2.googleapis.com/token?client_secret=<CLIENT_SECRET> <CLIENT_SECRET>Sustitúyalo por el secreto de cliente generado para tu cliente OAuth.
Okta
Para obtener instrucciones detalladas, consulte Crear integraciones de aplicaciones OpenID Connect
Para crear la aplicación nativa OIDC de Okta
-
En la consola de administración de Okta, vaya a Aplicaciones → Aplicaciones → Crear integración de aplicaciones.
-
Seleccione OIDC - OpenID Connect como método de inicio de sesión.
-
Seleccione Aplicación nativa como tipo de aplicación y, a continuación, elija Siguiente.
-
Configure los siguientes ajustes:
Opción Valor Nombre de la integración de la aplicación Amazon Quick DesktopTipo de subvención Código de autorización y token de actualización Sign-in redirigir los URIs http://localhost:18080Asignaciones Asigne a los usuarios o grupos apropiados -
Seleccione Save.
-
En la pestaña General, anote el ID de cliente.
Okta aplica automáticamente el PKCE (S256) para las aplicaciones nativas.
Para configurar los ámbitos
-
En la consola de administración de Okta, vaya a Seguridad → API → Servidores de autorización y seleccione su servidor de autorización (por ejemplo, el predeterminado).
-
En la pestaña Ámbitos, compruebe que los siguientes ámbitos estén activados:
openid,,,email.profileoffline_access -
En la pestaña Políticas de acceso, compruebe que la política asignada a esta aplicación permita los tipos de
Refresh TokenconcesiónAuthorization Codey.
Para comprobar la configuración de autenticación
-
En la integración de aplicaciones, vaya a la pestaña General.
-
En Configuración general, confirme que el tipo de aplicación es nativo, que la autenticación del cliente es Ninguna (cliente público) y que se requiere el PKCE.
-
En INICIO DE SESIÓN, confirme
http://localhost:18080que aparezca como URI de redireccionamiento. -
Selecciona Guardar si has realizado algún cambio.
Los puntos finales del OIDC utilizan el siguiente formato. <OKTA_DOMAIN>Sustitúyalo por tu dominio de Okta (por ejemplo,). your-org.okta.com
| Campo | Valor |
|---|---|
| URL del emisor | https://<OKTA_DOMAIN>/oauth2/default |
| Punto de conexión de autorización | https://<OKTA_DOMAIN>/oauth2/default/v1/authorize |
| Punto de conexión de token | https://<OKTA_DOMAIN>/oauth2/default/v1/token |
| JAKS URI | https://<OKTA_DOMAIN>/oauth2/default/v1/keys |
Ping Identity
Elige las instrucciones para tu producto de Ping Identity.
PingFederate
Para obtener instrucciones detalladas, consulte Configuración de una aplicación OIDC PingFederate en la documentación
Para crear el cliente OIDC PingFederate
-
En la consola PingFederate administrativa, vaya a Aplicaciones → OAuth → Clientes y elija Agregar cliente.
-
En el campo ID de cliente, introduce un identificador único para este cliente.
-
En el campo Nombre, escriba
Amazon Quick Desktop. -
Para la autenticación del cliente, seleccione Ninguna.
-
En la sección URI de redirección, introduzca
http://localhost:18080y seleccione Añadir. -
En la lista de tipos de concesión permitidos, seleccione Código de autorización y Actualice el token.
-
Seleccione la casilla de verificación Requerir clave de prueba para el intercambio de códigos (PKCE).
-
En Common Scopes, conceda lo siguiente:
openid,,,email.profileoffline_access -
Seleccione Save.
-
Anote el ID de cliente. Necesitará este valor en pasos posteriores.
Para configurar la política de OIDC
-
En la consola PingFederate administrativa, vaya a Aplicaciones → OAuth → OpenID Connect Policy Management.
-
Seleccione la política OIDC asociada a este cliente o elija Agregar política para crear una.
-
Seleccione la casilla de verificación Return ID Token On Refresh Grant. Esto garantiza que la aplicación de escritorio reciba un token de identificación nuevo con las notificaciones actuales al actualizar la sesión.
-
En el apartado Contrato de atributos, comprueba que la
emailafirmación esté incluida y asignada al atributo de usuario correspondiente en tu fuente de autenticación. Laemailafirmación debe estar presente en los tokens emitidos tanto durante la autenticación inicial como durante la concesión de los tokens de actualización. -
Seleccione Save.
Sus puntos de conexión OIDC utilizan el siguiente formato. Sustitúyalo por el <PINGFEDERATE_HOST> nombre de host del servidor. PingFederate
| Campo | Valor |
|---|---|
| URL del emisor | https://<PINGFEDERATE_HOST> |
| Punto de conexión de autorización | https://<PINGFEDERATE_HOST>/as/authorization.oauth2 |
| Punto de conexión de token | https://<PINGFEDERATE_HOST>/as/token.oauth2 |
| JWKS URI | https://<PINGFEDERATE_HOST>/pf/JWKS |
PingOne
Para obtener instrucciones detalladas, consulte Edición de una aplicación nativa
Para crear la aplicación nativa del PingOne OIDC
-
En la consola de PingOne administración, vaya a Aplicaciones → Aplicaciones y seleccione el icono +.
-
Introduce
Amazon Quick Desktopel nombre de la aplicación. -
En la sección Tipo de aplicación, seleccione Nativa y, a continuación, seleccione Guardar.
-
En la pestaña Configuración, elija Editar y configure los siguientes ajustes:
Opción Valor Tipo de respuesta Código Tipo de subvención Código de autorización y token de actualización Cumplimiento de la PKCE S256 URI de redirección http://localhost:18080Método de autenticación Token Endpoint Ninguno -
Seleccione Save.
-
En la pestaña Recursos, agregue los siguientes ámbitos:
openid,,emailprofile,offline_access. -
En la pestaña Asignaciones de atributos, compruebe que el
emailatributo esté asignado a la dirección de correo electrónico del usuario. -
Cambie la aplicación a Habilitada.
-
Anote el ID de cliente y el ID de entorno en la pestaña Configuración.
nota
El PingOne dominio varía según la región. En los ejemplos que aparecen a continuación se utiliza.com. Sustituya el dominio por el de su entorno (por ejemplo,.ca,.eu, o.asia).
Sus puntos de conexión OIDC utilizan el siguiente formato. Sustitúyalo por <ENV_ID> el ID de su entorno. PingOne
| Campo | Valor |
|---|---|
| URL del emisor | https://auth.pingone.com/<ENV_ID>/as |
| Punto de conexión de autorización | https://auth.pingone.com/<ENV_ID>/as/authorize |
| Punto de conexión de token | https://auth.pingone.com/<ENV_ID>/as/token |
| JAKS URI | https://auth.pingone.com/<ENV_ID>/as/jwks |
Paso 2: Configurar el acceso a la extensión en la consola de administración de Amazon Quick
Para añadir la extensión, acceda
-
Inicia sesión en la consola de administración de Amazon Quick y selecciona Administrar cuenta.
-
En el panel de navegación izquierdo, en Permisos, selecciona Acceso a extensiones.
-
Seleccione Añadir acceso a extensiones.
-
En Select Service, selecciona Amazon Quick (aplicación de escritorio para Quick) y selecciona Siguiente.
-
Introduce los detalles de la extensión Amazon Quick:
Campo Valor Notas Name Un nombre para el acceso a esta extensión (por ejemplo, QuickDesktop-access)Solo referencia interna. Este nombre no está configurado en su IdP. Solo alfanuméricos y guiones, sin espacios. Description (Descripción) (Opcional) Una descripción del acceso a esta extensión Opcional. Solo para su referencia. URL del emisor La URL del emisor del OIDC del paso 1 Debe incluir el /v2.0sufijo del ID de Entra.Punto final de autorización La URL del punto de enlace de autorización del OIDC del paso 1 Punto final del token La URL del punto final del token OIDC del paso 1 JWKS URI El URI del conjunto de claves web JSON del paso 1 ID de cliente El identificador de cliente OIDC del paso 1 -
Elija Añadir.
importante
Compruebe que todos los valores son correctos antes de elegir Añadir. La configuración de acceso a la extensión no se puede editar después de la creación. Si algún valor es incorrecto, debe eliminar el acceso a la extensión y crear uno nuevo.
Para crear la extensión
-
En la consola de administración de Amazon Quick, en el panel de navegación izquierdo, selecciona Quick y, en Conectar aplicaciones y datos, selecciona Extensiones.
-
Selecciona Añadir extensión.
-
Seleccione la aplicación de escritorio para acceder rápidamente a la extensión que creó anteriormente. Elija Next (Siguiente).
-
Seleccione Create (Crear).
importante
Se requieren ambos pasos. Si solo configuras el acceso a la extensión sin crear la extensión, el inicio de sesión empresarial no estará disponible y los usuarios verán el siguiente error: «El inicio de sesión empresarial de Quick Desktop no se ha configurado para esta cuenta».
nota
La creación de la extensión es una acción única a nivel de cuenta. Una vez que el administrador crea la extensión, el inicio de sesión empresarial está disponible para todos los usuarios de la cuenta. Los usuarios individuales no necesitan habilitar la extensión ellos mismos, solo tienen que descargar la aplicación de escritorio e iniciar sesión.
Paso 3: Descarga y distribuye la aplicación de escritorio
Tras configurar el inicio de sesión empresarial, compruebe la configuración descargando e instalando usted mismo la aplicación de escritorio. Selecciona el inicio de sesión empresarial en la pantalla de inicio de sesión y autentícate con tus credenciales corporativas para confirmar que la configuración funciona. Para ver los pasos de descarga e instalación, consulte. Introducción
Si se produce un error al iniciar sesión, compruebe los valores que ingresó en el paso 2 con los puntos finales del OIDC del paso 1. Si algún valor es incorrecto, elimine el acceso a la extensión en Permisos → Acceso a la extensión y repita el paso 2 con los valores correctos.
Tras comprobar la configuración, pida a los usuarios que consulten las Introducción instrucciones de descarga, instalación e inicio de sesión.
Resolución de problemas
- Error
redirect_mismatch -
Compruebe que el URI de redireccionamiento de su IdP sea exacto
http://localhost:18080y esté configurado como un cliente público o una plataforma nativa. - No se encontró el usuario después de iniciar sesión
-
Este error se debe a dos causas comunes:
-
La reclamación por correo electrónico no se devuelve en el token. Para Microsoft Entra ID, debes añadir el reclamo
emailopcional al token de ID en la configuración del token (consulta el paso 1). Además, el atributo Mail del usuario debe estar rellenado en su perfil de Entra ID. El nombre principal del usuario (UPN) por sí solo no es suficiente. -
No existe ningún usuario coincidente en Amazon Quick. El correo electrónico del token debe coincidir exactamente con el correo electrónico de un usuario aprovisionado. En el caso de las cuentas del IAM Identity Center, compruebe que el correo electrónico del usuario en Identity Center coincida. La coincidencia de correos electrónicos distingue entre mayúsculas y minúsculas.
-
- Fallo en la validación del token
-
Compruebe que la URL del emisor en la configuración de acceso a la extensión coincida exactamente con la URL del emisor en la configuración OIDC de su IdP.
- Error de emisor no válido (Microsoft Entra ID)
-
Si no se puede iniciar sesión y aparece el mensaje «Emisor no válido:https://login.microsoftonline.com/TENANT_ID/v2.0», compruebe que la URL del emisor en la configuración de acceso a la extensión incluya el sufijo de la ruta.
/v2.0El terminal Entra ID v2.0 emite los tokens con una afirmación que incluye:iss/v2.0Si falta el sufijo, elimina el acceso a la extensión y vuelve a crearlo con la URL del emisor correcta. - El inicio de sesión empresarial no está configurado para esta cuenta
-
Este error significa que se creó el acceso a la extensión, pero no la extensión en sí. Vaya a Conectar aplicaciones y datos → Extensiones en la consola de administración y cree la extensión, seleccionando el acceso a la extensión que configuró previamente.
- Error en la solicitud de información de usuario (HTTP 504)
-
Se ha agotado el tiempo de espera del backend transitorio. Inicia sesión primero en tu cuenta Amazon Quick a través del navegador web y, a continuación, vuelve a intentar el inicio de sesión desde el ordenador. Si el error persiste, verifica la conectividad de la red con el punto de conexión de Amazon Quick Service.
- Errores de consentimiento o permiso (Microsoft Entra ID)
-
Otorgue el consentimiento del administrador para los permisos de API necesarios en el portal de Azure. Diríjase a la página de permisos de API del registro de la aplicación y elija Otorgar el consentimiento de administrador para [su organización].
- La sesión caduca con frecuencia
-
Compruebe que su IdP esté configurado para emitir tokens de actualización. Para Microsoft Entra ID, se requiere el
offline_accessalcance. En el caso de Google Workspace, inclúyeloaccess_type=offlineen la solicitud de autorización (Quick gestiona automáticamente). En el caso de Okta, el tipo de concesión Refresh Token debe estar habilitado y eloffline_accessalcance debe estar otorgado. Para Ping Identity, el tipo de concesión Refresh Token debe estar habilitado y eloffline_accessalcance debe estar otorgado. Para ello PingFederate, compruebe también que la concesión Return ID Token On Refresh esté seleccionada en la política de la OIDC. invalid_scopeerror (Okta)-
Compruebe que
offline_accessesté activado en su servidor de autorización. Vaya a Seguridad → API → Servidores de autorización → Predeterminado → Ámbitos y confirme que el ámbito está presente. Compruebe también que la política de acceso de la aplicación permita el tipo de concesión Refresh Token. - La aplicación no está habilitada (PingOne)
-
Si la autenticación falla inmediatamente sin llegar a la página de inicio de PingOne sesión, comprueba que el conmutador de la aplicación esté activado en la consola de PingOne administración.
- Falta la notificación por correo electrónico tras la actualización () PingFederate
-
Compruebe que la
emailreclamación esté incluida en el contrato de atributos de la política de la OIDC y que esté asignada al atributo de usuario correcto. El mapeo debe generar laemailsolicitud tanto para la autenticación inicial como para la concesión del token de actualización.