View a markdown version of this page

Configuración de Amazon Quick en ordenadores de sobremesa para despliegues empresariales - Amazon Quick

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de Amazon Quick en ordenadores de sobremesa para despliegues empresariales

 Se aplica a: Enterprise Edition 
   Público al que va dirigido: administradores de sistemas 

Para usar Amazon Quick on desktop para implementaciones empresariales, los administradores deben configurar el inicio de sesión único (SSO) empresarial para que los usuarios de la organización puedan iniciar sesión con sus credenciales corporativas. Esta configuración conecta el proveedor de identidad (IdP) compatible con OpenID Connect (OIDC) de su organización con Amazon Quick.

nota

Si utilizas una cuenta gratuita o una cuenta Plus, esta sección no se aplica a tu caso. Siga en Introducción.

La configuración implica los siguientes pasos, en orden:

  1. Cree una aplicación OIDC en su IdP.

  2. Configure el acceso a la extensión en la consola de administración de Amazon Quick.

  3. Distribuya la aplicación de escritorio a sus usuarios.

Esta guía proporciona IdP-specific instrucciones para Microsoft Entra ID, Google Workspace, Okta y Ping Identity (PingFederate y PingOne). Consulta las instrucciones para tu proveedor de identidad específico a continuación.

Cómo funciona el inicio de sesión empresarial

La aplicación de escritorio Amazon Quick utiliza el protocolo OIDC para autenticar a los usuarios. Cuando un usuario elige Continuar con el inicio de sesión único, la aplicación abre una ventana del navegador y la redirige al punto de autorización de su IdP. A continuación, la aplicación intercambia el código de autorización resultante por tokens mediante Proof Key for Code Exchange (PKCE).

Amazon Quick valida el token y asigna al usuario a una identidad de tu cuenta. La dirección de correo electrónico de tu IDP debe coincidir exactamente con la dirección de correo electrónico del usuario en Amazon Quick.

Requisitos previos

Antes de empezar, compruebe que dispone de lo siguiente:

  • Una AWS cuenta con una suscripción activa a Amazon Quick. La región de origen de la cuenta Amazon Quick (región de identidad) debe estar en una región compatible Región de AWS. Para obtener una lista de las regiones admitidas, consulte compatible Regiones de AWS para Amazon Quick. Se admiten todos los tipos de identidad, incluidos el Centro de identidades de IAM, la federación de IAM y los usuarios nativos de Amazon Quick (username/password).

  • Acceso de administrador a tu cuenta de Amazon Quick.

  • Acceso a su IdP con permisos para crear registros de aplicaciones OIDC.

importante

Amazon Quick para escritorio está disponible para cuentas empresariales Regiones de AWS que admiten el conjunto completo de funciones de Amazon Quick. Las regiones que solo admiten las capacidades de Amazon Quick no incluyen computadoras de escritorio. Puede consultar la lista completa e compatible Regiones de AWS para Amazon Quick.

Paso 1: Cree una aplicación OIDC en su proveedor de identidad

Registre una aplicación cliente OIDC pública en su IdP. La aplicación de escritorio Amazon Quick utiliza este cliente para autenticar a los usuarios mediante el flujo de códigos de autorización con PKCE. No se requiere ningún secreto de cliente.

La aplicación de escritorio requiere tokens de actualización para mantener sesiones de larga duración. La forma en que se configuran los tokens de actualización depende de su IdP:

  • Microsoft Entra ID: se debe conceder el offline_access alcance. Sin él, los usuarios deben volver a autenticarse con frecuencia.

  • Google Workspace: incluye el access_type=offline parámetro en la solicitud de autorización. Google emite un token de actualización en la primera autorización. No se requiere ninguna configuración adicional de ámbito o tipo de concesión.

  • Okta: el tipo de concesión Refresh Token debe estar habilitado en la aplicación y el offline_access alcance debe estar otorgado.

  • Identidad de ping: el tipo de concesión del token de actualización debe estar habilitado y el offline_access alcance debe estar otorgado. En este PingFederate caso, la configuración de la concesión de devolución del token de ID al actualizar también debe estar habilitada en la política de la OIDC.

Elige las instrucciones para tu proveedor de identidad.

ID de Microsoft Entra

Para obtener instrucciones detalladas, consulte Registrar una aplicación en la documentación de Microsoft Entra.

Para crear el registro de la aplicación Entra ID
  1. En el portal de Azure, vaya a Microsoft Entra ID → Registros de aplicaciones → Nuevo registro.

  2. Configure los siguientes ajustes:

    Opción Valor
    Name Amazon Quick Desktop
    Tipos de cuentas compatibles Solo cuentas de este directorio organizativo (arrendatario único)
    Plataforma de URL de redireccionamiento Pública client/native (móvil y de escritorio)
    URL de redireccionamiento http://localhost:18080
  3. Elija Registro.

  4. En la página de descripción general, anote el ID de la aplicación (cliente) y el ID del directorio (inquilino). Necesitará estos valores en pasos posteriores.

Se trata de un registro de cliente público. Entra ID aplica automáticamente el PKCE para los clientes públicos.

Para configurar los permisos de la API
  1. En el registro de la aplicación, vaya a Permisos de API → Añadir un permiso → Microsoft Graph → Permisos delegados.

  2. Agregue los siguientes permisos:openid,, emailprofile,offline_access.

  3. Elija Añadir permisos.

  4. Si su organización lo requiere, elija Otorgar el consentimiento de administrador para [su organización].

Para configurar los ajustes de autenticación
  1. En el registro de la aplicación, vaya a Autenticación.

  2. En Configuración avanzada, establece Permitir flujos de clientes públicos en .

  3. Verifica http://localhost:18080 que aparezca en la lista de Aplicaciones móviles y de escritorio.

  4. Seleccione Save.

Para configurar las notificaciones de token
  1. En el registro de la aplicación, dirígete a la configuración del token.

  2. Selecciona Añadir reclamación opcional.

  3. Selecciona el tipo de token: ID.

  4. Selecciona la email reclamación y selecciona Añadir.

importante

Este paso es necesario. Sin la afirmación email opcional, Microsoft Entra ID no incluye la dirección de correo electrónico del usuario en el token de ID y Amazon Quick no puede asignar el token a un usuario. Además, cada usuario que inicie sesión debe tener su atributo Mail rellenado en su perfil de Entra ID (en Información de contacto). El nombre principal del usuario (UPN) por sí solo no es suficiente: el atributo Mail debe contener un valor.

Los puntos finales del OIDC utilizan el siguiente formato. Reemplácelo por <TENANT_ID> su ID de directorio (inquilino).

importante

La URL del emisor debe incluir el sufijo de la /v2.0 ruta. No utilices la «URL de autoridad» que aparece en el panel de puntos finales de Entra ID, ya que omite este sufijo. Si falta el /v2.0 sufijo, se produce un error en la validación del token y aparece el error «Emisor no válido» al iniciar sesión.

Campo Valor
URL del emisor https://login.microsoftonline.com/<TENANT_ID>/v2.0
Punto de conexión de autorización https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/authorize
Punto de conexión de token https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/token
JWKS URI https://login.microsoftonline.com/<TENANT_ID>/discovery/v2.0/keys
sugerencia

El URI de JWKS no se muestra en el panel Microsoft Entra ID Endpoints. Para encontrarlo, abra la URL del documento de metadatos de OpenID Connect desde el panel Endpoints y localice el jwks_uri campo en la respuesta JSON. Como alternativa, créelo con el formato que se muestra en la tabla anterior.

Workspace de Google

Para obtener instrucciones detalladas, consulta OAuth 2.0 para aplicaciones móviles y de escritorio en la documentación de Google para desarrolladores.

Para crear el cliente OAuth de Google
  1. En Google Cloud Console, vaya a API y servicios → Credenciales → Crear credenciales → ID de cliente de OAuth.

  2. Configure los siguientes ajustes:

    Opción Valor
    Tipo de aplicación Aplicación de escritorio
    Name Amazon Quick Desktop
  3. Seleccione Crear.

  4. Anote el ID de cliente y el secreto del cliente. Necesitará estos valores en los pasos posteriores.

Para configurar la pantalla de consentimiento de OAuth
  1. En Google Cloud Console, dirígete a Google Auth Platform → Branding.

  2. Establece el tipo de usuario como Interno. Esto restringe el inicio de sesión a los usuarios de tu organización de Google Workspace.

  3. Rellena la información de la aplicación requerida y selecciona Guardar.

Para configurar los ámbitos
  1. En Google Cloud Console, dirígete a Google Auth Platform → Data Access.

  2. Agrega los siguientes ámbitos:openid,,email. profile

  3. Seleccione Save.

Google admite el PKCE para aplicaciones de escritorio. Los tokens de actualización se emiten automáticamente cuando el access_type=offline parámetro se incluye en la solicitud de autorización. No se necesita configuración adicional.

Sus puntos finales del OIDC son los siguientes:

Campo Valor
URL del emisor https://accounts.google.com
Punto de conexión de autorización https://accounts.google.com/o/oauth2/v2/auth
Punto de conexión de token https://oauth2.googleapis.com/token?client_secret=<CLIENT_SECRET>
JAKS URI https://www.googleapis.com/oauth2/v3/certs
nota

Añada el secreto de su cliente al punto final del token como parámetro de client_secret consulta para que el intercambio del token se realice correctamente, por ejemplo,. https://oauth2.googleapis.com/token?client_secret=<CLIENT_SECRET> <CLIENT_SECRET>Sustitúyalo por el secreto de cliente generado para tu cliente OAuth.

Okta

Para obtener instrucciones detalladas, consulte Crear integraciones de aplicaciones OpenID Connect en la documentación de Okta.

Para crear la aplicación nativa OIDC de Okta
  1. En la consola de administración de Okta, vaya a Aplicaciones → Aplicaciones → Crear integración de aplicaciones.

  2. Seleccione OIDC - OpenID Connect como método de inicio de sesión.

  3. Seleccione Aplicación nativa como tipo de aplicación y, a continuación, elija Siguiente.

  4. Configure los siguientes ajustes:

    Opción Valor
    Nombre de la integración de la aplicación Amazon Quick Desktop
    Tipo de subvención Código de autorización y token de actualización
    Sign-in redirigir los URIs http://localhost:18080
    Asignaciones Asigne a los usuarios o grupos apropiados
  5. Seleccione Save.

  6. En la pestaña General, anote el ID de cliente.

Okta aplica automáticamente el PKCE (S256) para las aplicaciones nativas.

Para configurar los ámbitos
  1. En la consola de administración de Okta, vaya a Seguridad → API → Servidores de autorización y seleccione su servidor de autorización (por ejemplo, el predeterminado).

  2. En la pestaña Ámbitos, compruebe que los siguientes ámbitos estén activados:openid,,,email. profile offline_access

  3. En la pestaña Políticas de acceso, compruebe que la política asignada a esta aplicación permita los tipos de Refresh Token concesión Authorization Code y.

Para comprobar la configuración de autenticación
  1. En la integración de aplicaciones, vaya a la pestaña General.

  2. En Configuración general, confirme que el tipo de aplicación es nativo, que la autenticación del cliente es Ninguna (cliente público) y que se requiere el PKCE.

  3. En INICIO DE SESIÓN, confirme http://localhost:18080 que aparezca como URI de redireccionamiento.

  4. Selecciona Guardar si has realizado algún cambio.

Los puntos finales del OIDC utilizan el siguiente formato. <OKTA_DOMAIN>Sustitúyalo por tu dominio de Okta (por ejemplo,). your-org.okta.com

Campo Valor
URL del emisor https://<OKTA_DOMAIN>/oauth2/default
Punto de conexión de autorización https://<OKTA_DOMAIN>/oauth2/default/v1/authorize
Punto de conexión de token https://<OKTA_DOMAIN>/oauth2/default/v1/token
JAKS URI https://<OKTA_DOMAIN>/oauth2/default/v1/keys

Ping Identity

Elige las instrucciones para tu producto de Ping Identity.

PingFederate

Para obtener instrucciones detalladas, consulte Configuración de una aplicación OIDC PingFederate en la documentación de Ping Identity.

Para crear el cliente OIDC PingFederate
  1. En la consola PingFederate administrativa, vaya a Aplicaciones → OAuth → Clientes y elija Agregar cliente.

  2. En el campo ID de cliente, introduce un identificador único para este cliente.

  3. En el campo Nombre, escriba Amazon Quick Desktop.

  4. Para la autenticación del cliente, seleccione Ninguna.

  5. En la sección URI de redirección, introduzca http://localhost:18080 y seleccione Añadir.

  6. En la lista de tipos de concesión permitidos, seleccione Código de autorización y Actualice el token.

  7. Seleccione la casilla de verificación Requerir clave de prueba para el intercambio de códigos (PKCE).

  8. En Common Scopes, conceda lo siguiente:openid,,,email. profile offline_access

  9. Seleccione Save.

  10. Anote el ID de cliente. Necesitará este valor en pasos posteriores.

Para configurar la política de OIDC
  1. En la consola PingFederate administrativa, vaya a Aplicaciones → OAuth → OpenID Connect Policy Management.

  2. Seleccione la política OIDC asociada a este cliente o elija Agregar política para crear una.

  3. Seleccione la casilla de verificación Return ID Token On Refresh Grant. Esto garantiza que la aplicación de escritorio reciba un token de identificación nuevo con las notificaciones actuales al actualizar la sesión.

  4. En el apartado Contrato de atributos, comprueba que la email afirmación esté incluida y asignada al atributo de usuario correspondiente en tu fuente de autenticación. La email afirmación debe estar presente en los tokens emitidos tanto durante la autenticación inicial como durante la concesión de los tokens de actualización.

  5. Seleccione Save.

Sus puntos de conexión OIDC utilizan el siguiente formato. Sustitúyalo por el <PINGFEDERATE_HOST> nombre de host del servidor. PingFederate

Campo Valor
URL del emisor https://<PINGFEDERATE_HOST>
Punto de conexión de autorización https://<PINGFEDERATE_HOST>/as/authorization.oauth2
Punto de conexión de token https://<PINGFEDERATE_HOST>/as/token.oauth2
JWKS URI https://<PINGFEDERATE_HOST>/pf/JWKS

PingOne

Para obtener instrucciones detalladas, consulte Edición de una aplicación nativa en la documentación de Ping Identity.

Para crear la aplicación nativa del PingOne OIDC
  1. En la consola de PingOne administración, vaya a Aplicaciones → Aplicaciones y seleccione el icono +.

  2. Introduce Amazon Quick Desktop el nombre de la aplicación.

  3. En la sección Tipo de aplicación, seleccione Nativa y, a continuación, seleccione Guardar.

  4. En la pestaña Configuración, elija Editar y configure los siguientes ajustes:

    Opción Valor
    Tipo de respuesta Código
    Tipo de subvención Código de autorización y token de actualización
    Cumplimiento de la PKCE S256
    URI de redirección http://localhost:18080
    Método de autenticación Token Endpoint Ninguno
  5. Seleccione Save.

  6. En la pestaña Recursos, agregue los siguientes ámbitos:openid,, emailprofile,offline_access.

  7. En la pestaña Asignaciones de atributos, compruebe que el email atributo esté asignado a la dirección de correo electrónico del usuario.

  8. Cambie la aplicación a Habilitada.

  9. Anote el ID de cliente y el ID de entorno en la pestaña Configuración.

nota

El PingOne dominio varía según la región. En los ejemplos que aparecen a continuación se utiliza.com. Sustituya el dominio por el de su entorno (por ejemplo,.ca,.eu, o.asia).

Sus puntos de conexión OIDC utilizan el siguiente formato. Sustitúyalo por <ENV_ID> el ID de su entorno. PingOne

Campo Valor
URL del emisor https://auth.pingone.com/<ENV_ID>/as
Punto de conexión de autorización https://auth.pingone.com/<ENV_ID>/as/authorize
Punto de conexión de token https://auth.pingone.com/<ENV_ID>/as/token
JAKS URI https://auth.pingone.com/<ENV_ID>/as/jwks

Paso 2: Configurar el acceso a la extensión en la consola de administración de Amazon Quick

Para añadir la extensión, acceda
  1. Inicia sesión en la consola de administración de Amazon Quick y selecciona Administrar cuenta.

  2. En el panel de navegación izquierdo, en Permisos, selecciona Acceso a extensiones.

  3. Seleccione Añadir acceso a extensiones.

  4. En Select Service, selecciona Amazon Quick (aplicación de escritorio para Quick) y selecciona Siguiente.

  5. Introduce los detalles de la extensión Amazon Quick:

    Campo Valor Notas
    Name Un nombre para el acceso a esta extensión (por ejemplo,QuickDesktop-access) Solo referencia interna. Este nombre no está configurado en su IdP. Solo alfanuméricos y guiones, sin espacios.
    Description (Descripción) (Opcional) Una descripción del acceso a esta extensión Opcional. Solo para su referencia.
    URL del emisor La URL del emisor del OIDC del paso 1 Debe incluir el /v2.0 sufijo del ID de Entra.
    Punto final de autorización La URL del punto de enlace de autorización del OIDC del paso 1
    Punto final del token La URL del punto final del token OIDC del paso 1
    JWKS URI El URI del conjunto de claves web JSON del paso 1
    ID de cliente El identificador de cliente OIDC del paso 1
  6. Elija Añadir.

    importante

    Compruebe que todos los valores son correctos antes de elegir Añadir. La configuración de acceso a la extensión no se puede editar después de la creación. Si algún valor es incorrecto, debe eliminar el acceso a la extensión y crear uno nuevo.

Para crear la extensión
  1. En la consola de administración de Amazon Quick, en el panel de navegación izquierdo, selecciona Quick y, en Conectar aplicaciones y datos, selecciona Extensiones.

  2. Selecciona Añadir extensión.

  3. Seleccione la aplicación de escritorio para acceder rápidamente a la extensión que creó anteriormente. Elija Next (Siguiente).

  4. Seleccione Create (Crear).

importante

Se requieren ambos pasos. Si solo configuras el acceso a la extensión sin crear la extensión, el inicio de sesión empresarial no estará disponible y los usuarios verán el siguiente error: «El inicio de sesión empresarial de Quick Desktop no se ha configurado para esta cuenta».

nota

La creación de la extensión es una acción única a nivel de cuenta. Una vez que el administrador crea la extensión, el inicio de sesión empresarial está disponible para todos los usuarios de la cuenta. Los usuarios individuales no necesitan habilitar la extensión ellos mismos, solo tienen que descargar la aplicación de escritorio e iniciar sesión.

Paso 3: Descarga y distribuye la aplicación de escritorio

Tras configurar el inicio de sesión empresarial, compruebe la configuración descargando e instalando usted mismo la aplicación de escritorio. Selecciona el inicio de sesión empresarial en la pantalla de inicio de sesión y autentícate con tus credenciales corporativas para confirmar que la configuración funciona. Para ver los pasos de descarga e instalación, consulte. Introducción

Si se produce un error al iniciar sesión, compruebe los valores que ingresó en el paso 2 con los puntos finales del OIDC del paso 1. Si algún valor es incorrecto, elimine el acceso a la extensión en Permisos → Acceso a la extensión y repita el paso 2 con los valores correctos.

Tras comprobar la configuración, pida a los usuarios que consulten las Introducción instrucciones de descarga, instalación e inicio de sesión.

Resolución de problemas

Error redirect_mismatch

Compruebe que el URI de redireccionamiento de su IdP sea exacto http://localhost:18080 y esté configurado como un cliente público o una plataforma nativa.

No se encontró el usuario después de iniciar sesión

Este error se debe a dos causas comunes:

  1. La reclamación por correo electrónico no se devuelve en el token. Para Microsoft Entra ID, debes añadir el reclamo email opcional al token de ID en la configuración del token (consulta el paso 1). Además, el atributo Mail del usuario debe estar rellenado en su perfil de Entra ID. El nombre principal del usuario (UPN) por sí solo no es suficiente.

  2. No existe ningún usuario coincidente en Amazon Quick. El correo electrónico del token debe coincidir exactamente con el correo electrónico de un usuario aprovisionado. En el caso de las cuentas del IAM Identity Center, compruebe que el correo electrónico del usuario en Identity Center coincida. La coincidencia de correos electrónicos distingue entre mayúsculas y minúsculas.

Fallo en la validación del token

Compruebe que la URL del emisor en la configuración de acceso a la extensión coincida exactamente con la URL del emisor en la configuración OIDC de su IdP.

Error de emisor no válido (Microsoft Entra ID)

Si no se puede iniciar sesión y aparece el mensaje «Emisor no válido:https://login.microsoftonline.com/TENANT_ID/v2.0», compruebe que la URL del emisor en la configuración de acceso a la extensión incluya el sufijo de la ruta. /v2.0 El terminal Entra ID v2.0 emite los tokens con una afirmación que incluye: iss /v2.0 Si falta el sufijo, elimina el acceso a la extensión y vuelve a crearlo con la URL del emisor correcta.

El inicio de sesión empresarial no está configurado para esta cuenta

Este error significa que se creó el acceso a la extensión, pero no la extensión en sí. Vaya a Conectar aplicaciones y datos → Extensiones en la consola de administración y cree la extensión, seleccionando el acceso a la extensión que configuró previamente.

Error en la solicitud de información de usuario (HTTP 504)

Se ha agotado el tiempo de espera del backend transitorio. Inicia sesión primero en tu cuenta Amazon Quick a través del navegador web y, a continuación, vuelve a intentar el inicio de sesión desde el ordenador. Si el error persiste, verifica la conectividad de la red con el punto de conexión de Amazon Quick Service.

Errores de consentimiento o permiso (Microsoft Entra ID)

Otorgue el consentimiento del administrador para los permisos de API necesarios en el portal de Azure. Diríjase a la página de permisos de API del registro de la aplicación y elija Otorgar el consentimiento de administrador para [su organización].

La sesión caduca con frecuencia

Compruebe que su IdP esté configurado para emitir tokens de actualización. Para Microsoft Entra ID, se requiere el offline_access alcance. En el caso de Google Workspace, inclúyelo access_type=offline en la solicitud de autorización (Quick gestiona automáticamente). En el caso de Okta, el tipo de concesión Refresh Token debe estar habilitado y el offline_access alcance debe estar otorgado. Para Ping Identity, el tipo de concesión Refresh Token debe estar habilitado y el offline_access alcance debe estar otorgado. Para ello PingFederate, compruebe también que la concesión Return ID Token On Refresh esté seleccionada en la política de la OIDC.

invalid_scopeerror (Okta)

Compruebe que offline_access esté activado en su servidor de autorización. Vaya a Seguridad → API → Servidores de autorización → Predeterminado → Ámbitos y confirme que el ámbito está presente. Compruebe también que la política de acceso de la aplicación permita el tipo de concesión Refresh Token.

La aplicación no está habilitada (PingOne)

Si la autenticación falla inmediatamente sin llegar a la página de inicio de PingOne sesión, comprueba que el conmutador de la aplicación esté activado en la consola de PingOne administración.

Falta la notificación por correo electrónico tras la actualización () PingFederate

Compruebe que la email reclamación esté incluida en el contrato de atributos de la política de la OIDC y que esté asignada al atributo de usuario correcto. El mapeo debe generar la email solicitud tanto para la autenticación inicial como para la concesión del token de actualización.