Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration d'Amazon Quick sur ordinateur pour les déploiements en entreprise
| S’applique à : édition Enterprise |
| Public cible : administrateurs système |
Pour utiliser Amazon Quick sur ordinateur pour les déploiements en entreprise, les administrateurs doivent configurer l'authentification unique d'entreprise (SSO) afin que les utilisateurs de l'organisation puissent se connecter avec leurs informations d'identification professionnelles. Cette configuration connecte le fournisseur d'identité (IdP) compatible OpenID Connect (OIDC) de votre entreprise à Amazon Quick.
Note
Si vous utilisez un compte Free ou Plus, cette section ne s'applique pas à vous. Passez au Prise en main.
La configuration implique les étapes suivantes, dans l'ordre :
-
Créez une application OIDC dans votre IdP.
-
Configurez l'accès à l'extension dans la console de gestion Amazon Quick.
-
Distribuez l'application de bureau à vos utilisateurs.
Ce guide fournit des IdP-specific instructions pour Microsoft Entra ID, Google Workspace, Okta et Ping Identity (PingFederate et PingOne). Consultez les instructions relatives à votre fournisseur d'identité spécifique ci-dessous.
Comment fonctionne la connexion d'entreprise
L'application de bureau Amazon Quick utilise le protocole OIDC pour authentifier les utilisateurs. Lorsqu'un utilisateur choisit Continuer avec l'authentification unique, l'application ouvre une fenêtre de navigateur et redirige vers le point de terminaison d'autorisation de votre IdP. L'application échange ensuite le code d'autorisation obtenu contre des jetons à l'aide de Proof Key for Code Exchange (PKCE).
Amazon Quick valide le jeton et associe l'utilisateur à une identité de votre compte. L'adresse e-mail de votre IdP doit correspondre exactement à l'adresse e-mail de l'utilisateur dans Amazon Quick.
Conditions préalables
Avant de commencer, vérifiez que vous disposez des éléments suivants :
-
Un AWS compte avec un abonnement Amazon Quick actif. La région d'origine du compte Amazon Quick (région d'identité) doit se trouver dans une zone prise en charge Région AWS. Pour obtenir une liste des régions prises en charge, consultez Pris en charge Régions AWS pour Amazon Quick. Tous les types d'identité sont pris en charge, y compris les utilisateurs IAM Identity Center, IAM federation et Amazon Quick (username/password) natifs.
-
Accès administrateur à votre compte Amazon Quick.
-
Accès à votre IdP avec les autorisations nécessaires pour créer des enregistrements d'applications OIDC.
Important
Amazon Quick sur ordinateur est disponible pour les comptes d'entreprise Régions AWS qui prennent en charge l'ensemble complet des fonctionnalités Amazon Quick. Les régions qui prennent uniquement en charge les fonctionnalités Amazon Quick n'incluent pas les ordinateurs de bureau. Pour obtenir la liste complète, consultez Pris en charge Régions AWS pour Amazon Quick.
Étape 1 : créer une application OIDC dans votre fournisseur d'identité
Enregistrez une application cliente OIDC publique dans votre IdP. L'application de bureau Amazon Quick utilise ce client pour authentifier les utilisateurs via le flux de code d'autorisation avec PKCE. Aucun secret client n'est requis.
L'application de bureau nécessite des jetons d'actualisation pour maintenir des sessions de longue durée. La façon dont les jetons d'actualisation sont configurés dépend de votre IdP :
-
Microsoft Entra ID : le
offline_accesschamp d'application doit être accordé. Sans cela, les utilisateurs doivent se réauthentifier fréquemment. -
Google Workspace — Incluez le
access_type=offlineparamètre dans la demande d'autorisation. Google émet un jeton d'actualisation lors de la première autorisation. Aucune configuration d'étendue ou de type de subvention supplémentaire n'est requise. -
Okta — Le type d'autorisation Refresh Token doit être activé sur l'application, et la
offline_accessportée doit être accordée. -
Identité Ping — Le type d'autorisation Refresh Token doit être activé et la
offline_accessportée doit être accordée. En PingFederate effet, le paramètre Return ID Token On Refresh Grant doit également être activé dans la politique OIDC.
Choisissez les instructions pour votre fournisseur d'identité.
Identifiant Microsoft Entra
Pour obtenir des instructions détaillées, voir Enregistrer une application
Pour créer l'enregistrement de l'application Entra ID
-
Sur le portail Azure, accédez à Microsoft Entra ID → Inscriptions d'applications → Nouvel enregistrement.
-
Configurez les paramètres suivants :
Paramètre Value Nom Amazon Quick DesktopTypes de comptes pris en charge Comptes de ce répertoire organisationnel uniquement (locataire unique) Plateforme d'URI de redirection Public client/native (mobile et ordinateur de bureau) URI de redirection http://localhost:18080 -
Choisissez S’inscrire.
-
Sur la page Vue d'ensemble, notez l'ID de l'application (client) et l'ID du répertoire (locataire). Vous aurez besoin de ces valeurs dans les étapes ultérieures.
Il s'agit d'un enregistrement public pour les clients. Le PKCE est appliqué automatiquement par Entra ID pour les clients publics.
Pour configurer les autorisations d'API
-
Lors de l'enregistrement de l'application, accédez à Autorisations d'API → Ajouter une autorisation → Microsoft Graph → Autorisations déléguées.
-
Ajoutez les autorisations suivantes :
openid,email,profile,offline_access. -
Choisissez Ajouter des autorisations.
-
Si votre organisation l'exige, choisissez Accorder le consentement de l'administrateur pour [votre organisation].
Pour configurer les paramètres d'authentification
-
Dans l'enregistrement de l'application, accédez à Authentification.
-
Sous Paramètres avancés, définissez Autoriser les flux de clients publics sur Oui.
-
Vérifiez que cela
http://localhost:18080est répertorié sous Applications mobiles et de bureau. -
Choisissez Enregistrer.
Pour configurer les demandes de jetons
-
Lors de l'enregistrement de l'application, accédez à Configuration du jeton.
-
Choisissez Ajouter une réclamation facultative.
-
Sélectionnez le type de jeton : ID.
-
Sélectionnez la
emailréclamation, puis cliquez sur Ajouter.
Important
Cette étape est obligatoire. Sans cette réclamation email facultative, l'identifiant Microsoft Entra n'inclut pas l'adresse e-mail de l'utilisateur dans le jeton d'identification, et Amazon Quick ne peut pas associer le jeton à un utilisateur. En outre, chaque utilisateur qui se connecte doit avoir son attribut Mail renseigné dans son profil Entra ID (sous Informations de contact). Le nom d'utilisateur principal (UPN) seul ne suffit pas : l'attribut Mail doit contenir une valeur.
Vos points de terminaison OIDC utilisent le format suivant. <TENANT_ID>Remplacez-le par votre ID de répertoire (locataire).
Important
L'URL de l'émetteur doit inclure le suffixe du /v2.0 chemin. N'utilisez pas l' « URL d'autorité » indiquée dans le panneau Entra ID Endpoints, qui omet ce suffixe. Si le /v2.0 suffixe est manquant, la validation du jeton échoue avec un message d'erreur « Émetteur non valide » au moment de la connexion.
| Champ | Value |
|---|---|
| URL de l’émetteur | https://login.microsoftonline.com/<TENANT_ID>/v2.0 |
| Point final d'autorisation | https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/authorize |
| Point de terminaison de jeton | https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/token |
| JWKS URI | https://login.microsoftonline.com/<TENANT_ID>/discovery/v2.0/keys |
Astuce
L'URI JWKS n'est pas affiché dans le panneau Microsoft Entra ID Entpoints. Vous pouvez le trouver en ouvrant l'URL du document de métadonnées OpenID Connect depuis le panneau Endpoints et en localisant le jwks_uri champ dans la réponse JSON. Vous pouvez également le construire en utilisant le format indiqué dans le tableau précédent.
Google Workspace
Pour obtenir des instructions détaillées, consultez OAuth 2.0 pour les applications mobiles et de bureau
Pour créer le client Google OAuth
-
Dans la console Google Cloud, accédez à API et services → Informations d'identification → Créer des informations d'identification → ID client OAuth.
-
Configurez les paramètres suivants :
Paramètre Value Type de demande Application de bureau Nom Amazon Quick Desktop -
Choisissez Créer.
-
Notez l'ID client et le secret du client. Vous aurez besoin de ces valeurs dans les étapes ultérieures.
Pour configurer l'écran de consentement OAuth
-
Dans la console Google Cloud, accédez à Google Auth Platform → Branding.
-
Définissez le type d'utilisateur sur Interne. Cela limite la connexion aux utilisateurs de votre organisation Google Workspace.
-
Renseignez les informations requises sur l'application et choisissez Enregistrer.
Pour configurer des étendues
-
Dans la console Google Cloud, accédez à Google Auth Platform → Accès aux données.
-
Ajoutez les étendues suivantes :
openid,email,profile. -
Choisissez Enregistrer.
Google prend en charge le PKCE pour les applications de bureau. Les jetons d'actualisation sont émis automatiquement lorsque le access_type=offline paramètre est inclus dans la demande d'autorisation. Aucune configuration supplémentaire n’est requise.
Vos points de terminaison OIDC sont les suivants :
| Champ | Value |
|---|---|
| URL de l’émetteur | https://accounts.google.com |
| Point final d'autorisation | https://accounts.google.com/o/oauth2/v2/auth |
| Point de terminaison de jeton | https://oauth2.googleapis.com/token?client_secret=<CLIENT_SECRET> |
| JWKS URI | https://www.googleapis.com/oauth2/v3/certs |
Note
Ajoutez le secret de votre client au point de terminaison du jeton en tant que paramètre de client_secret requête afin que l'échange de jetons réussisse, par exemple,. https://oauth2.googleapis.com/token?client_secret=<CLIENT_SECRET> <CLIENT_SECRET>Remplacez-le par le secret client généré pour votre client OAuth.
Okta
Pour obtenir des instructions détaillées, consultez la section Créer des intégrations d'applications OpenID Connect
Pour créer l'application native Okta OIDC
-
Dans la console d'administration Okta, accédez à Applications → Applications → Créer une intégration d'applications.
-
Sélectionnez OIDC - OpenID Connect comme méthode de connexion.
-
Sélectionnez Application native comme type d'application, puis cliquez sur Suivant.
-
Configurez les paramètres suivants :
Paramètre Value Nom de l'intégration de l'application Amazon Quick DesktopType de subvention Code d'autorisation et jeton d'actualisation Sign-in URI de redirection http://localhost:18080Missions Attribuer aux utilisateurs ou aux groupes appropriés -
Choisissez Enregistrer.
-
Dans l'onglet Général, notez l'ID du client.
Le PKCE (S256) est appliqué automatiquement par Okta pour les applications natives.
Pour configurer des étendues
-
Dans la console d'administration Okta, accédez à Sécurité → API → Serveurs d'autorisation et sélectionnez votre serveur d'autorisation (par exemple, par défaut).
-
Dans l'onglet Étendue, vérifiez que les étendues suivantes sont activées :
openid,,email,profile.offline_access -
Dans l'onglet Politiques d'accès, vérifiez que la politique attribuée à cette application autorise les types d'
Refresh TokenautorisationAuthorization Codeet d'autorisation.
Pour vérifier les paramètres d'authentification
-
Dans l'intégration de l'application, accédez à l'onglet Général.
-
Sous Paramètres généraux, vérifiez que le type d'application est natif, que l'authentification du client est Aucune (client public) et que PKCE est obligatoire.
-
Sous LOGIN, vérifiez qu'il
http://localhost:18080est répertorié comme URI de redirection. -
Choisissez Enregistrer si vous avez apporté des modifications.
Vos points de terminaison OIDC utilisent le format suivant. <OKTA_DOMAIN>Remplacez-le par votre domaine Okta (par exemple,your-org.okta.com).
| Champ | Value |
|---|---|
| URL de l’émetteur | https://<OKTA_DOMAIN>/oauth2/default |
| Point final d'autorisation | https://<OKTA_DOMAIN>/oauth2/default/v1/authorize |
| Point de terminaison de jeton | https://<OKTA_DOMAIN>/oauth2/default/v1/token |
| JWKS URI | https://<OKTA_DOMAIN>/oauth2/default/v1/keys |
Ping Identity
Choisissez les instructions pour votre produit Ping Identity.
PingFederate
Pour obtenir des instructions détaillées, consultez la section Configuration d'une application OIDC PingFederate dans
Pour créer le client PingFederate OIDC
-
Dans la console d' PingFederate administration, accédez à Applications → OAuth → Clients, puis choisissez Ajouter un client.
-
Dans le champ ID client, entrez un identifiant unique pour ce client.
-
Dans le champ Nom, saisissez
Amazon Quick Desktop. -
Pour l'authentification du client, sélectionnez Aucune.
-
Dans la section URI de redirection, entrez
http://localhost:18080et choisissez Ajouter. -
Dans la liste des types de subventions autorisés, sélectionnez Code d'autorisation et Actualiser le jeton.
-
Cochez la case Exiger une clé de preuve pour l'échange de code (PKCE).
-
Sous Champs d'application communs, accordez les éléments suivants :
openid,email,profile,offline_access. -
Choisissez Enregistrer.
-
Notez l'ID du client. Vous aurez besoin de cette valeur lors des étapes ultérieures.
Pour configurer la politique OIDC
-
Dans la console d' PingFederate administration, accédez à Applications → OAuth → OpenID Connect Policy Management.
-
Sélectionnez la politique OIDC associée à ce client ou choisissez Ajouter une politique pour en créer une.
-
Cochez la case Return ID Token on Refresh Grant. Cela garantit que l'application de bureau reçoit un nouveau jeton d'identification avec les demandes en cours lors de l'actualisation de la session.
-
Sous Contrat d'attribut, vérifiez que la
emailréclamation est incluse et mappée à l'attribut utilisateur correspondant dans votre source d'authentification. Laemailréclamation doit être présente sous forme de jetons émis à la fois lors de l'authentification initiale et lors de l'attribution des jetons d'actualisation. -
Choisissez Enregistrer.
Vos points de terminaison OIDC utilisent le format suivant. <PINGFEDERATE_HOST>Remplacez-le par le nom d'hôte PingFederate de votre serveur.
| Champ | Value |
|---|---|
| URL de l’émetteur | https://<PINGFEDERATE_HOST> |
| Point final d'autorisation | https://<PINGFEDERATE_HOST>/as/authorization.oauth2 |
| Point de terminaison de jeton | https://<PINGFEDERATE_HOST>/as/token.oauth2 |
| JWKS URI | https://<PINGFEDERATE_HOST>/pf/JWKS |
PingOne
Pour obtenir des instructions détaillées, consultez la section Modification d'une application — native
Pour créer l'application native PingOne OIDC
-
Dans la console PingOne d'administration, allez dans Applications → Applications et cliquez sur l'icône +.
-
Entrez
Amazon Quick Desktopcomme nom de l'application. -
Dans la section Type d'application, sélectionnez Native, puis cliquez sur Enregistrer.
-
Dans l'onglet Configuration, choisissez Modifier et configurez les paramètres suivants :
Paramètre Value Type de réponse Code Type de subvention Code d'autorisation et jeton d'actualisation Application de la PKCE S256 URI de redirection http://localhost:18080Méthode d'authentification Token Endpoint Aucune -
Choisissez Enregistrer.
-
Dans l'onglet Ressources, ajoutez les étendues suivantes :
openid,,emailprofile,offline_access. -
Dans l'onglet Mappages d'attributs, vérifiez que l'
emailattribut est mappé à l'adresse e-mail de l'utilisateur. -
Basculez l'application sur Activé.
-
Notez l'ID client et l'ID d'environnement dans l'onglet Configuration.
Note
Le PingOne domaine varie selon les régions. Les exemples ci-dessous utilisent.com. Remplacez le domaine par celui de votre environnement (par exemple.ca,.eu, ou.asia).
Vos points de terminaison OIDC utilisent le format suivant. <ENV_ID>Remplacez-le par votre identifiant d' PingOne environnement.
| Champ | Value |
|---|---|
| URL de l’émetteur | https://auth.pingone.com/<ENV_ID>/as |
| Point final d'autorisation | https://auth.pingone.com/<ENV_ID>/as/authorize |
| Point de terminaison de jeton | https://auth.pingone.com/<ENV_ID>/as/token |
| JWKS URI | https://auth.pingone.com/<ENV_ID>/as/jwks |
Étape 2 : configurer l'accès à l'extension dans la console de gestion Amazon Quick
Pour ajouter l'accès à l'extension
-
Connectez-vous à la console de gestion Amazon Quick et choisissez Gérer le compte.
-
Dans le volet de navigation de gauche, sous Autorisations, choisissez Extension access.
-
Choisissez Ajouter un accès à l'extension.
-
Sous Select Service, sélectionnez Amazon Quick (application de bureau pour Quick) et choisissez Next.
-
Entrez les détails de l'extension Amazon Quick :
Champ Value Remarques Nom Un nom pour cet accès à l'extension (par exemple, QuickDesktop-access)Référence interne uniquement. Ce nom n'est pas configuré dans votre IdP. Alphanumérique et tirets uniquement, pas d'espaces. Description (Facultatif) Description de l'accès à cette extension Facultatif. À titre de référence uniquement. URL de l’émetteur URL de l'émetteur OIDC de l'étape 1 Doit inclure le /v2.0suffixe de l'identifiant Entra.Endpoint d'autorisation URL du point de terminaison d'autorisation OIDC de l'étape 1 Point de terminaison Tok URL du point de terminaison du jeton OIDC de l'étape 1 JWKS URI L'URI du jeu de clés Web JSON à partir de l'étape 1 ID de client L'identifiant du client OIDC de l'étape 1 -
Choisissez Ajouter.
Important
Vérifiez que toutes les valeurs sont correctes avant de choisir Ajouter. La configuration d'accès à l'extension ne peut pas être modifiée après sa création. Si une valeur est incorrecte, vous devez supprimer l'accès à l'extension et en créer un nouveau.
Pour créer l'extension
-
Dans la console de gestion Amazon Quick, dans le volet de navigation de gauche, choisissez Quick, puis sous Connect apps and data, choisissez Extensions.
-
Choisissez Ajouter une extension.
-
Sélectionnez l'application de bureau pour un accès rapide aux extensions que vous avez créée précédemment. Choisissez Suivant.
-
Choisissez Créer.
Important
Les deux étapes sont obligatoires. Si vous configurez uniquement l'accès à l'extension sans créer l'extension, la connexion d'entreprise ne sera pas disponible et les utilisateurs verront le message d'erreur suivant : « La connexion d'entreprise pour Quick Desktop n'a pas été configurée pour ce compte ».
Note
La création de l'extension est une action ponctuelle au niveau du compte. Une fois qu'un administrateur a créé l'extension, la connexion d'entreprise est disponible pour tous les utilisateurs du compte. Les utilisateurs individuels n'ont pas besoin d'activer eux-mêmes l'extension ; ils doivent simplement télécharger l'application de bureau et se connecter.
Étape 3 : Téléchargez et distribuez l'application de bureau
Après avoir configuré la connexion d'entreprise, vérifiez la configuration en téléchargeant et en installant vous-même l'application de bureau. Choisissez Enterprise Login sur l'écran de connexion et authentifiez-vous à l'aide de vos informations d'identification professionnelles pour confirmer que la configuration fonctionne. Pour les étapes de téléchargement et d'installation, voirPrise en main.
Si la connexion échoue, vérifiez les valeurs que vous avez saisies à l'étape 2 par rapport aux points de terminaison OIDC de l'étape 1. Si une valeur est incorrecte, supprimez l'accès à l'extension sous Autorisations → Accès à l'extension, et répétez l'étape 2 avec les valeurs correctes.
Après avoir vérifié la configuration, dirigez vos utilisateurs vers Prise en main les instructions de téléchargement, d'installation et de connexion.
Résolution des problèmes
redirect_mismatchErreur-
Vérifiez que l'URI de redirection dans votre IdP est exacte
http://localhost:18080et qu'elle est configurée en tant que client public ou plate-forme native. - Utilisateur introuvable après la connexion
-
Cette erreur a deux causes communes :
-
La réclamation par e-mail n'est pas renvoyée dans le jeton. Pour l'identifiant Microsoft Entra, vous devez ajouter la réclamation
emailfacultative au jeton d'identification sous Configuration du jeton (voir Étape 1). En outre, l'attribut Mail de l'utilisateur doit être renseigné dans son profil Entra ID. Le nom d'utilisateur principal (UPN) seul n'est pas suffisant. -
Aucun utilisateur correspondant n'existe dans Amazon Quick. L'e-mail contenu dans le jeton doit correspondre exactement à l'e-mail d'un utilisateur configuré. Pour les comptes IAM Identity Center, vérifiez que l'adresse e-mail de l'utilisateur dans Identity Center correspond. La correspondance des e-mails fait la distinction majuscules/minuscules.
-
- Échec de validation du jeton
-
Vérifiez que l'URL de l'émetteur dans la configuration d'accès à l'extension correspond exactement à l'URL de l'émetteur dans la configuration OIDC de votre IdP.
- Erreur d'émetteur non valide (identifiant Microsoft Entra)
-
Si la connexion échoue avec le message « Émetteur non valide : https://login.microsoftonline.com/TENANT_ID/v2.0 », vérifiez que l'URL de l'émetteur dans la configuration de l'accès à l'extension inclut le suffixe du
/v2.0chemin. Le point de terminaison Entra ID v2.0 émet des jetons avec uneissréclamation qui inclut/v2.0. Si le suffixe est manquant, supprimez l'accès à l'extension et recréez-le avec l'URL d'émetteur correcte. - La connexion d'entreprise n'est pas configurée pour ce compte
-
Cette erreur signifie que l'accès à l'extension a été créé, mais pas l'extension elle-même. Accédez à Connect apps and data → Extensions dans la console de gestion et créez l'extension en sélectionnant l'accès à l'extension que vous avez configuré précédemment.
- Echec de la demande d'informations utilisateur (HTTP 504)
-
Il s'agit d'un délai d'attente transitoire pour le backend. Connectez-vous d'abord à votre compte Amazon Quick via le navigateur Web, puis réessayez de vous connecter au bureau. Si l'erreur persiste, vérifiez la connectivité réseau au point de terminaison du service Amazon Quick.
- Erreurs de consentement ou d'autorisation (Microsoft Entra ID)
-
Accordez le consentement de l'administrateur pour les autorisations d'API requises sur le portail Azure. Accédez à la page des autorisations d'API de l'enregistrement de l'application et choisissez Accorder le consentement de l'administrateur pour [votre organisation].
- La session expire fréquemment
-
Vérifiez que votre IdP est configuré pour émettre des jetons d'actualisation. Pour Microsoft Entra ID, le
offline_accesschamp d'application est requis. Pour Google Workspace,access_type=offlineincluez-le dans la demande d'autorisation (traitée automatiquement par Quick). Pour Okta, le type d'autorisation Refresh Token doit être activé et laoffline_accessportée doit être accordée. Pour Ping Identity, le type d'autorisation Refresh Token doit être activé et laoffline_accessportée doit être accordée. Pour PingFederate, vérifiez également que l'option Return ID Token On Refresh Grant est sélectionnée dans la politique OIDC. invalid_scopeerreur (Okta)-
Vérifiez qu'il
offline_accessest activé sur votre serveur d'autorisation. Accédez à Sécurité → API → Serveurs d'autorisation → Par défaut → Étendue et vérifiez que la portée est présente. Vérifiez également que la politique d'accès de l'application autorise le type de subvention Refresh Token. - Application non activée (PingOne)
-
Si l'authentification échoue immédiatement sans atteindre la page de PingOne connexion, vérifiez que le bouton d'activation de l'application est défini sur Activé dans la console PingOne d'administration.
- Demande d'e-mail manquante après l'actualisation (PingFederate)
-
Vérifiez que la
emailréclamation est incluse dans le contrat d'attribut de la politique OIDC et mappée à l'attribut utilisateur approprié. Le mappage doit produire laemaildemande d'attribution de jetons d'authentification initiale et d'actualisation.