Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menyiapkan Amazon Quick di desktop untuk penerapan perusahaan
| Berlaku untuk: Enterprise Edition |
| Audiens yang dituju: Administrator sistem |
Untuk menggunakan Amazon Quick di desktop untuk penerapan perusahaan, administrator harus mengonfigurasi sistem masuk tunggal perusahaan (SSO) sehingga pengguna di organisasi dapat masuk dengan kredenal perusahaan mereka. Penyiapan ini menghubungkan penyedia identitas yang kompatibel dengan OpenID Connect (OIDC) organisasi Anda ke Amazon Quick.
catatan
Jika Anda menggunakan akun Gratis atau Plus, bagian ini tidak berlaku untuk Anda. Lanjutkan ke Memulai.
Pengaturan melibatkan langkah-langkah berikut, secara berurutan:
-
Buat aplikasi OIDC di IDP Anda.
-
Konfigurasikan akses ekstensi di konsol manajemen Amazon Quick.
-
Bagikan aplikasi desktop ke pengguna Anda.
Panduan ini memberikan IdP-specific petunjuk untuk Microsoft Entra ID, Google Workspace, Okta, dan Ping Identity (PingFederate dan). PingOne Lihat petunjuk untuk penyedia identitas spesifik Anda di bawah ini.
Cara kerja masuk perusahaan
Aplikasi desktop Amazon Quick menggunakan protokol OIDC untuk mengautentikasi pengguna. Saat pengguna memilih Lanjutkan dengan SSO, aplikasi membuka jendela browser dan mengalihkan ke titik akhir otorisasi IDP Anda. Aplikasi kemudian menukar kode otorisasi yang dihasilkan untuk token menggunakan Kunci Bukti untuk Pertukaran Kode (PKCE).
Amazon Quick memvalidasi token dan memetakan pengguna ke identitas di akun Anda. Alamat email di IDP Anda harus sama persis dengan alamat email pengguna di Amazon Quick.
Prasyarat
Sebelum Anda mulai, verifikasi bahwa Anda memiliki yang berikut:
-
AWS Akun dengan langganan Amazon Quick aktif. Wilayah asal akun Amazon Quick (wilayah identitas) harus didukung Wilayah AWS. Untuk mengetahui daftar Wilayah yang didukung, lihat Didukung Wilayah AWS untuk Amazon Quick. Semua jenis identitas didukung, termasuk Pusat Identitas IAM, federasi IAM, dan pengguna Amazon Quick (username/password) asli.
-
Akses administrator ke akun Amazon Quick Anda.
-
Akses ke IDP Anda dengan izin untuk membuat pendaftaran aplikasi OIDC.
penting
Amazon Quick di desktop tersedia untuk akun Enterprise Wilayah AWS yang mendukung set fitur Amazon Quick lengkap. Wilayah yang mendukung kemampuan Amazon Quick saja tidak termasuk desktop. Untuk daftar lengkapnya, lihat Didukung Wilayah AWS untuk Amazon Quick.
Langkah 1: Buat aplikasi OIDC di penyedia identitas Anda
Daftarkan aplikasi klien OIDC publik di IDP Anda. Aplikasi desktop Amazon Quick menggunakan klien ini untuk mengautentikasi pengguna melalui aliran kode otorisasi dengan PKCE. Tidak diperlukan rahasia klien.
Aplikasi desktop membutuhkan token penyegaran untuk mempertahankan sesi yang berumur panjang. Cara penyegaran token dikonfigurasi tergantung pada IDP Anda:
-
Microsoft Entra ID — Ruang
offline_accesslingkup harus diberikan. Tanpa itu, pengguna harus sering melakukan autentikasi ulang. -
Google Workspace — Sertakan
access_type=offlineparameter dalam permintaan otorisasi. Google mengeluarkan token penyegaran pada otorisasi pertama. Tidak diperlukan cakupan tambahan atau konfigurasi tipe hibah. -
Okta — Jenis hibah Token Refresh harus diaktifkan pada aplikasi, dan
offline_accessruang lingkup harus diberikan. -
Identitas Ping — Jenis hibah Token Refresh harus diaktifkan, dan
offline_accessruang lingkup harus diberikan. Untuk PingFederate, pengaturan Return ID Token On Refresh Grant juga harus diaktifkan dalam kebijakan OIDC.
Pilih instruksi untuk penyedia identitas Anda.
ID Microsoft Entra
Untuk petunjuk selengkapnya, lihat Mendaftarkan aplikasi
Untuk membuat pendaftaran aplikasi Entra ID
-
Di portal Azure, navigasikan ke Microsoft Entra ID → Pendaftaran aplikasi → Pendaftaran baru.
-
Konfigurasikan pengaturan berikut:
Pengaturan Nilai Nama Amazon Quick DesktopJenis akun yang didukung Akun di direktori organisasi ini saja (Penyewa tunggal) Platform URI pengalihan Publik client/native (seluler & desktop) Mengalihkan URI http://localhost:18080 -
PilihPendaftaran.
-
Pada halaman Ikhtisar, catat ID Aplikasi (klien) dan ID Direktori (penyewa). Anda membutuhkan nilai-nilai ini di langkah selanjutnya.
Ini adalah pendaftaran klien publik. PKCE diberlakukan secara otomatis oleh Entra ID untuk klien publik.
Untuk mengonfigurasi izin API
-
Dalam pendaftaran aplikasi, navigasikan ke izin API → Tambahkan izin → Grafik Microsoft → Izin yang didelegasikan.
-
Tambahkan izin berikut:
openid,,emailprofile,offline_access. -
Pilih Tambahkan izin.
-
Jika organisasi Anda memerlukannya, pilih Berikan izin admin untuk [organisasi Anda].
Untuk mengkonfigurasi pengaturan otentikasi
-
Dalam pendaftaran aplikasi, navigasikan ke Otentikasi.
-
Di bawah Pengaturan lanjutan, setel Izinkan aliran klien publik ke Ya.
-
Verifikasi
http://localhost:18080yang tercantum di bawah Aplikasi seluler dan desktop. -
Pilih Simpan.
Untuk mengonfigurasi klaim token
-
Dalam pendaftaran aplikasi, navigasikan ke konfigurasi Token.
-
Pilih Tambahkan klaim opsional.
-
Pilih jenis token: ID.
-
Pilih
emailklaim dan pilih Tambah.
penting
Langkah ini diperlukan. Tanpa klaim email opsional, ID Microsoft Entra tidak menyertakan alamat email pengguna dalam token ID, dan Amazon Quick tidak dapat memetakan token ke pengguna. Selain itu, setiap pengguna yang masuk harus memiliki atribut Mail mereka yang terisi di profil ID Entra mereka (di bawah Informasi Kontak). User Principal Name (UPN) saja tidak cukup — atribut Mail harus berisi nilai.
Endpoint OIDC Anda menggunakan format berikut. Ganti <TENANT_ID> dengan ID Direktori (penyewa) Anda.
penting
URL Penerbit harus menyertakan sufiks /v2.0 jalur. Jangan gunakan “URL Otoritas” yang ditampilkan di panel Entra ID Entra Ends, yang menghilangkan akhiran ini. Jika /v2.0 akhiran tidak ada, validasi token gagal dengan kesalahan “Penerbit tidak valid” pada saat login.
| Bidang | Nilai |
|---|---|
| URL Penerbit | https://login.microsoftonline.com/<TENANT_ID>/v2.0 |
| Titik akhir otorisasi | https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/authorize |
| Titik akhir token | https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/token |
| JENIS JWKS | https://login.microsoftonline.com/<TENANT_ID>/discovery/v2.0/keys |
Tip
URI JWKS tidak ditampilkan di panel Entra ID Entra Microsoft. Anda dapat menemukannya dengan membuka URL dokumen metadata OpenID Connect dari panel Endpoints dan menemukan bidang dalam respons JSON. jwks_uri Atau, buat menggunakan format yang ditunjukkan pada tabel sebelumnya.
Google Workspace
Untuk petunjuk mendetail, lihat OAuth 2.0 untuk Aplikasi Seluler & Desktop
Untuk membuat klien Google OAuth
-
Di Google Cloud Console, navigasikan ke API & Services → Credentials → Create Credentials → OAuth client ID.
-
Konfigurasikan pengaturan berikut:
Pengaturan Nilai Jenis aplikasi Aplikasi desktop Nama Amazon Quick Desktop -
Pilih Buat.
-
Catat ID Klien dan rahasia Klien. Anda membutuhkan nilai-nilai ini di langkah selanjutnya.
Untuk mengonfigurasi layar persetujuan OAuth
-
Di Google Cloud Console, navigasikan ke Google Auth Platform → Branding.
-
Atur tipe Pengguna ke Internal. Ini membatasi proses masuk ke pengguna di organisasi Google Workspace Anda.
-
Isi informasi aplikasi yang diperlukan dan pilih Simpan.
Untuk mengkonfigurasi cakupan
-
Di Google Cloud Console, navigasikan ke Google Auth Platform → Akses Data.
-
Tambahkan cakupan berikut:
openid,email,profile. -
Pilih Simpan.
Google mendukung PKCE untuk aplikasi desktop. Token penyegaran dikeluarkan secara otomatis ketika access_type=offline parameter disertakan dalam permintaan otorisasi. Tidak diperlukan konfigurasi tambahan.
Endpoint OIDC Anda adalah sebagai berikut:
| Bidang | Nilai |
|---|---|
| URL Penerbit | https://accounts.google.com |
| Titik akhir otorisasi | https://accounts.google.com/o/oauth2/v2/auth |
| Titik akhir token | https://oauth2.googleapis.com/token?client_secret=<CLIENT_SECRET> |
| JENIS JWKS | https://www.googleapis.com/oauth2/v3/certs |
catatan
Tambahkan rahasia klien Anda ke titik akhir token sebagai parameter client_secret kueri sehingga pertukaran token berhasil—misalnya,. https://oauth2.googleapis.com/token?client_secret=<CLIENT_SECRET> Ganti <CLIENT_SECRET> dengan rahasia klien yang dihasilkan untuk klien OAuth Anda.
Okta
Untuk petunjuk selengkapnya, lihat Membuat integrasi aplikasi OpenID Connect di dokumentasi Okta
Untuk membuat Aplikasi Asli Okta OIDC
-
Di Konsol Admin Okta, arahkan ke Aplikasi → Aplikasi → Buat Integrasi Aplikasi.
-
Pilih OIDC - OpenID Connect sebagai metode login.
-
Pilih Native Application sebagai tipe aplikasi, lalu pilih Next.
-
Konfigurasikan pengaturan berikut:
Pengaturan Nilai Nama integrasi aplikasi Amazon Quick DesktopJenis hibah Kode Otorisasi dan Token Refresh Sign-in mengarahkan URI http://localhost:18080Tugas Tetapkan ke pengguna atau grup yang sesuai -
Pilih Simpan.
-
Pada tab Umum, perhatikan ID Klien.
PKCE (S256) diberlakukan secara otomatis oleh Okta untuk aplikasi asli.
Untuk mengkonfigurasi cakupan
-
Di Konsol Admin Okta, arahkan ke Security → API → Authorization Server dan pilih server otorisasi Anda (misalnya, default).
-
Pada tab Cakupan, verifikasi bahwa cakupan berikut diaktifkan:
openid,,email,profile.offline_access -
Pada tab Kebijakan Akses, verifikasi bahwa kebijakan yang ditetapkan untuk aplikasi ini mengizinkan
Authorization CodedanRefresh Tokenmemberikan jenis.
Untuk memverifikasi pengaturan otentikasi
-
Dalam integrasi aplikasi, buka tab Umum.
-
Di bawah Pengaturan Umum, konfirmasikan bahwa jenis aplikasi adalah Native, otentikasi klien adalah None (klien publik), dan PKCE Diperlukan.
-
Di bawah LOGIN, konfirmasikan bahwa
http://localhost:18080terdaftar sebagai URI pengalihan. -
Pilih Simpan jika Anda membuat perubahan.
Endpoint OIDC Anda menggunakan format berikut. Ganti <OKTA_DOMAIN> dengan domain Okta Anda (misalnya,your-org.okta.com).
| Bidang | Nilai |
|---|---|
| URL Penerbit | https://<OKTA_DOMAIN>/oauth2/default |
| Titik akhir otorisasi | https://<OKTA_DOMAIN>/oauth2/default/v1/authorize |
| Titik akhir token | https://<OKTA_DOMAIN>/oauth2/default/v1/token |
| JENIS JWKS | https://<OKTA_DOMAIN>/oauth2/default/v1/keys |
Identitas Ping
Pilih instruksi untuk produk Ping Identity Anda.
PingFederate
Untuk petunjuk rinci, lihat Menyiapkan aplikasi OIDC PingFederate dalam dokumentasi
Untuk membuat klien PingFederate OIDC
-
Di konsol PingFederate administratif, buka Aplikasi → OAuth → Klien, dan pilih Tambah Klien.
-
Di bidang ID Klien, masukkan pengenal unik untuk klien ini.
-
Di bidang Nama, masukkan
Amazon Quick Desktop. -
Untuk Otentikasi Klien, pilih Tidak Ada.
-
Di bagian Redirection URI, masukkan
http://localhost:18080dan pilih Tambah. -
Dalam daftar Jenis Hibah yang Diizinkan, pilih Kode Otorisasi dan Token Segarkan.
-
Pilih kotak centang Required Proof Key for Code Exchange (PKCE).
-
Di bawah Common Scopes, berikan yang berikut:
openid,,emailprofile,offline_access. -
Pilih Simpan.
-
Perhatikan ID Klien. Anda membutuhkan nilai ini di langkah selanjutnya.
Untuk mengonfigurasi kebijakan OIDC
-
Di konsol PingFederate administratif, buka Aplikasi → OAuth → OpenID Connect Policy Management.
-
Pilih kebijakan OIDC yang terkait dengan klien ini, atau pilih Tambahkan Kebijakan untuk membuatnya.
-
Pilih kotak centang Return ID Token On Refresh Grant. Ini memastikan bahwa aplikasi desktop menerima token ID baru dengan klaim saat ini saat menyegarkan sesi.
-
Di bawah Kontrak Atribut, verifikasi bahwa
emailklaim disertakan dan dipetakan ke atribut pengguna yang sesuai di sumber otentikasi Anda.emailKlaim harus ada dalam token yang dikeluarkan selama otentikasi awal dan hibah token refresh. -
Pilih Simpan.
Endpoint OIDC Anda menggunakan format berikut. Ganti <PINGFEDERATE_HOST> dengan nama host PingFederate server Anda.
| Bidang | Nilai |
|---|---|
| URL Penerbit | https://<PINGFEDERATE_HOST> |
| Titik akhir otorisasi | https://<PINGFEDERATE_HOST>/as/authorization.oauth2 |
| Titik akhir token | https://<PINGFEDERATE_HOST>/as/token.oauth2 |
| JENIS JWKS | https://<PINGFEDERATE_HOST>/pf/JWKS |
PingOne
Untuk petunjuk terperinci, lihat Mengedit aplikasi — Asli
Untuk membuat aplikasi asli PingOne OIDC
-
Di konsol PingOne admin, buka Aplikasi → Aplikasi dan pilih ikon +.
-
Masukkan
Amazon Quick Desktopsebagai nama aplikasi. -
Di bagian Jenis Aplikasi, pilih Asli, lalu pilih Simpan.
-
Pada tab Konfigurasi, pilih Edit dan konfigurasikan pengaturan berikut:
Pengaturan Nilai Jenis Respons Kode Jenis Hibah Kode Otorisasi dan Token Refresh Penegakan PKCE S256 URI Pengalihan http://localhost:18080Metode Otentikasi Titik Akhir Token Tidak ada -
Pilih Simpan.
-
Pada tab Sumber Daya, tambahkan cakupan berikut:
openid,,emailprofile,offline_access. -
Pada tab Pemetaan Atribut, verifikasi bahwa
emailatribut dipetakan ke alamat email pengguna. -
Alihkan aplikasi ke Diaktifkan.
-
Perhatikan ID Klien dan ID Lingkungan dari tab Konfigurasi.
catatan
PingOne Domain bervariasi menurut wilayah. Contoh di bawah ini digunakan.com. Ganti domain dengan domain untuk lingkungan Anda (misalnya,.ca,.eu, atau.asia).
Endpoint OIDC Anda menggunakan format berikut. Ganti <ENV_ID> dengan ID PingOne lingkungan Anda.
| Bidang | Nilai |
|---|---|
| URL Penerbit | https://auth.pingone.com/<ENV_ID>/as |
| Titik akhir otorisasi | https://auth.pingone.com/<ENV_ID>/as/authorize |
| Titik akhir token | https://auth.pingone.com/<ENV_ID>/as/token |
| JENIS JWKS | https://auth.pingone.com/<ENV_ID>/as/jwks |
Langkah 2: Konfigurasikan akses ekstensi di konsol manajemen Amazon Quick
Untuk menambahkan akses ekstensi
-
Masuk ke Amazon Quick Management Console dan pilih Kelola akun.
-
Di panel navigasi kiri, di bawah Izin, pilih Akses ekstensi.
-
Pilih Tambahkan akses ekstensi.
-
Di bawah Pilih Layanan, pilih Amazon Quick (Aplikasi Desktop untuk Cepat) dan pilih Berikutnya.
-
Masukkan detail ekstensi Amazon Quick:
Bidang Nilai Catatan Nama Nama untuk akses ekstensi ini (misalnya, QuickDesktop-access)Referensi internal saja. Nama ini tidak dikonfigurasi di IDP Anda. Alfanumerik dan tanda hubung saja, tidak ada spasi. Deskripsi (Opsional) Deskripsi akses ekstensi ini Tidak wajib. Hanya untuk referensi Anda. URL Penerbit URL penerbit OIDC dari Langkah 1 Harus menyertakan /v2.0akhiran untuk Entra ID.Titik Akhir Otorisasi URL titik akhir otorisasi OIDC dari Langkah 1 Titik Akhir Token URL titik akhir token OIDC dari Langkah 1 JENIS JWKS URI Set Kunci Web JSON dari Langkah 1 ID Klien Pengidentifikasi klien OIDC dari Langkah 1 -
Pilih Tambahkan.
penting
Verifikasi bahwa semua nilai sudah benar sebelum memilih Tambah. Konfigurasi akses ekstensi tidak dapat diedit setelah pembuatan. Jika ada nilai yang salah, Anda harus menghapus akses ekstensi dan membuat yang baru.
Untuk membuat ekstensi
-
Di Amazon Quick Management Console, di panel navigasi kiri, pilih Cepat, lalu di bawah Connect apps dan data, pilih Extensions.
-
Pilih Tambahkan ekstensi.
-
Pilih aplikasi Desktop untuk akses ekstensi Cepat yang Anda buat sebelumnya. Pilih Berikutnya.
-
Pilih Buat.
penting
Kedua langkah diperlukan. Jika Anda hanya mengonfigurasi akses ekstensi tanpa membuat ekstensi, login perusahaan tidak akan tersedia dan pengguna akan melihat kesalahan: “Masuk perusahaan untuk Desktop Cepat belum dikonfigurasi untuk akun ini.”
catatan
Membuat ekstensi adalah tindakan satu kali, tingkat akun. Setelah administrator membuat ekstensi, login perusahaan tersedia untuk semua pengguna di akun. Pengguna individu tidak perlu mengaktifkan ekstensi itu sendiri — mereka hanya perlu mengunduh aplikasi desktop dan masuk.
Langkah 3: Unduh dan distribusikan aplikasi desktop
Setelah Anda mengonfigurasi login perusahaan, verifikasi pengaturan dengan mengunduh dan menginstal aplikasi desktop sendiri. Pilih login Enterprise di layar masuk dan autentikasi dengan kredensi perusahaan Anda untuk mengonfirmasi bahwa konfigurasi berfungsi. Untuk langkah-langkah pengunduhan dan penginstalan, lihatMemulai.
Jika login gagal, verifikasi nilai yang Anda masukkan di Langkah 2 terhadap titik akhir OIDC dari Langkah 1. Jika ada nilai yang salah, hapus akses ekstensi di bawah Izin → Akses ekstensi, dan ulangi Langkah 2 dengan nilai yang benar.
Setelah Anda memverifikasi penyiapan, arahkan pengguna Anda Memulai untuk mengunduh, menginstal, dan instruksi masuk.
Pemecahan masalah
redirect_mismatchkesalahan-
Verifikasi bahwa URI pengalihan di IDP Anda
http://localhost:18080tepat dan dikonfigurasi sebagai klien publik atau platform asli. - Pengguna tidak ditemukan setelah login
-
Kesalahan ini memiliki dua penyebab umum:
-
Klaim email tidak dikembalikan dalam token. Untuk ID Microsoft Entra, Anda harus menambahkan klaim
emailopsional ke token ID di bawah konfigurasi Token (lihat Langkah 1). Selain itu, atribut Mail pengguna harus diisi di profil ID Entra mereka. User Principal Name (UPN) saja tidak cukup. -
Tidak ada pengguna yang cocok di Amazon Quick. Email dalam token harus sama persis dengan email pengguna yang disediakan. Untuk akun Pusat Identitas IAM, verifikasi kecocokan email pengguna di Pusat Identitas. Pencocokan email peka huruf besar/kecil.
-
- Kegagalan validasi token
-
Verifikasi bahwa URL penerbit dalam konfigurasi akses ekstensi sama persis dengan URL penerbit dalam konfigurasi OIDC iDP Anda.
- Kesalahan penerbit tidak valid (Microsoft Entra ID)
-
Jika login gagal dengan “Invalid issuer: https://login.microsoftonline.com/TENANT_ID/v2.0 “, verifikasi bahwa URL Penerbit dalam konfigurasi akses ekstensi Anda menyertakan sufiks jalur.
/v2.0Entra ID v2.0 endpoint mengeluarkan token denganissklaim yang menyertakan./v2.0Jika akhiran tidak ada, hapus akses ekstensi dan buat ulang dengan URL Penerbit yang benar. - Masuk perusahaan tidak dikonfigurasi untuk akun ini
-
Kesalahan ini berarti akses ekstensi dibuat tetapi ekstensi itu sendiri tidak. Arahkan ke Connect apps and data → Extensions di konsol manajemen dan buat ekstensi, pilih akses ekstensi yang telah Anda konfigurasikan sebelumnya.
- Permintaan info pengguna gagal (HTTP 504)
-
Ini adalah batas waktu backend sementara. Masuk ke akun Amazon Quick Anda melalui browser web terlebih dahulu, lalu coba lagi login desktop. Jika kesalahan berlanjut, verifikasi konektivitas jaringan ke titik akhir layanan Amazon Quick.
- Kesalahan persetujuan atau izin (Microsoft Entra ID)
-
Berikan izin admin untuk izin API yang diperlukan di portal Azure. Arahkan ke halaman izin API pendaftaran aplikasi dan pilih Berikan izin admin untuk [organisasi Anda].
- Sesi sering kedaluwarsa
-
Verifikasi bahwa idP Anda dikonfigurasi untuk mengeluarkan token penyegaran. Untuk Microsoft Entra ID,
offline_accessruang lingkup diperlukan. Untuk Google Workspace, sertakanaccess_type=offlinedalam permintaan otorisasi (ditangani secara otomatis oleh Quick). Untuk Okta, jenis hibah Refresh Token harus diaktifkan danoffline_accesscakupan harus diberikan. Untuk Ping Identity, jenis hibah Refresh Token harus diaktifkan danoffline_accesscakupan harus diberikan. Untuk PingFederate, verifikasi juga bahwa Return ID Token On Refresh Grant dipilih dalam kebijakan OIDC. invalid_scopeerror (Okta)-
Verifikasi yang
offline_accessdiaktifkan di server otorisasi Anda. Arahkan ke Keamanan → API → Server Otorisasi → default → Cakupan dan konfirmasikan cakupannya ada. Juga verifikasi bahwa kebijakan akses untuk aplikasi memungkinkan jenis hibah Refresh Token. - Aplikasi tidak diaktifkan (PingOne)
-
Jika otentikasi gagal segera tanpa mencapai halaman PingOne login, verifikasi bahwa sakelar aplikasi disetel ke Diaktifkan di konsol admin. PingOne
- Klaim email tidak ada setelah refresh (PingFederate)
-
Verifikasi bahwa
emailklaim disertakan dalam Kontrak Atribut kebijakan OIDC dan dipetakan ke atribut pengguna yang benar. Pemetaan harus menghasilkanemailklaim untuk otentikasi awal dan hibah token refresh.