View a markdown version of this page

Menyiapkan Amazon Quick di desktop untuk penerapan perusahaan - Amazon Quick

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyiapkan Amazon Quick di desktop untuk penerapan perusahaan

 Berlaku untuk: Enterprise Edition 
   Audiens yang dituju: Administrator sistem 

Untuk menggunakan Amazon Quick di desktop untuk penerapan perusahaan, administrator harus mengonfigurasi sistem masuk tunggal perusahaan (SSO) sehingga pengguna di organisasi dapat masuk dengan kredenal perusahaan mereka. Penyiapan ini menghubungkan penyedia identitas yang kompatibel dengan OpenID Connect (OIDC) organisasi Anda ke Amazon Quick.

catatan

Jika Anda menggunakan akun Gratis atau Plus, bagian ini tidak berlaku untuk Anda. Lanjutkan ke Memulai.

Pengaturan melibatkan langkah-langkah berikut, secara berurutan:

  1. Buat aplikasi OIDC di IDP Anda.

  2. Konfigurasikan akses ekstensi di konsol manajemen Amazon Quick.

  3. Bagikan aplikasi desktop ke pengguna Anda.

Panduan ini memberikan IdP-specific petunjuk untuk Microsoft Entra ID, Google Workspace, Okta, dan Ping Identity (PingFederate dan). PingOne Lihat petunjuk untuk penyedia identitas spesifik Anda di bawah ini.

Cara kerja masuk perusahaan

Aplikasi desktop Amazon Quick menggunakan protokol OIDC untuk mengautentikasi pengguna. Saat pengguna memilih Lanjutkan dengan SSO, aplikasi membuka jendela browser dan mengalihkan ke titik akhir otorisasi IDP Anda. Aplikasi kemudian menukar kode otorisasi yang dihasilkan untuk token menggunakan Kunci Bukti untuk Pertukaran Kode (PKCE).

Amazon Quick memvalidasi token dan memetakan pengguna ke identitas di akun Anda. Alamat email di IDP Anda harus sama persis dengan alamat email pengguna di Amazon Quick.

Prasyarat

Sebelum Anda mulai, verifikasi bahwa Anda memiliki yang berikut:

  • AWS Akun dengan langganan Amazon Quick aktif. Wilayah asal akun Amazon Quick (wilayah identitas) harus didukung Wilayah AWS. Untuk mengetahui daftar Wilayah yang didukung, lihat Didukung Wilayah AWS untuk Amazon Quick. Semua jenis identitas didukung, termasuk Pusat Identitas IAM, federasi IAM, dan pengguna Amazon Quick (username/password) asli.

  • Akses administrator ke akun Amazon Quick Anda.

  • Akses ke IDP Anda dengan izin untuk membuat pendaftaran aplikasi OIDC.

penting

Amazon Quick di desktop tersedia untuk akun Enterprise Wilayah AWS yang mendukung set fitur Amazon Quick lengkap. Wilayah yang mendukung kemampuan Amazon Quick saja tidak termasuk desktop. Untuk daftar lengkapnya, lihat Didukung Wilayah AWS untuk Amazon Quick.

Langkah 1: Buat aplikasi OIDC di penyedia identitas Anda

Daftarkan aplikasi klien OIDC publik di IDP Anda. Aplikasi desktop Amazon Quick menggunakan klien ini untuk mengautentikasi pengguna melalui aliran kode otorisasi dengan PKCE. Tidak diperlukan rahasia klien.

Aplikasi desktop membutuhkan token penyegaran untuk mempertahankan sesi yang berumur panjang. Cara penyegaran token dikonfigurasi tergantung pada IDP Anda:

  • Microsoft Entra ID — Ruang offline_access lingkup harus diberikan. Tanpa itu, pengguna harus sering melakukan autentikasi ulang.

  • Google Workspace — Sertakan access_type=offline parameter dalam permintaan otorisasi. Google mengeluarkan token penyegaran pada otorisasi pertama. Tidak diperlukan cakupan tambahan atau konfigurasi tipe hibah.

  • Okta — Jenis hibah Token Refresh harus diaktifkan pada aplikasi, dan offline_access ruang lingkup harus diberikan.

  • Identitas Ping — Jenis hibah Token Refresh harus diaktifkan, dan offline_access ruang lingkup harus diberikan. Untuk PingFederate, pengaturan Return ID Token On Refresh Grant juga harus diaktifkan dalam kebijakan OIDC.

Pilih instruksi untuk penyedia identitas Anda.

ID Microsoft Entra

Untuk petunjuk selengkapnya, lihat Mendaftarkan aplikasi di dokumentasi Microsoft Entra.

Untuk membuat pendaftaran aplikasi Entra ID
  1. Di portal Azure, navigasikan ke Microsoft Entra ID → Pendaftaran aplikasi → Pendaftaran baru.

  2. Konfigurasikan pengaturan berikut:

    Pengaturan Nilai
    Nama Amazon Quick Desktop
    Jenis akun yang didukung Akun di direktori organisasi ini saja (Penyewa tunggal)
    Platform URI pengalihan Publik client/native (seluler & desktop)
    Mengalihkan URI http://localhost:18080
  3. PilihPendaftaran.

  4. Pada halaman Ikhtisar, catat ID Aplikasi (klien) dan ID Direktori (penyewa). Anda membutuhkan nilai-nilai ini di langkah selanjutnya.

Ini adalah pendaftaran klien publik. PKCE diberlakukan secara otomatis oleh Entra ID untuk klien publik.

Untuk mengonfigurasi izin API
  1. Dalam pendaftaran aplikasi, navigasikan ke izin API → Tambahkan izin → Grafik Microsoft → Izin yang didelegasikan.

  2. Tambahkan izin berikut:openid,, emailprofile,offline_access.

  3. Pilih Tambahkan izin.

  4. Jika organisasi Anda memerlukannya, pilih Berikan izin admin untuk [organisasi Anda].

Untuk mengkonfigurasi pengaturan otentikasi
  1. Dalam pendaftaran aplikasi, navigasikan ke Otentikasi.

  2. Di bawah Pengaturan lanjutan, setel Izinkan aliran klien publik ke Ya.

  3. Verifikasi http://localhost:18080 yang tercantum di bawah Aplikasi seluler dan desktop.

  4. Pilih Simpan.

Untuk mengonfigurasi klaim token
  1. Dalam pendaftaran aplikasi, navigasikan ke konfigurasi Token.

  2. Pilih Tambahkan klaim opsional.

  3. Pilih jenis token: ID.

  4. Pilih email klaim dan pilih Tambah.

penting

Langkah ini diperlukan. Tanpa klaim email opsional, ID Microsoft Entra tidak menyertakan alamat email pengguna dalam token ID, dan Amazon Quick tidak dapat memetakan token ke pengguna. Selain itu, setiap pengguna yang masuk harus memiliki atribut Mail mereka yang terisi di profil ID Entra mereka (di bawah Informasi Kontak). User Principal Name (UPN) saja tidak cukup — atribut Mail harus berisi nilai.

Endpoint OIDC Anda menggunakan format berikut. Ganti <TENANT_ID> dengan ID Direktori (penyewa) Anda.

penting

URL Penerbit harus menyertakan sufiks /v2.0 jalur. Jangan gunakan “URL Otoritas” yang ditampilkan di panel Entra ID Entra Ends, yang menghilangkan akhiran ini. Jika /v2.0 akhiran tidak ada, validasi token gagal dengan kesalahan “Penerbit tidak valid” pada saat login.

Bidang Nilai
URL Penerbit https://login.microsoftonline.com/<TENANT_ID>/v2.0
Titik akhir otorisasi https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/authorize
Titik akhir token https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/token
JENIS JWKS https://login.microsoftonline.com/<TENANT_ID>/discovery/v2.0/keys
Tip

URI JWKS tidak ditampilkan di panel Entra ID Entra Microsoft. Anda dapat menemukannya dengan membuka URL dokumen metadata OpenID Connect dari panel Endpoints dan menemukan bidang dalam respons JSON. jwks_uri Atau, buat menggunakan format yang ditunjukkan pada tabel sebelumnya.

Google Workspace

Untuk petunjuk mendetail, lihat OAuth 2.0 untuk Aplikasi Seluler & Desktop di dokumentasi Google for Developers.

Untuk membuat klien Google OAuth
  1. Di Google Cloud Console, navigasikan ke API & Services → Credentials → Create Credentials → OAuth client ID.

  2. Konfigurasikan pengaturan berikut:

    Pengaturan Nilai
    Jenis aplikasi Aplikasi desktop
    Nama Amazon Quick Desktop
  3. Pilih Buat.

  4. Catat ID Klien dan rahasia Klien. Anda membutuhkan nilai-nilai ini di langkah selanjutnya.

Untuk mengonfigurasi layar persetujuan OAuth
  1. Di Google Cloud Console, navigasikan ke Google Auth Platform → Branding.

  2. Atur tipe Pengguna ke Internal. Ini membatasi proses masuk ke pengguna di organisasi Google Workspace Anda.

  3. Isi informasi aplikasi yang diperlukan dan pilih Simpan.

Untuk mengkonfigurasi cakupan
  1. Di Google Cloud Console, navigasikan ke Google Auth Platform → Akses Data.

  2. Tambahkan cakupan berikut:openid,email,profile.

  3. Pilih Simpan.

Google mendukung PKCE untuk aplikasi desktop. Token penyegaran dikeluarkan secara otomatis ketika access_type=offline parameter disertakan dalam permintaan otorisasi. Tidak diperlukan konfigurasi tambahan.

Endpoint OIDC Anda adalah sebagai berikut:

Bidang Nilai
URL Penerbit https://accounts.google.com
Titik akhir otorisasi https://accounts.google.com/o/oauth2/v2/auth
Titik akhir token https://oauth2.googleapis.com/token?client_secret=<CLIENT_SECRET>
JENIS JWKS https://www.googleapis.com/oauth2/v3/certs
catatan

Tambahkan rahasia klien Anda ke titik akhir token sebagai parameter client_secret kueri sehingga pertukaran token berhasil—misalnya,. https://oauth2.googleapis.com/token?client_secret=<CLIENT_SECRET> Ganti <CLIENT_SECRET> dengan rahasia klien yang dihasilkan untuk klien OAuth Anda.

Okta

Untuk petunjuk selengkapnya, lihat Membuat integrasi aplikasi OpenID Connect di dokumentasi Okta.

Untuk membuat Aplikasi Asli Okta OIDC
  1. Di Konsol Admin Okta, arahkan ke Aplikasi → Aplikasi → Buat Integrasi Aplikasi.

  2. Pilih OIDC - OpenID Connect sebagai metode login.

  3. Pilih Native Application sebagai tipe aplikasi, lalu pilih Next.

  4. Konfigurasikan pengaturan berikut:

    Pengaturan Nilai
    Nama integrasi aplikasi Amazon Quick Desktop
    Jenis hibah Kode Otorisasi dan Token Refresh
    Sign-in mengarahkan URI http://localhost:18080
    Tugas Tetapkan ke pengguna atau grup yang sesuai
  5. Pilih Simpan.

  6. Pada tab Umum, perhatikan ID Klien.

PKCE (S256) diberlakukan secara otomatis oleh Okta untuk aplikasi asli.

Untuk mengkonfigurasi cakupan
  1. Di Konsol Admin Okta, arahkan ke Security → API → Authorization Server dan pilih server otorisasi Anda (misalnya, default).

  2. Pada tab Cakupan, verifikasi bahwa cakupan berikut diaktifkan:openid,,email,profile. offline_access

  3. Pada tab Kebijakan Akses, verifikasi bahwa kebijakan yang ditetapkan untuk aplikasi ini mengizinkan Authorization Code dan Refresh Token memberikan jenis.

Untuk memverifikasi pengaturan otentikasi
  1. Dalam integrasi aplikasi, buka tab Umum.

  2. Di bawah Pengaturan Umum, konfirmasikan bahwa jenis aplikasi adalah Native, otentikasi klien adalah None (klien publik), dan PKCE Diperlukan.

  3. Di bawah LOGIN, konfirmasikan bahwa http://localhost:18080 terdaftar sebagai URI pengalihan.

  4. Pilih Simpan jika Anda membuat perubahan.

Endpoint OIDC Anda menggunakan format berikut. Ganti <OKTA_DOMAIN> dengan domain Okta Anda (misalnya,your-org.okta.com).

Bidang Nilai
URL Penerbit https://<OKTA_DOMAIN>/oauth2/default
Titik akhir otorisasi https://<OKTA_DOMAIN>/oauth2/default/v1/authorize
Titik akhir token https://<OKTA_DOMAIN>/oauth2/default/v1/token
JENIS JWKS https://<OKTA_DOMAIN>/oauth2/default/v1/keys

Identitas Ping

Pilih instruksi untuk produk Ping Identity Anda.

PingFederate

Untuk petunjuk rinci, lihat Menyiapkan aplikasi OIDC PingFederate dalam dokumentasi Identitas Ping.

Untuk membuat klien PingFederate OIDC
  1. Di konsol PingFederate administratif, buka Aplikasi → OAuth → Klien, dan pilih Tambah Klien.

  2. Di bidang ID Klien, masukkan pengenal unik untuk klien ini.

  3. Di bidang Nama, masukkan Amazon Quick Desktop.

  4. Untuk Otentikasi Klien, pilih Tidak Ada.

  5. Di bagian Redirection URI, masukkan http://localhost:18080 dan pilih Tambah.

  6. Dalam daftar Jenis Hibah yang Diizinkan, pilih Kode Otorisasi dan Token Segarkan.

  7. Pilih kotak centang Required Proof Key for Code Exchange (PKCE).

  8. Di bawah Common Scopes, berikan yang berikut:openid,, emailprofile,offline_access.

  9. Pilih Simpan.

  10. Perhatikan ID Klien. Anda membutuhkan nilai ini di langkah selanjutnya.

Untuk mengonfigurasi kebijakan OIDC
  1. Di konsol PingFederate administratif, buka Aplikasi → OAuth → OpenID Connect Policy Management.

  2. Pilih kebijakan OIDC yang terkait dengan klien ini, atau pilih Tambahkan Kebijakan untuk membuatnya.

  3. Pilih kotak centang Return ID Token On Refresh Grant. Ini memastikan bahwa aplikasi desktop menerima token ID baru dengan klaim saat ini saat menyegarkan sesi.

  4. Di bawah Kontrak Atribut, verifikasi bahwa email klaim disertakan dan dipetakan ke atribut pengguna yang sesuai di sumber otentikasi Anda. emailKlaim harus ada dalam token yang dikeluarkan selama otentikasi awal dan hibah token refresh.

  5. Pilih Simpan.

Endpoint OIDC Anda menggunakan format berikut. Ganti <PINGFEDERATE_HOST> dengan nama host PingFederate server Anda.

Bidang Nilai
URL Penerbit https://<PINGFEDERATE_HOST>
Titik akhir otorisasi https://<PINGFEDERATE_HOST>/as/authorization.oauth2
Titik akhir token https://<PINGFEDERATE_HOST>/as/token.oauth2
JENIS JWKS https://<PINGFEDERATE_HOST>/pf/JWKS

PingOne

Untuk petunjuk terperinci, lihat Mengedit aplikasi — Asli dalam dokumentasi Identitas Ping.

Untuk membuat aplikasi asli PingOne OIDC
  1. Di konsol PingOne admin, buka Aplikasi → Aplikasi dan pilih ikon +.

  2. Masukkan Amazon Quick Desktop sebagai nama aplikasi.

  3. Di bagian Jenis Aplikasi, pilih Asli, lalu pilih Simpan.

  4. Pada tab Konfigurasi, pilih Edit dan konfigurasikan pengaturan berikut:

    Pengaturan Nilai
    Jenis Respons Kode
    Jenis Hibah Kode Otorisasi dan Token Refresh
    Penegakan PKCE S256
    URI Pengalihan http://localhost:18080
    Metode Otentikasi Titik Akhir Token Tidak ada
  5. Pilih Simpan.

  6. Pada tab Sumber Daya, tambahkan cakupan berikut:openid,, emailprofile,offline_access.

  7. Pada tab Pemetaan Atribut, verifikasi bahwa email atribut dipetakan ke alamat email pengguna.

  8. Alihkan aplikasi ke Diaktifkan.

  9. Perhatikan ID Klien dan ID Lingkungan dari tab Konfigurasi.

catatan

PingOne Domain bervariasi menurut wilayah. Contoh di bawah ini digunakan.com. Ganti domain dengan domain untuk lingkungan Anda (misalnya,.ca,.eu, atau.asia).

Endpoint OIDC Anda menggunakan format berikut. Ganti <ENV_ID> dengan ID PingOne lingkungan Anda.

Bidang Nilai
URL Penerbit https://auth.pingone.com/<ENV_ID>/as
Titik akhir otorisasi https://auth.pingone.com/<ENV_ID>/as/authorize
Titik akhir token https://auth.pingone.com/<ENV_ID>/as/token
JENIS JWKS https://auth.pingone.com/<ENV_ID>/as/jwks

Langkah 2: Konfigurasikan akses ekstensi di konsol manajemen Amazon Quick

Untuk menambahkan akses ekstensi
  1. Masuk ke Amazon Quick Management Console dan pilih Kelola akun.

  2. Di panel navigasi kiri, di bawah Izin, pilih Akses ekstensi.

  3. Pilih Tambahkan akses ekstensi.

  4. Di bawah Pilih Layanan, pilih Amazon Quick (Aplikasi Desktop untuk Cepat) dan pilih Berikutnya.

  5. Masukkan detail ekstensi Amazon Quick:

    Bidang Nilai Catatan
    Nama Nama untuk akses ekstensi ini (misalnya,QuickDesktop-access) Referensi internal saja. Nama ini tidak dikonfigurasi di IDP Anda. Alfanumerik dan tanda hubung saja, tidak ada spasi.
    Deskripsi (Opsional) Deskripsi akses ekstensi ini Tidak wajib. Hanya untuk referensi Anda.
    URL Penerbit URL penerbit OIDC dari Langkah 1 Harus menyertakan /v2.0 akhiran untuk Entra ID.
    Titik Akhir Otorisasi URL titik akhir otorisasi OIDC dari Langkah 1
    Titik Akhir Token URL titik akhir token OIDC dari Langkah 1
    JENIS JWKS URI Set Kunci Web JSON dari Langkah 1
    ID Klien Pengidentifikasi klien OIDC dari Langkah 1
  6. Pilih Tambahkan.

    penting

    Verifikasi bahwa semua nilai sudah benar sebelum memilih Tambah. Konfigurasi akses ekstensi tidak dapat diedit setelah pembuatan. Jika ada nilai yang salah, Anda harus menghapus akses ekstensi dan membuat yang baru.

Untuk membuat ekstensi
  1. Di Amazon Quick Management Console, di panel navigasi kiri, pilih Cepat, lalu di bawah Connect apps dan data, pilih Extensions.

  2. Pilih Tambahkan ekstensi.

  3. Pilih aplikasi Desktop untuk akses ekstensi Cepat yang Anda buat sebelumnya. Pilih Berikutnya.

  4. Pilih Buat.

penting

Kedua langkah diperlukan. Jika Anda hanya mengonfigurasi akses ekstensi tanpa membuat ekstensi, login perusahaan tidak akan tersedia dan pengguna akan melihat kesalahan: “Masuk perusahaan untuk Desktop Cepat belum dikonfigurasi untuk akun ini.”

catatan

Membuat ekstensi adalah tindakan satu kali, tingkat akun. Setelah administrator membuat ekstensi, login perusahaan tersedia untuk semua pengguna di akun. Pengguna individu tidak perlu mengaktifkan ekstensi itu sendiri — mereka hanya perlu mengunduh aplikasi desktop dan masuk.

Langkah 3: Unduh dan distribusikan aplikasi desktop

Setelah Anda mengonfigurasi login perusahaan, verifikasi pengaturan dengan mengunduh dan menginstal aplikasi desktop sendiri. Pilih login Enterprise di layar masuk dan autentikasi dengan kredensi perusahaan Anda untuk mengonfirmasi bahwa konfigurasi berfungsi. Untuk langkah-langkah pengunduhan dan penginstalan, lihatMemulai.

Jika login gagal, verifikasi nilai yang Anda masukkan di Langkah 2 terhadap titik akhir OIDC dari Langkah 1. Jika ada nilai yang salah, hapus akses ekstensi di bawah Izin → Akses ekstensi, dan ulangi Langkah 2 dengan nilai yang benar.

Setelah Anda memverifikasi penyiapan, arahkan pengguna Anda Memulai untuk mengunduh, menginstal, dan instruksi masuk.

Pemecahan masalah

redirect_mismatch kesalahan

Verifikasi bahwa URI pengalihan di IDP Anda http://localhost:18080 tepat dan dikonfigurasi sebagai klien publik atau platform asli.

Pengguna tidak ditemukan setelah login

Kesalahan ini memiliki dua penyebab umum:

  1. Klaim email tidak dikembalikan dalam token. Untuk ID Microsoft Entra, Anda harus menambahkan klaim email opsional ke token ID di bawah konfigurasi Token (lihat Langkah 1). Selain itu, atribut Mail pengguna harus diisi di profil ID Entra mereka. User Principal Name (UPN) saja tidak cukup.

  2. Tidak ada pengguna yang cocok di Amazon Quick. Email dalam token harus sama persis dengan email pengguna yang disediakan. Untuk akun Pusat Identitas IAM, verifikasi kecocokan email pengguna di Pusat Identitas. Pencocokan email peka huruf besar/kecil.

Kegagalan validasi token

Verifikasi bahwa URL penerbit dalam konfigurasi akses ekstensi sama persis dengan URL penerbit dalam konfigurasi OIDC iDP Anda.

Kesalahan penerbit tidak valid (Microsoft Entra ID)

Jika login gagal dengan “Invalid issuer: https://login.microsoftonline.com/TENANT_ID/v2.0 “, verifikasi bahwa URL Penerbit dalam konfigurasi akses ekstensi Anda menyertakan sufiks jalur. /v2.0 Entra ID v2.0 endpoint mengeluarkan token dengan iss klaim yang menyertakan. /v2.0 Jika akhiran tidak ada, hapus akses ekstensi dan buat ulang dengan URL Penerbit yang benar.

Masuk perusahaan tidak dikonfigurasi untuk akun ini

Kesalahan ini berarti akses ekstensi dibuat tetapi ekstensi itu sendiri tidak. Arahkan ke Connect apps and data → Extensions di konsol manajemen dan buat ekstensi, pilih akses ekstensi yang telah Anda konfigurasikan sebelumnya.

Permintaan info pengguna gagal (HTTP 504)

Ini adalah batas waktu backend sementara. Masuk ke akun Amazon Quick Anda melalui browser web terlebih dahulu, lalu coba lagi login desktop. Jika kesalahan berlanjut, verifikasi konektivitas jaringan ke titik akhir layanan Amazon Quick.

Kesalahan persetujuan atau izin (Microsoft Entra ID)

Berikan izin admin untuk izin API yang diperlukan di portal Azure. Arahkan ke halaman izin API pendaftaran aplikasi dan pilih Berikan izin admin untuk [organisasi Anda].

Sesi sering kedaluwarsa

Verifikasi bahwa idP Anda dikonfigurasi untuk mengeluarkan token penyegaran. Untuk Microsoft Entra ID, offline_access ruang lingkup diperlukan. Untuk Google Workspace, sertakan access_type=offline dalam permintaan otorisasi (ditangani secara otomatis oleh Quick). Untuk Okta, jenis hibah Refresh Token harus diaktifkan dan offline_access cakupan harus diberikan. Untuk Ping Identity, jenis hibah Refresh Token harus diaktifkan dan offline_access cakupan harus diberikan. Untuk PingFederate, verifikasi juga bahwa Return ID Token On Refresh Grant dipilih dalam kebijakan OIDC.

invalid_scopeerror (Okta)

Verifikasi yang offline_access diaktifkan di server otorisasi Anda. Arahkan ke Keamanan → API → Server Otorisasi → default → Cakupan dan konfirmasikan cakupannya ada. Juga verifikasi bahwa kebijakan akses untuk aplikasi memungkinkan jenis hibah Refresh Token.

Aplikasi tidak diaktifkan (PingOne)

Jika otentikasi gagal segera tanpa mencapai halaman PingOne login, verifikasi bahwa sakelar aplikasi disetel ke Diaktifkan di konsol admin. PingOne

Klaim email tidak ada setelah refresh (PingFederate)

Verifikasi bahwa email klaim disertakan dalam Kontrak Atribut kebijakan OIDC dan dipetakan ke atribut pengguna yang benar. Pemetaan harus menghasilkan email klaim untuk otentikasi awal dan hibah token refresh.