View a markdown version of this page

Configurazione di Amazon Quick su desktop per distribuzioni aziendali - Amazon Quick

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione di Amazon Quick su desktop per distribuzioni aziendali

 Si applica a: Enterprise Edition 
   Destinatari: amministratori di sistema 

Per utilizzare Amazon Quick su desktop per distribuzioni aziendali, gli amministratori devono configurare l'Enterprise Single Sign-On (SSO) in modo che gli utenti dell'organizzazione possano accedere con le proprie credenziali aziendali. Questa configurazione collega il provider di identità (IdP) compatibile con OpenID Connect (OIDC) della tua organizzazione ad Amazon Quick.

Nota

Se utilizzi un account Free o Plus, questa sezione non si applica a te. Continua su Nozioni di base.

La configurazione prevede i seguenti passaggi, nell'ordine:

  1. Crea un'applicazione OIDC nel tuo IdP.

  2. Configura l'accesso all'estensione nella console di gestione Amazon Quick.

  3. Distribuisci l'applicazione desktop ai tuoi utenti.

Questa guida fornisce IdP-specific istruzioni per Microsoft Entra ID, Google Workspace, Okta e Ping Identity (PingFederate and PingOne). Consulta le istruzioni per il tuo provider di identità specifico di seguito.

Come funziona l'accesso aziendale

L'applicazione desktop Amazon Quick utilizza il protocollo OIDC per autenticare gli utenti. Quando un utente sceglie Continua con SSO, l'applicazione apre una finestra del browser e reindirizza all'endpoint di autorizzazione del tuo IdP. L'applicazione scambia quindi il codice di autorizzazione risultante in token utilizzando Proof Key for Code Exchange (PKCE).

Amazon Quick convalida il token e associa l'utente a un'identità nel tuo account. L'indirizzo e-mail del tuo IdP deve corrispondere esattamente all'indirizzo e-mail dell'utente in Amazon Quick.

Prerequisiti

Prima di iniziare, verifica di disporre di quanto segue:

  • Un AWS account con un abbonamento Amazon Quick attivo. La regione di residenza (regione di identità) dell'account Amazon Quick deve essere supportata Regione AWS. Per un elenco delle regioni supportate, consulta Supportata Regioni AWS per Amazon Quick. Sono supportati tutti i tipi di identità, inclusi IAM Identity Center, la federazione IAM e gli utenti nativi di Amazon Quick (username/password).

  • Accesso da amministratore al tuo account Amazon Quick.

  • Accedi al tuo IdP con le autorizzazioni per creare registrazioni di applicazioni OIDC.

Importante

Amazon Quick su desktop è disponibile per gli account Enterprise Regioni AWS che supportano il set completo di funzionalità Amazon Quick. Le regioni che supportano solo le funzionalità di Amazon Quick non includono i desktop. Per l'elenco completo, consulta Supportata Regioni AWS per Amazon Quick.

Passaggio 1: crea un'applicazione OIDC nel tuo provider di identità

Registra un'applicazione client OIDC pubblica nel tuo IdP. L'applicazione desktop Amazon Quick utilizza questo client per autenticare gli utenti tramite il flusso del codice di autorizzazione con PKCE. Non è richiesto alcun segreto del client.

L'applicazione desktop richiede token di aggiornamento per mantenere sessioni di lunga durata. La modalità di configurazione dei token di aggiornamento dipende dal tuo IdP:

  • ID Microsoft Entra: l'offline_accessambito deve essere concesso. In caso contrario, gli utenti devono riautenticarsi frequentemente.

  • Google Workspace: includi il access_type=offline parametro nella richiesta di autorizzazione. Google emette un token di aggiornamento alla prima autorizzazione. Non è richiesta alcuna configurazione aggiuntiva dell'ambito o del tipo di concessione.

  • Okta — Il tipo di concessione Refresh Token deve essere abilitato nell'applicazione e l'offline_accessambito deve essere concesso.

  • Ping Identity: il tipo di concessione Refresh Token deve essere abilitato e l'offline_accessambito deve essere concesso. Infatti PingFederate, l'impostazione Return ID Token On Refresh Grant deve essere abilitata anche nella politica OIDC.

Scegli le istruzioni per il tuo provider di identità.

ID Microsoft Entra

Per istruzioni dettagliate, vedi Registrare un'applicazione nella documentazione di Microsoft Entra.

Per creare la registrazione dell'app Entra ID
  1. Nel portale di Azure, vai a Microsoft Entra ID → Registrazioni app → Nuova registrazione.

  2. Configura le impostazioni seguenti:

    Impostazione Valore
    Nome Amazon Quick Desktop
    Tipi di account supportati Solo account in questo elenco organizzativo (tenant singolo)
    Piattaforma URI di reindirizzamento Pubblica client/native (mobile e desktop)
    URI di reindirizzamento http://localhost:18080
  3. Scegli Registrati.

  4. Nella pagina Panoramica, annota l'ID dell'applicazione (client) e l'ID della directory (tenant). Questi valori sono necessari nei passaggi successivi.

Questa è una registrazione pubblica del cliente. PKCE viene applicato automaticamente da Entra ID per i clienti pubblici.

Per configurare le autorizzazioni API
  1. Nella registrazione dell'app, vai a Autorizzazioni API → Aggiungi un'autorizzazione → Microsoft Graph → Autorizzazioni delegate.

  2. Aggiungi le seguenti autorizzazioni:openid,,,. email profile offline_access

  3. Scegli Add Permissions (Aggiungi autorizzazioni).

  4. Se la tua organizzazione lo richiede, scegli Concedi il consenso amministrativo per [la tua organizzazione].

Per configurare le impostazioni di autenticazione
  1. Nella registrazione dell'app, vai su Autenticazione.

  2. In Impostazioni avanzate, imposta Consenti flussi di client pubblici su .

  3. Verifica che http://localhost:18080 sia elencato in Applicazioni mobili e desktop.

  4. Scegli Save (Salva).

Per configurare le attestazioni relative ai token
  1. Nella registrazione dell'app, vai alla sezione Configurazione token.

  2. Scegli Aggiungi reclamo opzionale.

  3. Seleziona il tipo di token: ID.

  4. Seleziona il email reclamo e scegli Aggiungi.

Importante

Questo passaggio è obbligatorio. Senza l'indicazione email facoltativa, l'ID Microsoft Entra non include l'indirizzo e-mail dell'utente nel token ID e Amazon Quick non può mappare il token a un utente. Inoltre, ogni utente che accede deve avere l'attributo Mail inserito nel proprio profilo Entra ID (sotto Informazioni di contatto). Il nome principale dell'utente (UPN) da solo non è sufficiente: l'attributo Mail deve contenere un valore.

Gli endpoint OIDC utilizzano il seguente formato. <TENANT_ID>Sostituiscilo con il tuo ID di directory (tenant).

Importante

L'URL dell'emittente deve includere il suffisso del /v2.0 percorso. Non utilizzate l' "Authority URL» mostrato nel pannello Entra ID Endpoints, che omette questo suffisso. Se manca il /v2.0 suffisso, la convalida del token fallisce e viene visualizzato un errore «Emittente non valido» al momento dell'accesso.

Campo Valore
URL dell’emittente https://login.microsoftonline.com/<TENANT_ID>/v2.0
Endpoint di autorizzazione https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/authorize
Endpoint Token https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/token
JWKS URI https://login.microsoftonline.com/<TENANT_ID>/discovery/v2.0/keys
Suggerimento

L'URI JWKS non viene visualizzato nel pannello Microsoft Entra ID Endpoints. Puoi trovarlo aprendo l'URL del documento di metadati OpenID Connect dal pannello Endpoints e individuando il jwks_uri campo nella risposta JSON. In alternativa, costruiscilo utilizzando il formato mostrato nella tabella precedente.

Google Workspace

Per istruzioni dettagliate, consulta OAuth 2.0 per app mobili e desktop nella documentazione di Google for Developers.

Per creare il client Google OAuth
  1. In Google Cloud Console, vai su API e servizi → Credenziali → Crea credenziali → ID client OAuth.

  2. Configura le impostazioni seguenti:

    Impostazione Valore
    Tipo di applicazione App per desktop
    Nome Amazon Quick Desktop
  3. Scegli Create (Crea).

  4. Annota l'ID cliente e il segreto del cliente. Questi valori sono necessari nei passaggi successivi.

Per configurare la schermata di consenso OAuth
  1. Nella Google Cloud Console, vai a Google Auth Platform → Branding.

  2. Imposta il tipo di utente su Interno. Ciò limita l'accesso agli utenti della tua organizzazione Google Workspace.

  3. Inserisci le informazioni richieste sull'app e scegli Salva.

Per configurare gli ambiti
  1. Nella Google Cloud Console, vai a Google Auth Platform → Accesso ai dati.

  2. Aggiungi i seguenti ambiti:openid,,email. profile

  3. Scegli Save (Salva).

Google supporta PKCE per le applicazioni desktop. I token di aggiornamento vengono emessi automaticamente quando il access_type=offline parametro viene incluso nella richiesta di autorizzazione. e non sono necessarie ulteriori configurazioni.

Gli endpoint OIDC sono i seguenti:

Campo Valore
URL dell’emittente https://accounts.google.com
Endpoint di autorizzazione https://accounts.google.com/o/oauth2/v2/auth
Endpoint Token https://oauth2.googleapis.com/token?client_secret=<CLIENT_SECRET>
JWKS URI https://www.googleapis.com/oauth2/v3/certs
Nota

Aggiungi il segreto del client all'endpoint del token come parametro di client_secret query in modo che lo scambio di token abbia successo, ad esempio. https://oauth2.googleapis.com/token?client_secret=<CLIENT_SECRET> Sostituiscilo <CLIENT_SECRET> con il client secret generato per il tuo client OAuth.

Okta

Per istruzioni dettagliate, consulta Create integrazioni con l'app OpenID Connect nella documentazione di Okta.

Per creare l'applicazione nativa Okta OIDC
  1. Nella console di amministrazione Okta, vai su Applicazioni → Applicazioni → Crea integrazione di app.

  2. Seleziona OIDC - OpenID Connect come metodo di accesso.

  3. Seleziona Applicazione nativa come tipo di applicazione, quindi scegli Avanti.

  4. Configura le impostazioni seguenti:

    Impostazione Valore
    Nome di integrazione dell'app Amazon Quick Desktop
    Tipo di sovvenzione Codice di autorizzazione e token di aggiornamento
    Sign-in URI di reindirizzamento http://localhost:18080
    incarichi Assegna agli utenti o ai gruppi appropriati
  5. Scegli Save (Salva).

  6. Nella scheda Generale, annota l'ID client.

PKCE (S256) viene applicato automaticamente da Okta per le applicazioni native.

Per configurare gli ambiti
  1. Nella Okta Admin Console, vai a Sicurezza → API → Server di autorizzazione e seleziona il tuo server di autorizzazione (ad esempio, predefinito).

  2. Nella scheda Ambiti, verifica che i seguenti ambiti siano abilitati:openid,,,email. profile offline_access

  3. Nella scheda Criteri di accesso, verifica che la politica assegnata a questa applicazione consenta Authorization Code i tipi di Refresh Token concessione.

Per verificare le impostazioni di autenticazione
  1. Nell'integrazione dell'app, vai alla scheda Generale.

  2. In Impostazioni generali, verifica che il tipo di applicazione sia Native, che l'autenticazione del client sia Nessuna (client pubblico) e che PKCE sia richiesto.

  3. In LOGIN, conferma che http://localhost:18080 sia elencato come URI di reindirizzamento.

  4. Scegli Salva se hai apportato delle modifiche.

Gli endpoint OIDC utilizzano il seguente formato. <OKTA_DOMAIN>Sostituiscilo con il tuo dominio Okta (ad esempio,). your-org.okta.com

Campo Valore
URL dell’emittente https://<OKTA_DOMAIN>/oauth2/default
Endpoint di autorizzazione https://<OKTA_DOMAIN>/oauth2/default/v1/authorize
Endpoint Token https://<OKTA_DOMAIN>/oauth2/default/v1/token
JWKS URI https://<OKTA_DOMAIN>/oauth2/default/v1/keys

Identità Ping

Scegli le istruzioni per il tuo prodotto Ping Identity.

PingFederate

Per istruzioni dettagliate, consulta Configurazione di un'applicazione OIDC PingFederate nella documentazione di Ping Identity.

Per creare il client PingFederate OIDC
  1. Nella console di PingFederate amministrazione, vai su Applicazioni → OAuth → Client e scegli Aggiungi client.

  2. Nel campo ID cliente, inserisci un identificatore univoco per questo client.

  3. Nel campo Name (Nome), inserire Amazon Quick Desktop.

  4. Per Autenticazione client, seleziona Nessuno.

  5. Nella sezione URI di reindirizzamento, inserisci http://localhost:18080 e scegli Aggiungi.

  6. Nell'elenco Tipi di concessione consentiti, seleziona Codice di autorizzazione e Aggiorna token.

  7. Seleziona la casella di controllo Richiedi Proof Key for Code Exchange (PKCE).

  8. In Common Scopes, concedi quanto segue:openid,,,email. profile offline_access

  9. Scegli Save (Salva).

  10. Annota l'ID del cliente. Questo valore è necessario nei passaggi successivi.

Per configurare la politica OIDC
  1. Nella console di PingFederate amministrazione, vai su Applicazioni → OAuth → OpenID Connect Policy Management.

  2. Seleziona la politica OIDC associata a questo client o scegli Aggiungi politica per crearne una.

  3. Seleziona la casella di controllo Return ID Token On Refresh Grant. Ciò garantisce che l'applicazione desktop riceva un nuovo token ID con le affermazioni correnti durante l'aggiornamento della sessione.

  4. In Attribute Contract, verifica che l'emailattestazione sia inclusa e mappata all'attributo utente corrispondente nella fonte di autenticazione. L'emailattestazione deve essere presente nei token emessi sia durante l'autenticazione iniziale che durante la concessione di token di aggiornamento.

  5. Scegli Save (Salva).

I tuoi endpoint OIDC utilizzano il seguente formato. Sostituiscilo <PINGFEDERATE_HOST> con il nome host del server. PingFederate

Campo Valore
URL dell’emittente https://<PINGFEDERATE_HOST>
Endpoint di autorizzazione https://<PINGFEDERATE_HOST>/as/authorization.oauth2
Endpoint Token https://<PINGFEDERATE_HOST>/as/token.oauth2
JWKS URI https://<PINGFEDERATE_HOST>/pf/JWKS

PingOne

Per istruzioni dettagliate, consulta Modifica di un'applicazione: nativa nella documentazione di Ping Identity.

Per creare l'applicazione PingOne nativa OIDC
  1. Nella console di PingOne amministrazione, vai su Applicazioni → Applicazioni e scegli l'icona +.

  2. Inserisci Amazon Quick Desktop come nome dell'applicazione.

  3. Nella sezione Tipo di applicazione, seleziona Nativo, quindi scegli Salva.

  4. Nella scheda Configurazione, scegli Modifica e configura le seguenti impostazioni:

    Impostazione Valore
    Tipo di risposta Codice
    Tipo di sovvenzione Codice di autorizzazione e token di aggiornamento
    Applicazione PKCE S256
    Redirect URIs (URI di reindirizzamento) http://localhost:18080
    Metodo di autenticazione Token Endpoint Nessuno
  5. Scegli Save (Salva).

  6. Nella scheda Risorse, aggiungi i seguenti ambiti:openid,,email,profile. offline_access

  7. Nella scheda Mappature degli attributi, verifica che l'emailattributo sia mappato all'indirizzo e-mail dell'utente.

  8. Attiva l'applicazione su Attivata.

  9. Annota l'ID client e l'ID ambiente nella scheda Configurazione.

Nota

Il PingOne dominio varia in base alla regione. Gli esempi seguenti utilizzano.com. Sostituisci il dominio con quello del tuo ambiente (ad esempio.ca,.eu, o.asia).

Gli endpoint OIDC utilizzano il seguente formato. Sostituiscilo <ENV_ID> con il tuo PingOne ID di ambiente.

Campo Valore
URL dell’emittente https://auth.pingone.com/<ENV_ID>/as
Endpoint di autorizzazione https://auth.pingone.com/<ENV_ID>/as/authorize
Endpoint Token https://auth.pingone.com/<ENV_ID>/as/token
JWKS URI https://auth.pingone.com/<ENV_ID>/as/jwks

Fase 2: configurare l'accesso all'estensione nella console di gestione Amazon Quick

Per aggiungere l'accesso all'estensione
  1. Accedi alla console di gestione Amazon Quick e scegli Gestisci account.

  2. Nel riquadro di navigazione a sinistra, sotto Autorizzazioni, scegli Accesso tramite estensione.

  3. Scegli Aggiungi accesso all'estensione.

  4. In Select Service, seleziona Amazon Quick (applicazione desktop per Quick) e scegli Avanti.

  5. Inserisci i dettagli dell'estensione Amazon Quick:

    Campo Valore Note
    Nome Un nome per questo accesso all'estensione (ad esempio,QuickDesktop-access) Solo riferimento interno. Questo nome non è configurato nel tuo IdP. Solo caratteri alfanumerici e trattini, senza spazi.
    Description (Facoltativo) Una descrizione di questo accesso all'estensione Opzionale. Solo come riferimento.
    URL dell’emittente L'URL dell'emittente OIDC riportato nella fase 1 Deve includere il /v2.0 suffisso per Entra ID.
    Endpoint di autorizzazione L'URL dell'endpoint di autorizzazione OIDC del passaggio 1
    Token Endpoint L'URL dell'endpoint del token OIDC riportato nella fase 1
    JWKS URI L'URI del set di chiavi Web JSON del passaggio 1
    ID client L'identificatore del client OIDC del passaggio 1
  6. Scegliere Aggiungi.

    Importante

    Verifica che tutti i valori siano corretti prima di scegliere Aggiungi. La configurazione dell'accesso all'estensione non può essere modificata dopo la creazione. Se un valore non è corretto, è necessario eliminare l'accesso all'estensione e crearne uno nuovo.

Per creare l'estensione
  1. Nella console di gestione Amazon Quick, nel riquadro di navigazione a sinistra, scegli Quick, quindi in Connect app e dati, scegli Estensioni.

  2. Scegli Aggiungi estensione.

  3. Seleziona l'applicazione Desktop per l'accesso rapido alle estensioni che hai creato in precedenza. Scegli Next (Successivo).

  4. Scegli Create (Crea).

Importante

Entrambi i passaggi sono obbligatori. Se configuri solo l'accesso all'estensione senza creare l'estensione, l'accesso aziendale non sarà disponibile e gli utenti visualizzeranno l'errore: «L'accesso aziendale per Quick Desktop non è stato configurato per questo account».

Nota

La creazione dell'estensione è un'azione unica a livello di account. Una volta che un amministratore ha creato l'estensione, l'accesso aziendale è disponibile per tutti gli utenti dell'account. I singoli utenti non devono abilitare l'estensione da soli, ma devono solo scaricare l'applicazione desktop e accedere.

Passaggio 3: scaricare e distribuire l'applicazione desktop

Dopo aver configurato l'accesso aziendale, verifica la configurazione scaricando e installando tu stesso l'applicazione desktop. Scegli Enterprise login nella schermata di accesso e autenticati con le tue credenziali aziendali per confermare che la configurazione funzioni. Per le fasi di download e installazione, consulta. Nozioni di base

Se l'accesso non riesce, verifica i valori inseriti nel passaggio 2 con gli endpoint OIDC del passaggio 1. Se un valore non è corretto, elimina l'accesso all'estensione in Autorizzazioni → Accesso all'estensione e ripeti il passaggio 2 con i valori corretti.

Dopo aver verificato la configurazione, indirizza gli utenti alle istruzioni Nozioni di base per il download, l'installazione e l'accesso.

Risoluzione dei problemi

Errore redirect_mismatch

Verifica che l'URI di reindirizzamento nel tuo IdP sia http://localhost:18080 esatto e configurato come client pubblico o piattaforma nativa.

Utente non trovato dopo l'accesso

Questo errore ha due cause comuni:

  1. L'e-mail di richiesta non viene restituita nel token. Per Microsoft Entra ID, è necessario aggiungere l'attestazione email opzionale al token ID in Configurazione token (vedere il passaggio 1). Inoltre, l'attributo Mail dell'utente deve essere inserito nel profilo Entra ID. Il nome principale dell'utente (UPN) da solo non è sufficiente.

  2. Non esiste alcun utente corrispondente in Amazon Quick. L'e-mail nel token deve corrispondere esattamente all'e-mail di un utente assegnato. Per gli account IAM Identity Center, verifica che l'e-mail dell'utente in Identity Center corrisponda. La corrispondenza delle e-mail distingue tra maiuscole e minuscole.

Errore di convalida del token

Verifica che l'URL dell'emittente nella configurazione di accesso all'estensione corrisponda esattamente all'URL dell'emittente nella configurazione OIDC del tuo IdP.

Errore emittente non valido (ID Microsoft Entra)

Se l'accesso non riesce con «Emittente non valido: https://login.microsoftonline.com/TENANT_ID/v2.0 «, verifica che l'URL dell'emittente nella configurazione di accesso all'estensione includa il suffisso del percorso. /v2.0 L'endpoint Entra ID v2.0 emette token con un'attestazione che include. iss /v2.0 Se manca il suffisso, eliminate l'accesso all'estensione e ricreatelo con l'URL dell'emittente corretto.

Accesso aziendale non configurato per questo account

Questo errore indica che l'accesso all'estensione è stato creato ma l'estensione stessa no. Vai a Connect apps and data → Extensions nella console di gestione e crea l'estensione, selezionando l'accesso all'estensione che hai configurato in precedenza.

Richiesta di informazioni utente non riuscita (HTTP 504)

Si tratta di un timeout temporaneo del backend. Accedi prima al tuo account Amazon Quick tramite il browser Web, quindi riprova l'accesso da desktop. Se l'errore persiste, verifica la connettività di rete all'endpoint Amazon Quick service.

Errori di consenso o autorizzazione (Microsoft Entra ID)

Concedi il consenso dell'amministratore per le autorizzazioni API richieste nel portale di Azure. Vai alla pagina delle autorizzazioni API della registrazione dell'app e scegli Concedi il consenso dell'amministratore per [la tua organizzazione].

La sessione scade frequentemente

Verifica che il tuo IdP sia configurato per emettere token di aggiornamento. Per Microsoft Entra ID, l'offline_accessambito è obbligatorio. Per Google Workspace, includilo access_type=offline nella richiesta di autorizzazione (gestita automaticamente da Quick). Per Okta, il tipo di concessione Refresh Token deve essere abilitato e l'offline_accessambito deve essere concesso. Per Ping Identity, il tipo di concessione Refresh Token deve essere abilitato e l'offline_accessambito deve essere concesso. Inoltre PingFederate, verifica anche che Return ID Token On Refresh Grant sia selezionato nella politica OIDC.

invalid_scopeerrore (Okta)

Verifica che offline_access sia abilitato sul tuo server di autorizzazione. Vai a Sicurezza → API → Server di autorizzazione → predefinito → Ambiti e conferma che l'ambito sia presente. Verifica inoltre che la politica di accesso per l'applicazione consenta il tipo di concessione Refresh Token.

Applicazione non abilitata () PingOne

Se l'autenticazione fallisce immediatamente senza raggiungere la pagina di PingOne accesso, verifica che l'interruttore dell'applicazione sia impostato su Attivato nella console di PingOne amministrazione.

Richiesta e-mail mancante dopo l'aggiornamento () PingFederate

Verifica che l'emailattestazione sia inclusa nel contratto di attributo della politica OIDC e mappata all'attributo utente corretto. La mappatura deve produrre l'emailattestazione sia per l'autenticazione iniziale che per la concessione del token di aggiornamento.