View a markdown version of this page

Configurando o Amazon Quick no desktop para implantações corporativas - Amazon Quick

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurando o Amazon Quick no desktop para implantações corporativas

 Aplica-se a: Enterprise Edition 
   Público-alvo: administradores de sistemas 

Para usar o Amazon Quick no desktop para implantações corporativas, os administradores devem configurar o login único corporativo (SSO) para que os usuários da organização possam fazer login com suas credenciais corporativas. Essa configuração conecta o provedor de identidade (IdP) compatível com o OpenID Connect (OIDC) da sua organização ao Amazon Quick.

nota

Se você estiver usando uma conta gratuita ou Plus, esta seção não se aplica a você. Avance para Introdução.

A configuração envolve as seguintes etapas, na ordem:

  1. Crie um aplicativo OIDC em seu IdP.

  2. Configure o acesso à extensão no console de gerenciamento Amazon Quick.

  3. Distribua o aplicativo de desktop para seus usuários.

Este guia fornece IdP-specific instruções para Microsoft Entra ID, Google Workspace, Okta e Ping Identity (PingFederate e PingOne). Veja as instruções para seu provedor de identidade específico abaixo.

Como funciona o login corporativo

O aplicativo de desktop Amazon Quick usa o protocolo OIDC para autenticar usuários. Quando um usuário escolhe Continuar com SSO, o aplicativo abre uma janela do navegador e redireciona para o endpoint de autorização do seu IdP. O aplicativo então troca o código de autorização resultante por tokens usando o Proof Key for Code Exchange (PKCE).

O Amazon Quick valida o token e mapeia o usuário para uma identidade em sua conta. O endereço de e-mail em seu IdP deve corresponder exatamente ao endereço de e-mail do usuário no Amazon Quick.

Pré-requisitos

Antes de começar, verifique se você tem o seguinte:

  • Uma AWS conta com uma assinatura ativa do Amazon Quick. A região inicial da conta Amazon Quick (região de identidade) deve estar em um local compatível Região da AWS. Para obter uma lista de regiões compatíveis, consulte Compatível Regiões da AWS para Amazon Quick. Todos os tipos de identidade são compatíveis, incluindo o IAM Identity Center, a federação do IAM e os usuários nativos do Amazon Quick (username/password).

  • Acesso de administrador à sua conta Amazon Quick.

  • Acesso ao seu IdP com permissões para criar registros de aplicativos OIDC.

Importante

O Amazon Quick para desktop está disponível para contas corporativas Regiões da AWS que oferecem suporte ao conjunto completo de recursos do Amazon Quick. As regiões que oferecem suporte somente aos recursos do Amazon Quick não incluem o desktop. Para ver a lista completa, consulte Compatível Regiões da AWS para Amazon Quick.

Etapa 1: Crie um aplicativo OIDC em seu provedor de identidade

Registre um aplicativo cliente público do OIDC em seu IdP. O aplicativo de desktop Amazon Quick usa esse cliente para autenticar usuários por meio do fluxo de código de autorização com o PKCE. Nenhum segredo do cliente é necessário.

O aplicativo de desktop requer tokens de atualização para manter sessões de longa duração. A forma como os tokens de atualização são configurados depende do seu IdP:

  • Microsoft Entra ID — O offline_access escopo deve ser concedido. Sem isso, os usuários devem se autenticar novamente com frequência.

  • Google Workspace — inclua o access_type=offline parâmetro na solicitação de autorização. O Google emite um token de atualização na primeira autorização. Nenhuma configuração adicional de escopo ou tipo de concessão é necessária.

  • Okta — O tipo de concessão do Refresh Token deve estar ativado no aplicativo e o offline_access escopo deve ser concedido.

  • Identidade de ping — O tipo de concessão do token de atualização deve estar ativado e o offline_access escopo deve ser concedido. Pois PingFederate, a configuração Return ID Token On Refresh Grant também deve estar habilitada na política do OIDC.

Escolha as instruções para seu provedor de identidade.

Microsoft Entra ID

Para obter instruções detalhadas, consulte Registrar um aplicativo na documentação do Microsoft Entra.

Para criar o registro do aplicativo Entra ID
  1. No portal do Azure, navegue até Microsoft Entra ID → Registros de aplicativos → Novo registro.

  2. Configure as seguintes opções:

    Configuração Valor
    Nome Amazon Quick Desktop
    Tipos de conta compatíveis Contas somente neste diretório organizacional (inquilino único)
    Plataforma de redirecionamento de URI Público client/native (móvel e desktop)
    URI de redirecionamento http://localhost:18080
  3. Escolha Registrar.

  4. Na página Visão geral, anote o ID do aplicativo (cliente) e o ID do diretório (locatário). Você precisará desses valores em etapas posteriores.

Este é um registro público de cliente. O PKCE é aplicado automaticamente pelo Entra ID para clientes públicos.

Para configurar as permissões da API
  1. No registro do aplicativo, navegue até Permissões da API → Adicionar uma permissão → Microsoft Graph → Permissões delegadas.

  2. Adicione as seguintes permissões:openid,email,profile,offline_access.

  3. Escolha Adicionar permissões.

  4. Se sua organização exigir, escolha Conceder consentimento do administrador para [sua organização].

Para definir as configurações de autenticação
  1. No registro do aplicativo, navegue até Autenticação.

  2. Em Configurações avançadas, defina Permitir fluxos de clientes públicos como Sim.

  3. Verifique se http://localhost:18080 está listado em Aplicativos móveis e de desktop.

  4. Escolha Salvar.

Para configurar reivindicações de token
  1. No registro do aplicativo, navegue até Configuração do token.

  2. Escolha Adicionar reivindicação opcional.

  3. Selecione o tipo de token: ID.

  4. Selecione a email reivindicação e escolha Adicionar.

Importante

Essa etapa é necessária. Sem a reivindicação email opcional, o Microsoft Entra ID não inclui o endereço de e-mail do usuário no token de ID, e o Amazon Quick não pode mapear o token para um usuário. Além disso, cada usuário que fizer login deve ter seu atributo Mail preenchido em seu perfil Entra ID (em Informações de contato). O nome principal do usuário (UPN) sozinho não é suficiente — o atributo Mail deve conter um valor.

Seus endpoints do OIDC usam o seguinte formato. <TENANT_ID>Substitua pelo ID do seu diretório (inquilino).

Importante

O URL do emissor deve incluir o sufixo do /v2.0 caminho. Não use o “URL de autoridade” mostrado no painel Entra ID Endpoints, que omite esse sufixo. Se o /v2.0 sufixo estiver ausente, a validação do token falhará com um erro de “Emissor inválido” no momento do login.

Campo Valor
URL do emissor https://login.microsoftonline.com/<TENANT_ID>/v2.0
Endpoint de Autorização https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/authorize
Endpoint de token https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/token
JAKS URI https://login.microsoftonline.com/<TENANT_ID>/discovery/v2.0/keys
dica

O URI do JWKS não é exibido no painel Microsoft Entra ID Endpoints. Você pode encontrá-la abrindo a URL do documento de metadados do OpenID Connect no painel Endpoints e localizando o jwks_uri campo na resposta JSON. Como alternativa, construa-o usando o formato mostrado na tabela anterior.

Google Workspace

Para obter instruções detalhadas, consulte OAuth 2.0 para aplicativos móveis e de desktop na documentação do Google for Developers.

Para criar o cliente Google OAuth
  1. No Console do Google Cloud, navegue até APIs e serviços → Credenciais → Criar credenciais → ID do cliente OAuth.

  2. Configure as seguintes opções:

    Configuração Valor
    Tipo de aplicação Aplicativo para desktop
    Nome Amazon Quick Desktop
  3. Escolha Criar.

  4. Anote o ID do cliente e o segredo do cliente. Você precisará desses valores em etapas posteriores.

Para configurar a tela de consentimento do OAuth
  1. No Console do Google Cloud, navegue até Google Auth Platform → Branding.

  2. Defina o tipo de usuário como Interno. Isso restringe o login de usuários na sua organização do Google Workspace.

  3. Preencha as informações necessárias do aplicativo e escolha Salvar.

Para configurar escopos
  1. No Console do Google Cloud, navegue até Google Auth Platform → Data Access.

  2. Adicione os seguintes escopos:openid,email,profile.

  3. Escolha Salvar.

O Google oferece suporte ao PKCE para aplicativos de desktop. Os tokens de atualização são emitidos automaticamente quando o access_type=offline parâmetro é incluído na solicitação de autorização. Não é exigida nenhuma configuração adicional.

Seus endpoints do OIDC são os seguintes:

Campo Valor
URL do emissor https://accounts.google.com
Endpoint de Autorização https://accounts.google.com/o/oauth2/v2/auth
Endpoint de token https://oauth2.googleapis.com/token?client_secret=<CLIENT_SECRET>
JAKS URI https://www.googleapis.com/oauth2/v3/certs
nota

Anexe o segredo do seu cliente ao endpoint do token como um parâmetro de client_secret consulta para que a troca do token seja bem-sucedida, por exemplo,. https://oauth2.googleapis.com/token?client_secret=<CLIENT_SECRET> <CLIENT_SECRET>Substitua pelo segredo do cliente gerado para seu cliente OAuth.

Okta

Para obter instruções detalhadas, consulte Criar integrações do aplicativo OpenID Connect na documentação do Okta.

Para criar o aplicativo nativo Okta OIDC
  1. No Okta Admin Console, navegue até Aplicativos → Aplicativos → Criar integração de aplicativos.

  2. Selecione OIDC - OpenID Connect como método de login.

  3. Selecione Aplicativo nativo como o tipo de aplicativo e escolha Avançar.

  4. Configure as seguintes opções:

    Configuração Valor
    Nome da integração do aplicativo Amazon Quick Desktop
    Tipo de subsídio Código de autorização e token de atualização
    Sign-in redirecionar URIs http://localhost:18080
    Atribuições Atribua aos usuários ou grupos apropriados
  5. Escolha Salvar.

  6. Na guia Geral, anote a ID do cliente.

O PKCE (S256) é aplicado automaticamente pelo Okta para aplicativos nativos.

Para configurar escopos
  1. No Okta Admin Console, navegue até Segurança → API → Servidores de Autorização e selecione seu servidor de autorização (por exemplo, padrão).

  2. Na guia Escopos, verifique se os seguintes escopos estão habilitados:openid,,email,profile. offline_access

  3. Na guia Políticas de acesso, verifique se a política atribuída a esse aplicativo permite os tipos de Refresh Token concessão Authorization Code e.

Para verificar as configurações de autenticação
  1. Na integração do aplicativo, acesse a guia Geral.

  2. Em Configurações gerais, confirme se o tipo de aplicativo é nativo, a autenticação do cliente é Nenhuma (cliente público) e se o PKCE é obrigatório.

  3. Em LOGIN, confirme se http://localhost:18080 está listado como um URI de redirecionamento.

  4. Escolha Salvar se você tiver feito alguma alteração.

Seus endpoints do OIDC usam o seguinte formato. <OKTA_DOMAIN>Substitua pelo seu domínio Okta (por exemplo,your-org.okta.com).

Campo Valor
URL do emissor https://<OKTA_DOMAIN>/oauth2/default
Endpoint de Autorização https://<OKTA_DOMAIN>/oauth2/default/v1/authorize
Endpoint de token https://<OKTA_DOMAIN>/oauth2/default/v1/token
JAKS URI https://<OKTA_DOMAIN>/oauth2/default/v1/keys

Ping Identity

Escolha as instruções para o seu produto Ping Identity.

PingFederate

Para obter instruções detalhadas, consulte Configurando um aplicativo OIDC PingFederate na documentação do Ping Identity.

Para criar o cliente PingFederate OIDC
  1. No console PingFederate administrativo, vá para Aplicativos → OAuth → Clientes e escolha Adicionar cliente.

  2. No campo ID do cliente, insira um identificador exclusivo para esse cliente.

  3. No campo Name (Nome), insira Amazon Quick Desktop.

  4. Em Autenticação do cliente, selecione Nenhuma.

  5. Na seção URI de redirecionamento, insira http://localhost:18080 e escolha Adicionar.

  6. Na lista Tipos de concessão permitidos, selecione Código de autorização e Token de atualização.

  7. Marque a caixa de seleção Exigir chave de prova para troca de código (PKCE).

  8. Em Escopos comuns, conceda o seguinte:openid,, emailprofile,offline_access.

  9. Escolha Salvar.

  10. Anote a ID do cliente. Você precisará desse valor em etapas posteriores.

Para configurar a política do OIDC
  1. No console PingFederate administrativo, vá para Aplicativos → OAuth → Gerenciamento de políticas do OpenID Connect.

  2. Selecione a política do OIDC associada a esse cliente ou escolha Adicionar política para criar uma.

  3. Marque a caixa de seleção Return ID Token On Refresh Grant. Isso garante que o aplicativo de desktop receba um novo token de ID com as declarações atuais ao atualizar a sessão.

  4. Em Contrato de atributo, verifique se a email declaração está incluída e mapeada para o atributo de usuário correspondente na sua fonte de autenticação. A email reivindicação deve estar presente nos tokens emitidos durante a autenticação inicial e a concessão do token de atualização.

  5. Escolha Salvar.

Seus endpoints do OIDC usam o seguinte formato. <PINGFEDERATE_HOST>Substitua pelo nome PingFederate do host do seu servidor.

Campo Valor
URL do emissor https://<PINGFEDERATE_HOST>
Endpoint de Autorização https://<PINGFEDERATE_HOST>/as/authorization.oauth2
Endpoint de token https://<PINGFEDERATE_HOST>/as/token.oauth2
JAKS URI https://<PINGFEDERATE_HOST>/pf/JWKS

PingOne

Para obter instruções detalhadas, consulte Editando um aplicativo — Nativo na documentação do Ping Identity.

Para criar o aplicativo nativo do PingOne OIDC
  1. No console de PingOne administração, vá para Aplicativos → Aplicativos e escolha o ícone +.

  2. Insira Amazon Quick Desktop como nome do aplicativo.

  3. Na seção Tipo de aplicativo, selecione Nativo e escolha Salvar.

  4. Na guia Configuração, escolha Editar e defina as seguintes configurações:

    Configuração Valor
    Tipo de resposta Código
    Tipo de subsídio Código de autorização e token de atualização
    Aplicação do PKCE S256
    Redirect URIs (Redirecionar URIs) http://localhost:18080
    Método de autenticação de endpoint de token Nenhum
  5. Escolha Salvar.

  6. Na guia Recursos, adicione os seguintes escopos:openid,, emailprofile,offline_access.

  7. Na guia Mapeamentos de atributos, verifique se o email atributo está mapeado para o endereço de e-mail do usuário.

  8. Alterne o aplicativo para Ativado.

  9. Observe a ID do cliente e a ID do ambiente na guia Configuração.

nota

O PingOne domínio varia de acordo com a região. Os exemplos abaixo usam.com. Substitua o domínio pelo do seu ambiente (por exemplo.ca,.eu, ou.asia).

Seus endpoints do OIDC usam o seguinte formato. <ENV_ID>Substitua pelo ID PingOne do seu ambiente.

Campo Valor
URL do emissor https://auth.pingone.com/<ENV_ID>/as
Endpoint de Autorização https://auth.pingone.com/<ENV_ID>/as/authorize
Endpoint de token https://auth.pingone.com/<ENV_ID>/as/token
JAKS URI https://auth.pingone.com/<ENV_ID>/as/jwks

Etapa 2: Configurar o acesso à extensão no console de gerenciamento Amazon Quick

Para adicionar o acesso à extensão
  1. Faça login no console de gerenciamento Amazon Quick e escolha Gerenciar conta.

  2. No painel de navegação esquerdo, em Permissões, escolha Acesso à extensão.

  3. Escolha Adicionar acesso à extensão.

  4. Em Selecionar serviço, selecione Amazon Quick (aplicativo de desktop para Quick) e escolha Avançar.

  5. Insira os detalhes da extensão Amazon Quick:

    Campo Valor Observações
    Nome Um nome para esse acesso à extensão (por exemplo,QuickDesktop-access) Somente referência interna. Esse nome não está configurado no seu IdP. Somente alfanuméricos e hífens, sem espaços.
    Description (Opcional) Uma descrição desse acesso à extensão Opcional. Apenas para sua referência.
    URL do emissor O URL do emissor do OIDC da Etapa 1 Deve incluir o /v2.0 sufixo para Entra ID.
    Ponto final de autorização O URL do endpoint de autorização do OIDC da Etapa 1
    Ponto final do token O URL do endpoint do token OIDC da Etapa 1
    JAKS URI O URI do conjunto de chaves Web JSON da etapa 1
    ID de cliente O identificador do cliente OIDC da Etapa 1
  6. Escolha Adicionar.

    Importante

    Verifique se todos os valores estão corretos antes de escolher Adicionar. A configuração de acesso à extensão não pode ser editada após a criação. Se algum valor estiver incorreto, você deverá excluir o acesso à extensão e criar um novo.

Para criar a extensão
  1. No console de gerenciamento do Amazon Quick, no painel de navegação esquerdo, escolha Quick e, em Connect apps and data, escolha Extensions.

  2. Escolha Adicionar extensão.

  3. Selecione o aplicativo Desktop para acesso rápido à extensão que você criou anteriormente. Escolha Próximo.

  4. Escolha Criar.

Importante

Ambas as etapas são obrigatórias. Se você configurar apenas o acesso à extensão sem criar a extensão, o login corporativo não estará disponível e os usuários verão o erro: “O login corporativo para o Quick Desktop não foi configurado para esta conta”.

nota

A criação da extensão é uma ação única em nível de conta. Depois que um administrador cria a extensão, o login corporativo fica disponível para todos os usuários da conta. Usuários individuais não precisam habilitar a extensão sozinhos — eles só precisam baixar o aplicativo para desktop e fazer login.

Etapa 3: Baixe e distribua o aplicativo de desktop

Depois de configurar o login corporativo, verifique a configuração baixando e instalando você mesmo o aplicativo de desktop. Escolha Login corporativo na tela de login e autentique-se com suas credenciais corporativas para confirmar se a configuração está funcionando. Para obter as etapas de download e instalação, consulteIntrodução.

Se o login falhar, verifique os valores inseridos na Etapa 2 em relação aos endpoints do OIDC da Etapa 1. Se algum valor estiver incorreto, exclua o acesso à extensão em Permissões → Acesso à extensão e repita a Etapa 2 com os valores corretos.

Depois de verificar a configuração, direcione seus usuários Introdução para obter instruções de download, instalação e login.

Solução de problemas

Erro redirect_mismatch

Verifique se o URI de redirecionamento em seu IdP é http://localhost:18080 exato e está configurado como um cliente público ou plataforma nativa.

Usuário não encontrado após o login

Esse erro tem duas causas comuns:

  1. A reclamação por e-mail não está sendo devolvida no token. Para o Microsoft Entra ID, você deve adicionar a reivindicação email opcional ao token de ID em Configuração do token (consulte a Etapa 1). Além disso, o atributo Mail do usuário deve ser preenchido em seu perfil de ID do Entra. O nome principal do usuário (UPN) sozinho não é suficiente.

  2. Não existe nenhum usuário correspondente no Amazon Quick. O e-mail no token deve corresponder exatamente ao e-mail de um usuário provisionado. Para contas do IAM Identity Center, verifique se o e-mail do usuário no Identity Center corresponde. A correspondência de e-mails diferencia maiúsculas de minúsculas.

Falha na validação do token

Verifique se o URL do emissor na configuração de acesso à extensão corresponde exatamente ao URL do emissor na configuração do OIDC do seu IdP.

Erro inválido do emissor (Microsoft Entra ID)

Se o login falhar com “Emissor inválido: https://login.microsoftonline.com/TENANT_ID/v2.0 “, verifique se o URL do emissor em sua configuração de acesso à extensão inclui o sufixo do caminho. /v2.0 O endpoint Entra ID v2.0 emite tokens com uma iss reivindicação que inclui. /v2.0 Se o sufixo estiver ausente, exclua o acesso à extensão e recrie-o com o URL correto do emissor.

Login corporativo não configurado para esta conta

Esse erro significa que o acesso à extensão foi criado, mas a extensão em si não foi. Navegue até Connect apps and data → Extensões no console de gerenciamento e crie a extensão, selecionando o acesso à extensão que você configurou anteriormente.

Falha na solicitação de informações do usuário (HTTP 504)

Esse é um tempo limite de back-end transitório. Faça login na sua conta Amazon Quick primeiro pelo navegador da web e, em seguida, tente novamente o login no desktop. Se o erro persistir, verifique a conectividade da rede com o endpoint do Amazon Quick Service.

Erros de consentimento ou permissão (Microsoft Entra ID)

Conceda o consentimento do administrador para as permissões de API necessárias no portal do Azure. Navegue até a página de permissões de API do registro do aplicativo e escolha Conceder consentimento do administrador para [sua organização].

A sessão expira com frequência

Verifique se seu IdP está configurado para emitir tokens de atualização. Para o Microsoft Entra ID, o offline_access escopo é obrigatório. Para o Google Workspace, inclua access_type=offline na solicitação de autorização (processada automaticamente pelo Quick). Para Okta, o tipo de concessão do Refresh Token deve estar habilitado e o offline_access escopo deve ser concedido. Para o Ping Identity, o tipo de concessão do Refresh Token deve estar ativado e o offline_access escopo deve ser concedido. Para PingFederate, verifique também se Return ID Token On Refresh Grant está selecionado na política do OIDC.

invalid_scopeerro (Okta)

Verifique se offline_access está habilitado no seu servidor de autorização. Navegue até Segurança → API → Servidores de autorização → padrão → Escopos e confirme se o escopo está presente. Verifique também se a política de acesso do aplicativo permite o tipo de concessão do Token de Atualização.

Aplicativo não habilitado (PingOne)

Se a autenticação falhar imediatamente sem PingOne acessar a página de login, verifique se a opção do aplicativo está definida como Ativado no console do PingOne administrador.

Declaração de e-mail ausente após a atualização () PingFederate

Verifique se a email reivindicação está incluída no contrato de atributos da política do OIDC e mapeada para o atributo correto do usuário. O mapeamento deve produzir a email declaração tanto para a autenticação inicial quanto para as concessões de token de atualização.