As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Configurando o Amazon Quick no desktop para implantações corporativas
| Aplica-se a: Enterprise Edition |
| Público-alvo: administradores de sistemas |
Para usar o Amazon Quick no desktop para implantações corporativas, os administradores devem configurar o login único corporativo (SSO) para que os usuários da organização possam fazer login com suas credenciais corporativas. Essa configuração conecta o provedor de identidade (IdP) compatível com o OpenID Connect (OIDC) da sua organização ao Amazon Quick.
nota
Se você estiver usando uma conta gratuita ou Plus, esta seção não se aplica a você. Avance para Introdução.
A configuração envolve as seguintes etapas, na ordem:
-
Crie um aplicativo OIDC em seu IdP.
-
Configure o acesso à extensão no console de gerenciamento Amazon Quick.
-
Distribua o aplicativo de desktop para seus usuários.
Este guia fornece IdP-specific instruções para Microsoft Entra ID, Google Workspace, Okta e Ping Identity (PingFederate e PingOne). Veja as instruções para seu provedor de identidade específico abaixo.
Como funciona o login corporativo
O aplicativo de desktop Amazon Quick usa o protocolo OIDC para autenticar usuários. Quando um usuário escolhe Continuar com SSO, o aplicativo abre uma janela do navegador e redireciona para o endpoint de autorização do seu IdP. O aplicativo então troca o código de autorização resultante por tokens usando o Proof Key for Code Exchange (PKCE).
O Amazon Quick valida o token e mapeia o usuário para uma identidade em sua conta. O endereço de e-mail em seu IdP deve corresponder exatamente ao endereço de e-mail do usuário no Amazon Quick.
Pré-requisitos
Antes de começar, verifique se você tem o seguinte:
-
Uma AWS conta com uma assinatura ativa do Amazon Quick. A região inicial da conta Amazon Quick (região de identidade) deve estar em um local compatível Região da AWS. Para obter uma lista de regiões compatíveis, consulte Compatível Regiões da AWS para Amazon Quick. Todos os tipos de identidade são compatíveis, incluindo o IAM Identity Center, a federação do IAM e os usuários nativos do Amazon Quick (username/password).
-
Acesso de administrador à sua conta Amazon Quick.
-
Acesso ao seu IdP com permissões para criar registros de aplicativos OIDC.
Importante
O Amazon Quick para desktop está disponível para contas corporativas Regiões da AWS que oferecem suporte ao conjunto completo de recursos do Amazon Quick. As regiões que oferecem suporte somente aos recursos do Amazon Quick não incluem o desktop. Para ver a lista completa, consulte Compatível Regiões da AWS para Amazon Quick.
Etapa 1: Crie um aplicativo OIDC em seu provedor de identidade
Registre um aplicativo cliente público do OIDC em seu IdP. O aplicativo de desktop Amazon Quick usa esse cliente para autenticar usuários por meio do fluxo de código de autorização com o PKCE. Nenhum segredo do cliente é necessário.
O aplicativo de desktop requer tokens de atualização para manter sessões de longa duração. A forma como os tokens de atualização são configurados depende do seu IdP:
-
Microsoft Entra ID — O
offline_accessescopo deve ser concedido. Sem isso, os usuários devem se autenticar novamente com frequência. -
Google Workspace — inclua o
access_type=offlineparâmetro na solicitação de autorização. O Google emite um token de atualização na primeira autorização. Nenhuma configuração adicional de escopo ou tipo de concessão é necessária. -
Okta — O tipo de concessão do Refresh Token deve estar ativado no aplicativo e o
offline_accessescopo deve ser concedido. -
Identidade de ping — O tipo de concessão do token de atualização deve estar ativado e o
offline_accessescopo deve ser concedido. Pois PingFederate, a configuração Return ID Token On Refresh Grant também deve estar habilitada na política do OIDC.
Escolha as instruções para seu provedor de identidade.
Microsoft Entra ID
Para obter instruções detalhadas, consulte Registrar um aplicativo
Para criar o registro do aplicativo Entra ID
-
No portal do Azure, navegue até Microsoft Entra ID → Registros de aplicativos → Novo registro.
-
Configure as seguintes opções:
Configuração Valor Nome Amazon Quick DesktopTipos de conta compatíveis Contas somente neste diretório organizacional (inquilino único) Plataforma de redirecionamento de URI Público client/native (móvel e desktop) URI de redirecionamento http://localhost:18080 -
Escolha Registrar.
-
Na página Visão geral, anote o ID do aplicativo (cliente) e o ID do diretório (locatário). Você precisará desses valores em etapas posteriores.
Este é um registro público de cliente. O PKCE é aplicado automaticamente pelo Entra ID para clientes públicos.
Para configurar as permissões da API
-
No registro do aplicativo, navegue até Permissões da API → Adicionar uma permissão → Microsoft Graph → Permissões delegadas.
-
Adicione as seguintes permissões:
openid,email,profile,offline_access. -
Escolha Adicionar permissões.
-
Se sua organização exigir, escolha Conceder consentimento do administrador para [sua organização].
Para definir as configurações de autenticação
-
No registro do aplicativo, navegue até Autenticação.
-
Em Configurações avançadas, defina Permitir fluxos de clientes públicos como Sim.
-
Verifique se
http://localhost:18080está listado em Aplicativos móveis e de desktop. -
Escolha Salvar.
Para configurar reivindicações de token
-
No registro do aplicativo, navegue até Configuração do token.
-
Escolha Adicionar reivindicação opcional.
-
Selecione o tipo de token: ID.
-
Selecione a
emailreivindicação e escolha Adicionar.
Importante
Essa etapa é necessária. Sem a reivindicação email opcional, o Microsoft Entra ID não inclui o endereço de e-mail do usuário no token de ID, e o Amazon Quick não pode mapear o token para um usuário. Além disso, cada usuário que fizer login deve ter seu atributo Mail preenchido em seu perfil Entra ID (em Informações de contato). O nome principal do usuário (UPN) sozinho não é suficiente — o atributo Mail deve conter um valor.
Seus endpoints do OIDC usam o seguinte formato. <TENANT_ID>Substitua pelo ID do seu diretório (inquilino).
Importante
O URL do emissor deve incluir o sufixo do /v2.0 caminho. Não use o “URL de autoridade” mostrado no painel Entra ID Endpoints, que omite esse sufixo. Se o /v2.0 sufixo estiver ausente, a validação do token falhará com um erro de “Emissor inválido” no momento do login.
| Campo | Valor |
|---|---|
| URL do emissor | https://login.microsoftonline.com/<TENANT_ID>/v2.0 |
| Endpoint de Autorização | https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/authorize |
| Endpoint de token | https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/token |
| JAKS URI | https://login.microsoftonline.com/<TENANT_ID>/discovery/v2.0/keys |
dica
O URI do JWKS não é exibido no painel Microsoft Entra ID Endpoints. Você pode encontrá-la abrindo a URL do documento de metadados do OpenID Connect no painel Endpoints e localizando o jwks_uri campo na resposta JSON. Como alternativa, construa-o usando o formato mostrado na tabela anterior.
Google Workspace
Para obter instruções detalhadas, consulte OAuth 2.0 para aplicativos móveis e de desktop na documentação
Para criar o cliente Google OAuth
-
No Console do Google Cloud, navegue até APIs e serviços → Credenciais → Criar credenciais → ID do cliente OAuth.
-
Configure as seguintes opções:
Configuração Valor Tipo de aplicação Aplicativo para desktop Nome Amazon Quick Desktop -
Escolha Criar.
-
Anote o ID do cliente e o segredo do cliente. Você precisará desses valores em etapas posteriores.
Para configurar a tela de consentimento do OAuth
-
No Console do Google Cloud, navegue até Google Auth Platform → Branding.
-
Defina o tipo de usuário como Interno. Isso restringe o login de usuários na sua organização do Google Workspace.
-
Preencha as informações necessárias do aplicativo e escolha Salvar.
Para configurar escopos
-
No Console do Google Cloud, navegue até Google Auth Platform → Data Access.
-
Adicione os seguintes escopos:
openid,email,profile. -
Escolha Salvar.
O Google oferece suporte ao PKCE para aplicativos de desktop. Os tokens de atualização são emitidos automaticamente quando o access_type=offline parâmetro é incluído na solicitação de autorização. Não é exigida nenhuma configuração adicional.
Seus endpoints do OIDC são os seguintes:
| Campo | Valor |
|---|---|
| URL do emissor | https://accounts.google.com |
| Endpoint de Autorização | https://accounts.google.com/o/oauth2/v2/auth |
| Endpoint de token | https://oauth2.googleapis.com/token?client_secret=<CLIENT_SECRET> |
| JAKS URI | https://www.googleapis.com/oauth2/v3/certs |
nota
Anexe o segredo do seu cliente ao endpoint do token como um parâmetro de client_secret consulta para que a troca do token seja bem-sucedida, por exemplo,. https://oauth2.googleapis.com/token?client_secret=<CLIENT_SECRET> <CLIENT_SECRET>Substitua pelo segredo do cliente gerado para seu cliente OAuth.
Okta
Para obter instruções detalhadas, consulte Criar integrações do aplicativo OpenID Connect
Para criar o aplicativo nativo Okta OIDC
-
No Okta Admin Console, navegue até Aplicativos → Aplicativos → Criar integração de aplicativos.
-
Selecione OIDC - OpenID Connect como método de login.
-
Selecione Aplicativo nativo como o tipo de aplicativo e escolha Avançar.
-
Configure as seguintes opções:
Configuração Valor Nome da integração do aplicativo Amazon Quick DesktopTipo de subsídio Código de autorização e token de atualização Sign-in redirecionar URIs http://localhost:18080Atribuições Atribua aos usuários ou grupos apropriados -
Escolha Salvar.
-
Na guia Geral, anote a ID do cliente.
O PKCE (S256) é aplicado automaticamente pelo Okta para aplicativos nativos.
Para configurar escopos
-
No Okta Admin Console, navegue até Segurança → API → Servidores de Autorização e selecione seu servidor de autorização (por exemplo, padrão).
-
Na guia Escopos, verifique se os seguintes escopos estão habilitados:
openid,,email,profile.offline_access -
Na guia Políticas de acesso, verifique se a política atribuída a esse aplicativo permite os tipos de
Refresh TokenconcessãoAuthorization Codee.
Para verificar as configurações de autenticação
-
Na integração do aplicativo, acesse a guia Geral.
-
Em Configurações gerais, confirme se o tipo de aplicativo é nativo, a autenticação do cliente é Nenhuma (cliente público) e se o PKCE é obrigatório.
-
Em LOGIN, confirme se
http://localhost:18080está listado como um URI de redirecionamento. -
Escolha Salvar se você tiver feito alguma alteração.
Seus endpoints do OIDC usam o seguinte formato. <OKTA_DOMAIN>Substitua pelo seu domínio Okta (por exemplo,your-org.okta.com).
| Campo | Valor |
|---|---|
| URL do emissor | https://<OKTA_DOMAIN>/oauth2/default |
| Endpoint de Autorização | https://<OKTA_DOMAIN>/oauth2/default/v1/authorize |
| Endpoint de token | https://<OKTA_DOMAIN>/oauth2/default/v1/token |
| JAKS URI | https://<OKTA_DOMAIN>/oauth2/default/v1/keys |
Ping Identity
Escolha as instruções para o seu produto Ping Identity.
PingFederate
Para obter instruções detalhadas, consulte Configurando um aplicativo OIDC PingFederate na documentação
Para criar o cliente PingFederate OIDC
-
No console PingFederate administrativo, vá para Aplicativos → OAuth → Clientes e escolha Adicionar cliente.
-
No campo ID do cliente, insira um identificador exclusivo para esse cliente.
-
No campo Name (Nome), insira
Amazon Quick Desktop. -
Em Autenticação do cliente, selecione Nenhuma.
-
Na seção URI de redirecionamento, insira
http://localhost:18080e escolha Adicionar. -
Na lista Tipos de concessão permitidos, selecione Código de autorização e Token de atualização.
-
Marque a caixa de seleção Exigir chave de prova para troca de código (PKCE).
-
Em Escopos comuns, conceda o seguinte:
openid,,emailprofile,offline_access. -
Escolha Salvar.
-
Anote a ID do cliente. Você precisará desse valor em etapas posteriores.
Para configurar a política do OIDC
-
No console PingFederate administrativo, vá para Aplicativos → OAuth → Gerenciamento de políticas do OpenID Connect.
-
Selecione a política do OIDC associada a esse cliente ou escolha Adicionar política para criar uma.
-
Marque a caixa de seleção Return ID Token On Refresh Grant. Isso garante que o aplicativo de desktop receba um novo token de ID com as declarações atuais ao atualizar a sessão.
-
Em Contrato de atributo, verifique se a
emaildeclaração está incluída e mapeada para o atributo de usuário correspondente na sua fonte de autenticação. Aemailreivindicação deve estar presente nos tokens emitidos durante a autenticação inicial e a concessão do token de atualização. -
Escolha Salvar.
Seus endpoints do OIDC usam o seguinte formato. <PINGFEDERATE_HOST>Substitua pelo nome PingFederate do host do seu servidor.
| Campo | Valor |
|---|---|
| URL do emissor | https://<PINGFEDERATE_HOST> |
| Endpoint de Autorização | https://<PINGFEDERATE_HOST>/as/authorization.oauth2 |
| Endpoint de token | https://<PINGFEDERATE_HOST>/as/token.oauth2 |
| JAKS URI | https://<PINGFEDERATE_HOST>/pf/JWKS |
PingOne
Para obter instruções detalhadas, consulte Editando um aplicativo — Nativo
Para criar o aplicativo nativo do PingOne OIDC
-
No console de PingOne administração, vá para Aplicativos → Aplicativos e escolha o ícone +.
-
Insira
Amazon Quick Desktopcomo nome do aplicativo. -
Na seção Tipo de aplicativo, selecione Nativo e escolha Salvar.
-
Na guia Configuração, escolha Editar e defina as seguintes configurações:
Configuração Valor Tipo de resposta Código Tipo de subsídio Código de autorização e token de atualização Aplicação do PKCE S256 Redirect URIs (Redirecionar URIs) http://localhost:18080Método de autenticação de endpoint de token Nenhum -
Escolha Salvar.
-
Na guia Recursos, adicione os seguintes escopos:
openid,,emailprofile,offline_access. -
Na guia Mapeamentos de atributos, verifique se o
emailatributo está mapeado para o endereço de e-mail do usuário. -
Alterne o aplicativo para Ativado.
-
Observe a ID do cliente e a ID do ambiente na guia Configuração.
nota
O PingOne domínio varia de acordo com a região. Os exemplos abaixo usam.com. Substitua o domínio pelo do seu ambiente (por exemplo.ca,.eu, ou.asia).
Seus endpoints do OIDC usam o seguinte formato. <ENV_ID>Substitua pelo ID PingOne do seu ambiente.
| Campo | Valor |
|---|---|
| URL do emissor | https://auth.pingone.com/<ENV_ID>/as |
| Endpoint de Autorização | https://auth.pingone.com/<ENV_ID>/as/authorize |
| Endpoint de token | https://auth.pingone.com/<ENV_ID>/as/token |
| JAKS URI | https://auth.pingone.com/<ENV_ID>/as/jwks |
Etapa 2: Configurar o acesso à extensão no console de gerenciamento Amazon Quick
Para adicionar o acesso à extensão
-
Faça login no console de gerenciamento Amazon Quick e escolha Gerenciar conta.
-
No painel de navegação esquerdo, em Permissões, escolha Acesso à extensão.
-
Escolha Adicionar acesso à extensão.
-
Em Selecionar serviço, selecione Amazon Quick (aplicativo de desktop para Quick) e escolha Avançar.
-
Insira os detalhes da extensão Amazon Quick:
Campo Valor Observações Nome Um nome para esse acesso à extensão (por exemplo, QuickDesktop-access)Somente referência interna. Esse nome não está configurado no seu IdP. Somente alfanuméricos e hífens, sem espaços. Description (Opcional) Uma descrição desse acesso à extensão Opcional. Apenas para sua referência. URL do emissor O URL do emissor do OIDC da Etapa 1 Deve incluir o /v2.0sufixo para Entra ID.Ponto final de autorização O URL do endpoint de autorização do OIDC da Etapa 1 Ponto final do token O URL do endpoint do token OIDC da Etapa 1 JAKS URI O URI do conjunto de chaves Web JSON da etapa 1 ID de cliente O identificador do cliente OIDC da Etapa 1 -
Escolha Adicionar.
Importante
Verifique se todos os valores estão corretos antes de escolher Adicionar. A configuração de acesso à extensão não pode ser editada após a criação. Se algum valor estiver incorreto, você deverá excluir o acesso à extensão e criar um novo.
Para criar a extensão
-
No console de gerenciamento do Amazon Quick, no painel de navegação esquerdo, escolha Quick e, em Connect apps and data, escolha Extensions.
-
Escolha Adicionar extensão.
-
Selecione o aplicativo Desktop para acesso rápido à extensão que você criou anteriormente. Escolha Próximo.
-
Escolha Criar.
Importante
Ambas as etapas são obrigatórias. Se você configurar apenas o acesso à extensão sem criar a extensão, o login corporativo não estará disponível e os usuários verão o erro: “O login corporativo para o Quick Desktop não foi configurado para esta conta”.
nota
A criação da extensão é uma ação única em nível de conta. Depois que um administrador cria a extensão, o login corporativo fica disponível para todos os usuários da conta. Usuários individuais não precisam habilitar a extensão sozinhos — eles só precisam baixar o aplicativo para desktop e fazer login.
Etapa 3: Baixe e distribua o aplicativo de desktop
Depois de configurar o login corporativo, verifique a configuração baixando e instalando você mesmo o aplicativo de desktop. Escolha Login corporativo na tela de login e autentique-se com suas credenciais corporativas para confirmar se a configuração está funcionando. Para obter as etapas de download e instalação, consulteIntrodução.
Se o login falhar, verifique os valores inseridos na Etapa 2 em relação aos endpoints do OIDC da Etapa 1. Se algum valor estiver incorreto, exclua o acesso à extensão em Permissões → Acesso à extensão e repita a Etapa 2 com os valores corretos.
Depois de verificar a configuração, direcione seus usuários Introdução para obter instruções de download, instalação e login.
Solução de problemas
- Erro
redirect_mismatch -
Verifique se o URI de redirecionamento em seu IdP é
http://localhost:18080exato e está configurado como um cliente público ou plataforma nativa. - Usuário não encontrado após o login
-
Esse erro tem duas causas comuns:
-
A reclamação por e-mail não está sendo devolvida no token. Para o Microsoft Entra ID, você deve adicionar a reivindicação
emailopcional ao token de ID em Configuração do token (consulte a Etapa 1). Além disso, o atributo Mail do usuário deve ser preenchido em seu perfil de ID do Entra. O nome principal do usuário (UPN) sozinho não é suficiente. -
Não existe nenhum usuário correspondente no Amazon Quick. O e-mail no token deve corresponder exatamente ao e-mail de um usuário provisionado. Para contas do IAM Identity Center, verifique se o e-mail do usuário no Identity Center corresponde. A correspondência de e-mails diferencia maiúsculas de minúsculas.
-
- Falha na validação do token
-
Verifique se o URL do emissor na configuração de acesso à extensão corresponde exatamente ao URL do emissor na configuração do OIDC do seu IdP.
- Erro inválido do emissor (Microsoft Entra ID)
-
Se o login falhar com “Emissor inválido: https://login.microsoftonline.com/TENANT_ID/v2.0 “, verifique se o URL do emissor em sua configuração de acesso à extensão inclui o sufixo do caminho.
/v2.0O endpoint Entra ID v2.0 emite tokens com umaissreivindicação que inclui./v2.0Se o sufixo estiver ausente, exclua o acesso à extensão e recrie-o com o URL correto do emissor. - Login corporativo não configurado para esta conta
-
Esse erro significa que o acesso à extensão foi criado, mas a extensão em si não foi. Navegue até Connect apps and data → Extensões no console de gerenciamento e crie a extensão, selecionando o acesso à extensão que você configurou anteriormente.
- Falha na solicitação de informações do usuário (HTTP 504)
-
Esse é um tempo limite de back-end transitório. Faça login na sua conta Amazon Quick primeiro pelo navegador da web e, em seguida, tente novamente o login no desktop. Se o erro persistir, verifique a conectividade da rede com o endpoint do Amazon Quick Service.
- Erros de consentimento ou permissão (Microsoft Entra ID)
-
Conceda o consentimento do administrador para as permissões de API necessárias no portal do Azure. Navegue até a página de permissões de API do registro do aplicativo e escolha Conceder consentimento do administrador para [sua organização].
- A sessão expira com frequência
-
Verifique se seu IdP está configurado para emitir tokens de atualização. Para o Microsoft Entra ID, o
offline_accessescopo é obrigatório. Para o Google Workspace, incluaaccess_type=offlinena solicitação de autorização (processada automaticamente pelo Quick). Para Okta, o tipo de concessão do Refresh Token deve estar habilitado e ooffline_accessescopo deve ser concedido. Para o Ping Identity, o tipo de concessão do Refresh Token deve estar ativado e ooffline_accessescopo deve ser concedido. Para PingFederate, verifique também se Return ID Token On Refresh Grant está selecionado na política do OIDC. invalid_scopeerro (Okta)-
Verifique se
offline_accessestá habilitado no seu servidor de autorização. Navegue até Segurança → API → Servidores de autorização → padrão → Escopos e confirme se o escopo está presente. Verifique também se a política de acesso do aplicativo permite o tipo de concessão do Token de Atualização. - Aplicativo não habilitado (PingOne)
-
Se a autenticação falhar imediatamente sem PingOne acessar a página de login, verifique se a opção do aplicativo está definida como Ativado no console do PingOne administrador.
- Declaração de e-mail ausente após a atualização () PingFederate
-
Verifique se a
emailreivindicação está incluída no contrato de atributos da política do OIDC e mapeada para o atributo correto do usuário. O mapeamento deve produzir aemaildeclaração tanto para a autenticação inicial quanto para as concessões de token de atualização.